802.1X认证协议安全性分析及改进
发布时间:2021-06-15 15:28
802.1X的接入认证是当前网络接入认证方式的热点,在园区网络中广泛应用。本文介绍802.1X协议的认证体系结构以及认证流程,分析了其存在管理帧和控制帧明文传输及单向认证的设计缺陷,易受中间人攻击、会话劫持攻击和拒绝服务攻击等安全威胁,并针对这些问题提出了改进方案。
【文章来源】:福建电脑. 2020,36(06)
【文章页数】:4 页
【部分图文】:
802.1x认证系统结构
802.1x认证系统采用EAP协议来进行信息交换,在客户端与设备端之间通过EAPOL协议来封装EAP报文,而在设备端与认证服务器之间可采用EAP中继和EAP终结两种方式进行报文交换。两种方式认证流程基本相似。本文以EAP中继方式为例阐述802.1X基本认证流程。在EAP中继方式认证的过程中,设备端起一个中继代理的角色,用于转发客户端和认证服务器之间的交互报文,在客户端与设备端之间通过EAPOR协议来封装报文。整个认证过程如图2所示[3-4]:(1)用户运行客户端程序,填写用户名和密码信息后,发起接入网络请求。客户端发出认证请求报文EAPOL-Start给设备端,开启认证过程。
通过上述分析可以得知,攻击者之所以能实现中间人攻击、会话劫持攻击和拒绝服务攻击,关键在于客户端不能对管理帧和控制帧的来源真实性进行认证。因为这些帧是明文传输的,而且客户端不对设备端和认证服务器进行身份认证,因此要避免此类攻击威胁,客户端必须确保管理帧和控制帧来源的真实性、可靠性[11]。本文提出的改进方案是采用基于公钥密码体制的双向认证机制实现客户端和认证服务器的双向认证[12],并使用共享密钥对客户端和设备端之间传递的所有数据帧进行加密,保证了数据帧传输的保密性,增加了攻击者伪造数据的难度。此外,利用客户端和认证服务器的私钥对部分管理帧和控制帧进行签名,保证数据帧来源的真实性和完整性。假设在认证开始之前,客户端和设备端的共享密钥已通过安全通道进行分发,并且客户端和认证服务器的公钥密码已公布,双方均已知晓,改进后的具体流程如图3所示。流程图中所用符号说明:K为客户端与设备端的共享会话密钥,IDC为客户端身份标识,NC为客户端临时交互号,NS、NS1认证服务器临时交互号,PUC、PRC为客户端的公钥、私钥,PUS、PRS为认证服务器的公钥、私钥,M为当前发送的数据帧。
【参考文献】:
期刊论文
[1]基于802.1x协议的网络接入认证方式的分析[J]. 牧军,朱欢欢. 数字技术与应用. 2018(07)
[2]基于公钥密码体制的802.1x双向认证研究[J]. 蒋华,张乐乾,阮玲玲. 计算机应用与软件. 2016(02)
[3]基于802.1x校园网接入认证的安全性分析与防御[J]. 王志刚,孟罡,向飞. 计算机安全. 2014(06)
[4]基于IEEE 802.1x的局域网安全接入认证[J]. 张少芳,田华. 计算机光盘软件与应用. 2013(04)
[5]IEEE802.1x协议中EAP-TLS认证协议的安全性分析与改进[J]. 何定养,王玉柱,郑贤路,卢继明,肖洋. 后勤工程学院学报. 2011(01)
[6]基于802.1x协议的Radius认证原理及实现[J]. 华镔,曹娜. 信息技术. 2010(04)
硕士论文
[1]基于802.1X的终端接入控制技术研究与优化[D]. 黄浩.长安大学 2018
[2]基于EAPTLS的无线局域网接入控制技术的研究与改进[D]. 付金平.长安大学 2014
[3]基于IEEE 802.1X/EAP-TLS安全认证协议的研究和改进[D]. 王巧.电子科技大学 2009
[4]802.1x安全性的研究与改进[D]. 乔叶.大连海事大学 2008
[5]基于IEEE802.1x安全认证协议的缺陷分析与改进[D]. 王跃峰.武汉理工大学 2008
本文编号:3231314
【文章来源】:福建电脑. 2020,36(06)
【文章页数】:4 页
【部分图文】:
802.1x认证系统结构
802.1x认证系统采用EAP协议来进行信息交换,在客户端与设备端之间通过EAPOL协议来封装EAP报文,而在设备端与认证服务器之间可采用EAP中继和EAP终结两种方式进行报文交换。两种方式认证流程基本相似。本文以EAP中继方式为例阐述802.1X基本认证流程。在EAP中继方式认证的过程中,设备端起一个中继代理的角色,用于转发客户端和认证服务器之间的交互报文,在客户端与设备端之间通过EAPOR协议来封装报文。整个认证过程如图2所示[3-4]:(1)用户运行客户端程序,填写用户名和密码信息后,发起接入网络请求。客户端发出认证请求报文EAPOL-Start给设备端,开启认证过程。
通过上述分析可以得知,攻击者之所以能实现中间人攻击、会话劫持攻击和拒绝服务攻击,关键在于客户端不能对管理帧和控制帧的来源真实性进行认证。因为这些帧是明文传输的,而且客户端不对设备端和认证服务器进行身份认证,因此要避免此类攻击威胁,客户端必须确保管理帧和控制帧来源的真实性、可靠性[11]。本文提出的改进方案是采用基于公钥密码体制的双向认证机制实现客户端和认证服务器的双向认证[12],并使用共享密钥对客户端和设备端之间传递的所有数据帧进行加密,保证了数据帧传输的保密性,增加了攻击者伪造数据的难度。此外,利用客户端和认证服务器的私钥对部分管理帧和控制帧进行签名,保证数据帧来源的真实性和完整性。假设在认证开始之前,客户端和设备端的共享密钥已通过安全通道进行分发,并且客户端和认证服务器的公钥密码已公布,双方均已知晓,改进后的具体流程如图3所示。流程图中所用符号说明:K为客户端与设备端的共享会话密钥,IDC为客户端身份标识,NC为客户端临时交互号,NS、NS1认证服务器临时交互号,PUC、PRC为客户端的公钥、私钥,PUS、PRS为认证服务器的公钥、私钥,M为当前发送的数据帧。
【参考文献】:
期刊论文
[1]基于802.1x协议的网络接入认证方式的分析[J]. 牧军,朱欢欢. 数字技术与应用. 2018(07)
[2]基于公钥密码体制的802.1x双向认证研究[J]. 蒋华,张乐乾,阮玲玲. 计算机应用与软件. 2016(02)
[3]基于802.1x校园网接入认证的安全性分析与防御[J]. 王志刚,孟罡,向飞. 计算机安全. 2014(06)
[4]基于IEEE 802.1x的局域网安全接入认证[J]. 张少芳,田华. 计算机光盘软件与应用. 2013(04)
[5]IEEE802.1x协议中EAP-TLS认证协议的安全性分析与改进[J]. 何定养,王玉柱,郑贤路,卢继明,肖洋. 后勤工程学院学报. 2011(01)
[6]基于802.1x协议的Radius认证原理及实现[J]. 华镔,曹娜. 信息技术. 2010(04)
硕士论文
[1]基于802.1X的终端接入控制技术研究与优化[D]. 黄浩.长安大学 2018
[2]基于EAPTLS的无线局域网接入控制技术的研究与改进[D]. 付金平.长安大学 2014
[3]基于IEEE 802.1X/EAP-TLS安全认证协议的研究和改进[D]. 王巧.电子科技大学 2009
[4]802.1x安全性的研究与改进[D]. 乔叶.大连海事大学 2008
[5]基于IEEE802.1x安全认证协议的缺陷分析与改进[D]. 王跃峰.武汉理工大学 2008
本文编号:3231314
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3231314.html
