计 算 机 系 统 应 用 http://www.c-s-a.org.cn 2014 年 第 23 卷 第 8 期 1 基 于 802.1X/EAP-PEAP 的 个 性 化 接 入 认 证 机 制 研 究 卞 传 政 ( 武 汉 大 学 信 息 管 理 学 院, 武 汉 430072) 摘 要 : 研 究 了 在 人 们 对 网 络 依 赖 程 度 越 来 越 高 网 络 安 全 问 题 不 断 涌 现 以 及 用 户 多 台 移 动 终 端 需 要 同 时 访 问 网 络 的 情 况 下 建 立 便 捷 高 效 的 个 性 化 接 入 认 证 机 制 的 问 题. 基 于 IEEE802.1X 标 准, 使 用 请 求 者 系 统 认 证 系 统 和 认 证 服 务 器 系 统 的 三 方 架 构, 分 析 了 EAP 协 议, 对 EAP-MD5 EAP-TLS EAP-SIM EAP-PEAP 四 类 认 证 方 法 做 了 比 较, 并 根 据 需 要 选 择 EAP-PEAP 认 证 方 法. 然 后 在 了 EAP-PEAP 标 准 的 基 础 上 设 计 了 详 细 的 认 证 流 程, 从 系 统 和 用 户 两 个 角 度 实 现 了 个 性 化 的 接 入 认 证 机 制. 关 键 词 : 802.1X; EAP-PEAP; 网 络 接 入 ; 个 性 化 Personalization Access Authentication Mechanism Based on 802.1X/EAP-PEAP BIAN Chuan-Zheng (School of Information Management, Wuhan University, Wuhan 430072, China) Abstract: This paper studied a convenient and efficient network situations personalized access authentication mechanisms. It uses the tripartite framework of requester, authenticator and authentication server based on IEEE802.1X standards. It analyzes the EAP protocol, compares the EAP-MD5, EAP-TLS, EAP-SIM, EAP-PEAP and chooses the EAP-PEAP authentication method. Then it gives the detailed design of the authentication process with system and user personalization. Key words: 802.1X; EAP-PEAP; network access; personalization 近 年 来, 网 络 的 发 展 越 来 越 快, Web2.0 时 代 的 全 面 到 来, 智 能 终 端 设 备 的 迅 速 普 及, 各 种 新 事 物 的 不 断 涌 现, 使 得 网 络 迅 速 而 深 刻 的 改 变 了 人 们 的 生 活 方 式, 网 络 成 了 生 活 不 可 或 缺 的 一 部 分, 人 们 希 望 能 够 尽 可 能 方 便 的 获 取 网 络 接 入 服 务. 同 时, 由 于 通 信 网 络 无 法 保 证 通 信 的 安 全 性, 各 方 通 信 的 内 容 随 时 都 受 到 网 络 嗅 探 内 容 篡 改 和 破 坏 等 的 威 胁, 网 络 安 全 性 问 题 日 益 突 出 [1]. 在 另 一 个 方 面, 目 前 大 多 数 的 实 际 使 用 的 接 入 系 统 有 校 园 网 锐 捷 认 证 Linux 环 境 中 的 XSupplicant 以 及 专 为 无 线 网 络 设 计 的 Wpa_Supplicant, 这 些 都 没 有 考 虑 单 个 用 户 多 台 设 备 需 要 同 时 访 问 网 络 的 个 性 化 需 求, 这 些 用 户 的 移 动 终 端 必 须 自 行 寻 找 额 外 的 Wi-Fi 接 入 点, 使 得 用 户 体 验 大 打 折 扣. 用 户 一 个 账 户 只 能 登 陆 同 时 登 陆 一 台 设 备, 多 台 设 备 同 时 登 陆 时 需 要 多 个 账 号, 这 就 增 加 了 用 户 管 理 账 户 的 复 杂 度. 面 对 这 些 问 题, 如 何 建 立 一 个 通 用 便 捷 高 效 的 个 性 化 网 络 接 入 认 证 机 制 来 适 应 这 些 新 的 形 势 是 很 多 系 统 需 要 考 虑 的 问 题. 1 802.1X 认 证 框 架 1.1 802.1X 简 介 作 为 IEEE802.1 网 络 协 议 族 的 一 部 分, 802.1X [2] 是 IEEE 提 出 关 于 用 户 接 入 网 络 的 认 证 标 准, 全 称 基 于 端 口 的 网 络 接 入 控 制. 为 了 配 合 无 线 网 络 的 接 入, 2004 年 进 行 了 修 订 改 版, 从 而 为 想 要 连 接 LAN 或 者 WLAN 的 设 备 提 供 了 一 种 认 证 机 制. 802.1X 机 制 拒 绝 未 经 授 权 的 非 法 用 户 通 过 接 入 设 备 的 端 口 访 问 网 络, 在 这 种 机 制 中, 一 般 使 用 支 持 802.1X 协 议 的 网 络 交 换 机 作 为 接 入 设 备. 1.2 802.1X 的 系 统 架 构 802.1X 就 好 像 国 境 上 的 关 卡, 只 有 当 用 户 拥 有 正 确 的 凭 据 ( 用 户 名 密 码 等 信 息 ), 才 可 以 通 过 这 个 关 1 收 稿 时 间 :2013-12-17; 收 到 修 改 稿 时 间 :2014-02-17 222 研 究 开 发 Research and Development
2014 年 第 23 卷 第 8 期 http://www.c-s-a.org.cn 计 算 机 系 统 应 用 卡. 如 图 1 所 示, 完 整 的 系 统 是 一 个 典 型 的 C/S 架 构, 由 请 求 者 系 统 认 证 系 统 和 认 证 服 务 器 系 统 三 部 分 构 成 : RADIUS 交 换 机 用 户 终 端 认 证 服 务 器 图 1 802.1X 系 统 架 构 用 户 终 端 是 一 个 设 备 实 体, 可 以 是 用 户 的 台 式 机 笔 记 本, 随 着 智 能 设 备 的 不 断 普 及, 也 可 以 是 用 户 的 智 能 手 机 平 板 电 脑 等 移 动 终 端. 终 端 上 需 要 安 装 有 802.1X 认 证 客 户 端. 接 入 设 备 一 般 采 用 交 换 机, 对 用 户 终 端 的 认 证 进 行 中 继 和 相 关 的 设 置, 主 流 的 网 络 交 换 机 都 可 以 进 行 802.1X 认 证. 认 证 服 务 器 中 多 采 用 RADIUS 服 务 器, 用 于 用 户 认 证 时 的 校 验 用 户 行 为 的 管 理 以 及 用 户 上 下 线 时 的 计 时 计 费. 1.3 802.1X 基 本 概 念 在 802.1X 框 架 中, 规 定 了 一 下 基 本 概 念 : 1 非 受 控 端 口 与 受 控 端 口 用 户 通 过 任 何 一 个 端 口 与 接 入 设 备 相 连 接, 这 一 个 端 口 逻 辑 上 都 分 为 两 个 : 非 受 控 端 口 与 受 控 端 口. 非 受 控 端 口 用 于 用 户 在 非 授 权 模 式 下 发 送 或 接 收 EAPOL 帧 完 成 认 证. 受 控 端 口 只 有 在 用 户 通 过 认 证 后 才 开 通, 用 户 通 过 此 端 口 访 问 网 络. 2 非 授 权 状 态 与 授 权 状 态 接 入 设 备 接 收 到 认 证 服 务 器 返 回 的 认 证 结 果 后, 对 相 应 的 端 口 状 态 进 行 设 置. 3 受 控 方 向 受 控 方 向 仅 在 非 授 权 状 态 下 有 效, 分 为 单 项 受 控 和 双 向 受 控. 双 向 受 控 表 示 该 端 口 禁 止 任 何 帧 的 发 送 和 接 收, 单 向 受 控 表 示 可 以 向 用 户 终 端 发 送 帧, 但 不 能 从 用 户 终 端 接 收 帧. 1.4 802.1X 认 证 的 发 起 模 式 802.1X 的 接 入 过 程 既 可 以 由 用 户 终 端 来 主 动 发 起, 也 可 以 由 接 入 设 备 主 动 发 起. 在 前 一 种 模 式 中, 由 用 户 终 端 首 先 发 送 EAPOL-Start 数 据 帧 来 发 起 认 证 过 程. 在 大 多 数 网 络 应 用 情 况 下, EAPOL-Start 数 据 帧 的 目 的 地 址 是 一 个 由 标 准 规 定 的 组 播 MAC 地 址 : 01-80-C2-00-00-03, 当 然, 目 的 地 址 也 可 以 设 为 接 入 设 备 的 MAC 地 址. 在 第 二 种 模 式 中, 接 入 设 备 需 要 定 时 主 动 发 送 EAP-Request/Identity 报 文 来 发 起 认 证, 在 这 种 模 式 中, 由 于 需 要 接 入 设 备 不 断 循 环 发 送 EAP-Request/Identity 报 文, 交 换 机 负 载 增 加, 故 而 网 络 效 率 会 受 到 一 定 程 度 的 影 响, 因 此 一 般 多 采 用 效 率 更 高 的 用 户 终 端 主 动 发 起 模 式, 只 有 当 用 户 终 端 不 支 持 主 动 发 起 时, 才 采 用 接 入 设 备 主 动 发 起 模 式. 2 EAP 协 议 2.1 EAP 协 议 的 发 展 802.1X 标 准 定 义 了 一 个 在 以 太 网 框 架 内 传 输 IETF 定 义 的 EAP 数 据 帧 的 EAPOL 协 议 [3], 在 用 户 终 端 与 接 入 设 备 中 间 使 用 可 扩 展 认 证 协 议 (Extensible Authentication Protocol, EAP), 由 于 用 户 终 端 和 接 入 设 备 往 往 通 过 局 域 网 络 直 接 连 接, 因 此 EAP 报 文 使 用 EAPOL(EAP OVER LAN) 封 装 后 直 接 承 载 在 LAN 环 境 中. 可 扩 展 认 证 协 议 (EAP), 是 一 个 普 遍 使 用 的 认 证 框 架, 它 在 RFC 3748 Extensible Authentication Protocol (EAP) [4] 中 定 义, 代 替 了 之 前 的 RFC 2284 PPP Extensible Authentication Protocol (EAP), 后 来 又 被 RFC 5247 Extensible Authentication Protocol (EAP) Key Management Framework [5] 再 次 更 新 定 义. 与 传 统 的 在 链 路 建 立 阶 段 提 供 认 证 不 同, EAP 协 议 把 认 证 过 程 推 迟 到 认 证 阶 段 完 成, 这 使 得 认 证 方 可 以 在 获 得 更 多 的 信 息 后, 采 用 某 种 特 定 的 认 证 方 式 进 行 认 证. 通 常, 认 证 端 将 EAP 报 文 (EAP Packet) 直 接 传 递 给 后 方 的 认 证 服 务 器, 由 认 证 服 务 器 真 正 实 现 各 种 认 证 方 式, 认 证 端 只 需 根 据 认 证 服 务 器 传 递 的 成 功 (EAP-Success) 或 失 败 类 型 (EAP-Failure) 的 数 据 包 来 终 止 认 证 过 程 [6]. 2.2 报 文 封 装 格 式 EAPOL 使 用 在 用 户 终 端 和 接 入 设 备 之 间 发 送 EAP 协 议 报 文 的 一 种 封 装 规 范, EAPOL 数 据 包 的 格 式 如 图 2 所 示 : Research and Development 研 究 开 发 223
计 算 机 系 统 应 用 http://www.c-s-a.org.cn 2014 年 第 23 卷 第 8 期 PAE Ethernet Type Protocol Version Type Length Packet Body 图 2 EAPOL 封 装 格 式 各 数 据 域 对 应 的 意 义 如 表 1 所 示 : 表 1 EAPOL 各 数 据 域 长 度 ( 字 数 据 域 代 表 的 意 义 节 ) PAE Ethernet 2 当 前 协 议 类 型, 使 用 0x888E Type Protocol Version 1 发 送 方 所 支 持 的 EAPOL 协 议 版 本 号 Type 1 表 示 EAPOL 数 据 帧 的 类 型 Length 2 Packet Body 的 长 度, 单 位 为 字 节 Packet Body 域 包 含 EAP 报 文 格 式 如 图 3 所 示 : Code Identifier Length Data 图 3 EAP 数 据 包 格 式 各 数 据 域 对 应 的 意 义 如 表 2 所 示 : 表 2 EAP 数 据 包 各 数 据 域 长 度 数 据 域 代 表 的 意 义 ( 字 节 ) EAP 报 文 类 型, 共 Request Response Success Code 1 Failure 四 种, 当 取 Success 或 Failure 时 没 有 Data 域 Identifier 1 用 于 匹 配 Request 消 息 和 Response 消 息. Length 2 EAP 包 的 长 度 2.3 EAP 认 证 方 法 比 较 和 选 择 作 为 一 个 总 体 的 框 架, EAP 在 实 际 的 认 证 流 程 中 需 要 先 选 择 具 体 的 EAP 方 法, IETF 的 RFC 中 提 供 了 多 达 40 余 种 认 证 方 法. 尽 管 如 此 之 多, 但 是 从 逻 辑 上 来 讲, 大 体 分 为 四 类, 第 一 类 以 EAP-MD5 为 代 表, 实 现 极 为 简 单, 部 署 和 管 理 非 常 容 易, 但 安 全 性 能 也 比 较 差, 难 以 抵 抗 中 间 人 攻 击, 也 可 以 用 字 典 式 攻 击 破 解. 如 今 已 经 不 提 倡 使 用, 但 诸 如 很 多 学 校 的 认 证 机 制 仍 然 采 用 EAP-MD5, 安 全 难 以 保 证. 第 二 类 以 EAP-TLS 为 代 表, 作 为 SSL 的 继 承 者, EAP-TLS 提 供 了 非 常 好 的 安 全 性 能, 由 于 采 用 双 向 数 字 证 书 认 证, 数 字 证 书 基 于 数 字 签 名 技 术, 他 是 一 种 主 动 安 全 防 御 策 略, 为 信 息 传 输 提 供 安 全 保 护 [7], 它 有 效 地 防 止 了 中 间 人 攻 击, 即 便 用 户 密 码 发 生 泄 漏, 由 于 攻 击 者 没 有 证 书 也 无 法 认 证 成 功. 它 的 缺 点 也 是 由 于 双 向 证 书, 每 一 个 客 户 端 都 要 拥 有 自 己 的 证 书, 使 得 用 户 的 负 载 比 其 他 方 法 都 大, 证 书 的 发 放 和 管 理 也 需 要 专 门 的 系 统, 所 以 EAP-TLS 因 为 配 置 困 难 而 很 少 使 用. 第 三 类 以 EAP-SIM 为 代 表, 借 助 智 能 卡 这 样 的 物 理 设 备 来 实 现 密 钥 的 安 全 传 输, 本 质 上 是 通 信 双 方 通 过 物 理 接 触 的 方 式 协 商 好 通 信 的 加 密 套 件 和 压 缩 算 法 等 参 数, 它 主 要 应 用 在 移 动 网 络 运 营 商 和 移 动 设 备 用 户 之 间 的 通 信 之 中, 在 一 个 集 团 学 校 公 司 这 样 的 应 用 场 景 中, 其 部 署 难 度 太 大. 为 了 同 时 兼 顾 认 证 安 全 性 和 部 署 管 理 复 杂 度, 在 RFC 5281 Extensible Authentication Protocol Tunneled Transport Layer Security Authenticated Protocol Version 0 (EAP-TTLSv0) [8] 中, IETF 提 出 了 EAP-TTLS 方 法, 它 提 供 极 其 优 秀 的 安 全 性 能, 而 且 不 要 求 在 用 户 终 端 上 安 装 数 字 证 书, 部 署 管 理 仅 仅 需 要 通 过 一 个 轻 量 级 的 客 户 端 软 件 即 可 完 成. 微 软 在 Microsoft's PEAP version 0 (Implementation in Windows XP SP1) [9] 和 Protected EAP Protocol (PEAP) Version 2 [10] 中 提 出 了 EAP-PEAP 的 认 证 方 式, 由 于 它 仅 仅 要 求 认 证 服 务 器 端 安 装 数 字 证 书 而 客 户 端 不 需 要 安 装, 因 此 与 EAP-TTLS 非 常 相 似. 通 信 过 程 中 使 用 服 务 器 端 的 证 书 协 商 出 安 全 的 对 称 加 密 密 钥 来 保 证 通 信 安 全, 由 于 EAP-PEAP 是 由 思 科 微 软 联 合 RSA Security 共 同 提 出 的 开 放 标 准, 它 已 经 被 WPA 和 WPA2 标 准 批 准, 因 此 本 文 在 EAP-PEAP 认 证 机 制 上 做 一 些 思 考 和 改 进. 2.4 EAP-PEAP 认 证 流 程 根 据 PEAP 协 议, 客 户 端 软 件 和 认 证 服 务 器 之 间 的 接 入 认 证 应 分 为 两 个 阶 段 : TLS 握 手 阶 段 和 TLS 通 道 阶 段. 第 一 个 阶 段 是 客 户 端 通 过 数 字 证 书 验 证 服 务 器 端 身 份 并 建 立 安 全 通 道, 完 成 TLS 握 手, 成 为 TLS 握 手 阶 段, 由 于 对 认 证 服 务 器 的 合 法 性 校 验 在 不 安 全 的 网 络 上 协 商 安 全 加 密 通 道 均 是 在 TLS 握 手 阶 段 完 224 研 究 开 发 Research and Development
2014 年 第 23 卷 第 8 期 http://www.c-s-a.org.cn 计 算 机 系 统 应 用 成, 毫 不 夸 张 的 说 系 统 的 安 全 性 主 要 靠 第 一 阶 段 的 握 手 策 略 来 保 证. 我 们 通 过 引 入 用 户 设 备 清 单 对 终 端 的 MAC 地 址 的 合 法 性 进 行 鉴 别, 用 户 清 单 中 包 含 用 户 名 设 备 号 设 备 MAC 地 址 等 信 息. 下 面 让 我 们 通 过 图 4 来 详 细 分 解 下 认 证 流 程 : 图 4 EAP-PEAP 认 证 流 程 1) 客 户 端 发 送 EAPOL-Start 帧 启 动 认 证, 接 入 设 备 收 到 后, 发 送 EAP-Request/Identity 数 据 帧, 请 求 用 户 的 身 份 信 息. 2) 客 户 端 发 送 EAP-Response/Identity 数 据 帧, 数 据 帧 中 的 Identity 域 存 放 用 户 的 身 份 标 识 符 ( 如 用 户 名 @ 域 名 ). 3) 服 务 器 校 验 客 户 端 的 MAC 地 址 是 否 在 用 户 的 设 备 清 单 之 后, 如 果 不 存 在 不 予 响 应, 否 则 发 送 EAP-Request/PEAP/Start 数 据 帧 启 动 PEAP 认 证. 4) 客 户 端 根 据 自 己 支 持 的 协 议 版 本 Session ID 加 密 套 件 压 缩 算 法 以 及 随 机 数 生 成 EAP-Response/ ClientHello 数 据 帧, 然 后 发 送 出 去. 5) 服 务 器 挑 选 支 持 的 一 组 加 密 算 法, 加 上 自 己 生 成 的 服 务 器 端 随 机 数 Session ID 压 缩 算 法 组 成 ServerHello, 然 后 将 ServerHello 服 务 器 的 数 字 证 书 ServerKeyExchange ServerHelloDone 消 息 发 送 给 客 户 端. 6) 客 户 端 收 到 后 首 先 使 用 CA 证 书 颁 发 机 构 获 取 的 根 证 书 验 证 服 务 器 的 数 字 证 书, 验 证 认 证 服 务 器 证 书 的 时 间 和 名 称 是 否 合 法, 如 果 合 法 则 提 取 认 证 服 务 器 数 字 证 书 中 的 公 钥, 同 时 客 户 端 软 件 随 机 产 生 一 个 预 主 密 码 PreMasterSecret, 然 后 使 用 认 证 服 务 器 的 公 钥 对 预 主 密 钥 加 密 得 到 ClientKeyExchange, 然 后 将 ClientKeyExchange ChangeCipherSpec 和 Finished 消 息 发 送 给 服 务 器. 7) 服 务 器 验 证 Finished 消 息 的 正 确 性, 如 果 正 确 使 用 自 己 的 数 字 证 书 对 应 的 私 钥 对 ClientKey Exchange 进 行 解 密, 从 而 认 证 服 务 器 就 可 以 获 得 客 户 端 随 机 生 成 的 预 主 密 钥, 通 信 双 方 对 预 主 密 钥 第 4 步 中 的 客 户 端 随 机 数 以 及 第 5 步 中 的 认 证 服 务 器 随 机 数 进 行 相 同 的 运 算 得 到 对 称 加 密 密 钥 加 密 初 始 化 向 量 以 及 HMAC 密 钥 [11]. 至 此, 通 信 双 方 已 经 安 全 的 协 商 出 了 一 套 加 密 通 道, TLS 通 道 建 立 成 功. 服 务 器 发 送 自 己 的 ChangeCipherSpec 和 Finished 消 息 给 客 户 端. 8) 客 户 端 回 复 一 个 空 响 应 启 动 第 二 阶 段. 服 务 器 收 到 后 发 送 一 个 EAP-Request/Identity 数 据 帧, 请 求 用 户 的 身 份 标 识. 9) 客 户 端 回 复 EAP-Response/Identity 数 据 帧, 数 据 帧 中 包 含 用 户 的 身 份 标 识. 10) 服 务 器 发 送 EAP-Request/EAP-MS-CHAP-V2 挑 战 消 息, 包 含 对 用 户 认 证 的 挑 战 消 息. 11) 客 户 端 使 用 用 户 名 密 码 MAC 地 址 随 机 数 等 信 息 进 行 SHA1 散 列 运 算 得 到 挑 战 应 答, 然 后 回 复 EAP-Response/EAP-MS-CHAP-V2 挑 战 应 答, 并 且 包 含 自 己 的 一 个 挑 战 消 息. 12) 服 务 器 校 验 客 户 端 的 挑 战 应 答, 如 成 功 则 发 送 RADIUS Access-Challenge/EAP-Request/PEAP/ EAP-ExtensionsSuccessResultTLV, 指 出 客 户 端 软 件 的 应 答 是 正 确 的, 并 且 包 含 客 户 端 软 件 发 送 的 挑 战 消 息. 13) 客 户 端 检 查 挑 战 信 息 是 否 与 自 己 发 送 的 一 致, 如 果 一 致 则 回 复 EAP-Response/PEAP/ EAPExtensionsSuccessResultTLV 来 指 出 服 务 器 的 回 应 消 息 是 正 确 的. Research and Development 研 究 开 发 225
计 算 机 系 统 应 用 http://www.c-s-a.org.cn 2014 年 第 23 卷 第 8 期 14) 服 务 器 发 送 一 个 EAP-Success 消 息, 认 证 成 功. 用 户 终 端 可 以 访 问 网 络, 认 证 服 务 器 开 始 计 费. 3 个 性 化 策 略 从 系 统 和 用 户 两 个 方 面 考 虑 个 性 化 策 略. 尽 管 整 个 认 证 流 程 主 要 参 考 很 多 软 件 支 持 的 国 际 标 准, 但 考 虑 到 实 际 的 需 求, 很 多 集 团 并 不 允 许 一 个 第 三 方 的 接 入 申 请 软 件 在 自 己 的 内 网 中 通 过 认 证, 以 免 对 集 团 的 信 息 安 全 造 成 潜 在 的 威 胁 ; 在 很 多 集 团 或 者 公 司 也 会 因 为 诸 如 上 市 之 前 要 求 对 整 体 的 设 备 终 端 情 况 有 一 个 统 计 而 希 望 有 自 己 的 客 户 端 软 件. 为 了 拒 绝 第 三 方 软 件 通 过 认 证, 就 需 要 通 过 加 入 系 统 个 性 化 的 认 证 机 制 来 实 现. 在 本 认 证 机 制 中, 除 了 认 证 用 户 名 和 密 码 的 组 合, 还 把 用 户 终 端 设 备 的 MAC 地 址 按 照 自 定 义 的 方 式 参 与 到 最 终 认 证 凭 据 的 散 列 运 算 之 中, 这 就 使 得 其 他 认 证 软 件 无 法 通 过 认 证. 传 统 的 接 入 控 制 系 统 设 计 之 时, 单 个 用 户 往 往 只 有 一 台 终 端 需 要 访 问 网 络, 因 此 并 没 有 将 单 用 户 多 终 端 的 需 求 纳 入 考 虑 范 围 ; 另 一 方 面, 传 统 的 系 统 为 了 认 证 的 方 便, 通 常 采 用 IP 地 址 表 或 者 MAC 地 址 表 的 方 式, 用 户 的 认 证 凭 据 与 这 两 种 信 息 之 一 进 行 对 应, 这 就 使 得 用 户 希 望 使 用 同 一 个 账 户 在 不 同 设 备 上 同 时 登 录 的 需 求 难 以 实 现. 而 随 着 单 用 户 拥 有 设 备 数 量 的 增 加, BYOD(Bring Your Own Device) 的 现 象 越 来 越 普 遍, 因 此 同 一 个 账 户 多 处 同 时 登 陆 就 成 了 非 常 普 遍 的 需 求. 基 于 这 样 的 考 虑, 采 用 用 户 管 理 自 己 设 备 清 单 的 方 式 来 满 足 这 一 需 求, 所 有 的 用 户 都 实 现 了 自 己 管 理 自 己 的 设 备 清 单, 并 且 可 以 设 置 是 否 允 许 多 处 登 陆 等 信 息. 目 前 应 用 比 较 广 泛 的 认 证 机 制, 有 校 园 网 的 锐 捷 认 证 Linux 环 境 下 的 XSupplicant 和 为 无 线 网 络 设 计 的 Wpa_Supplicant. 锐 捷 认 证 是 很 多 校 园 网 的 认 证 机 制, 包 括 其 客 户 端 和 服 务 端 都 比 较 成 熟, 尽 管 作 为 商 业 软 件 无 法 获 知 其 实 现 细 节, 但 从 与 其 兼 容 的 开 源 版 本 Mentohust 来 看, 锐 捷 认 证 多 采 用 EAP-MD5 认 证 机 制. XSupplicant 认 证 是 Linux 上 面 的 开 源 认 证 客 户 端, 考 虑 了 多 种 认 证 方 式, 但 仅 仅 是 标 准 的 实 现, 并 没 有 涉 及 到 服 务 器 端 的 设 计. Wpa_Supplicant 重 点 考 虑 了 无 线 网 络 环 境 下 的 接 入 认 证. 这 些 认 证 机 制 都 无 法 满 足 当 前 单 用 户 单 账 户 多 处 同 时 登 陆 的 需 求. 笔 者 所 设 计 的 这 个 接 入 认 证 机 制, 着 重 考 虑 了 在 较 低 的 代 价 的 基 础 上 实 现 单 用 户 单 账 号 多 处 同 时 登 陆 的 需 求, 并 对 认 证 过 程 进 行 了 个 性 化 定 制, 大 大 降 低 了 用 户 端 的 管 理 复 杂 度. 在 2.4 节 对 认 证 流 程 的 研 究 基 础 上, 可 以 非 常 方 便 地 实 现 一 个 个 性 化 的 接 入 认 证 系 统. 以 笔 者 2.66GHz 双 核 CPU 4GB 内 存 Windows8 系 统 作 为 客 户 端, Cisco802.1X 交 换 机 作 为 认 证 中 介, I5 四 核 处 理 器 8GB 内 存 Windows8 作 为 服 务 器 的 测 试 结 果 显 示, 有 线 接 入 认 证 时 间 平 均 为 2.6 秒, 使 用 无 线 网 卡 接 入 认 证 时 间 平 均 为 3.7 秒, 并 且 可 以 用 户 自 己 管 理 设 备 清 单 的 方 式 实 现 合 法 设 备 的 多 处 同 时 登 陆. 总 体 来 说, 本 文 所 研 究 的 认 证 机 制 使 用 了 EAP/PEAP 机 制 来 保 证 服 务 器 端 的 合 法 性, 然 后 使 用 服 务 器 的 证 书 构 造 安 全 的 加 密 通 道, 再 使 用 在 认 证 协 议 中 加 入 个 性 化 的 MAC 散 列 元 素 和 账 户 密 码 来 共 同 保 证 客 户 端 的 合 法 性, 从 而 在 避 免 用 户 端 证 书 带 来 部 署 复 杂 度 的 情 况 下 实 现 了 非 常 高 的 安 全 性, 最 后 使 用 用 户 设 备 清 单 机 制 来 支 持 单 用 户 单 账 号 多 处 同 时 登 陆, 从 而 减 低 了 用 户 端 的 管 理 复 杂 度. 4 结 语 面 对 如 今 人 们 对 网 络 越 来 越 高 的 需 求, 802.1X 仅 仅 通 过 较 低 的 代 价 实 现 基 本 不 受 限 制 的 认 证, 并 且 可 以 保 证 非 法 用 户 不 能 访 问 网 络, 从 而 迅 速 得 到 广 泛 应 用. 在 众 多 的 EAP 认 证 方 法 中, EAP-PEAP 仅 对 服 务 器 端 提 出 了 证 书 要 求, 从 而 在 保 证 足 够 安 全 的 情 况 下, 大 大 降 低 了 管 理 和 部 署 的 复 杂 度. 针 对 系 统 的 个 性 化 的 需 求, 需 要 制 定 合 理 的 认 证 流 程, 对 于 如 今 更 加 重 要 的 用 户 个 性 化 需 求, 通 过 引 入 用 户 设 备 清 单 的 方 式 使 用 户 可 以 定 制 自 己 的 多 台 设 备 的 网 络 访 问 方 案. 参 考 文 献 1 石 东 源, 卢 炎 生, 王 星 华, 段 献 忠.SVG 及 其 在 电 力 系 统 软 件 图 形 化 中 的 应 用 初 探. 继 电 器,2004,32(16):37 40. 2 黄 志 清. 网 络 安 全 中 的 数 据 加 密 技 术 研 究. 计 算 机 系 统 应 用,2000,9(7):24 26. 3 IEEE Std 802.1X.Port Based Network Access Control, 2001. 226 研 究 开 发 Research and Development
2014 年 第 23 卷 第 8 期 http://www.c-s-a.org.cn 计 算 机 系 统 应 用 4 Hecher A, Labiod H. Pre-authenticated signaling in Wireless LANs using 802.1X access control. Global Telecommunications Conference, 2004. 5 IETF RFC3748. Extensible Authentication Protocol (EAP). June 2004. 6 IETF RFC5247. Extensible Authentication Protocol (EAP) Key Management Framework. August 2008. 7 何 玲 娜, 史 烈, 陈 小 平. 基 于 EAP 无 线 安 全 认 证 系 统 的 设 计 和 实 现. 计 算 机 工 程 与 设 计,2005,26(2):423 425. 8 曾 孜. 网 络 安 全 中 的 数 字 签 名 技 术 分 析 与 应 用. 计 算 机 系 统 应 用,2001,10(8):33 35. 9 IETF RFC5281. Extensible Authentication Protocol Tunneled Transport Layer Security Authenticated Protocol Version 0 (EAP-TTLSv0). August 2008 10 Internet-draft. Microsoft s PEAP version 0 (Implementation in Windows XP SP1). 25 October 2002. 11 Internet-draft. Protected EAP Protocol (PEAP) Version 2. 15 October 2004. 12 IETF RFC2246. The TLS Protocol Version 1.0. January 1999. Research and Development 研 究 开 发 227