-1-
无线安全认证协议 的改进1
王跃峰,李腊元
武汉理工大学高性能网络研究所,武汉(430063)
E-mail:@
摘 要:本文主要介绍了 的体系结构和认证流程,分析了它的缺陷,从数据完
整性保护角度出发,在 EAPOL包中增加了一个 Protection字段,提出了 SDVIA(Source Data
Verity and Integrity Authentication,数据真实性和完整性认证)认证。该认证技术可以弥补
认证协议存在设计上的缺陷,有效的预防中间人和会话劫持攻击。
关键词: ,EAPOL,RADIUS,SDVIA
中图分类号:TP393
1.引言
有线局域网通过固定线路连接组建,计算机终端通过网络接入固定位置物理端口,实现
局域网接入,数据传输直接送到目的地,这里没有直接控制到端口的方法,也不需要控制到
端口,这些固定位置的物理端口构成有线局域网的封闭物理空间。但是,由于无线局域网的
网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网
络。随着无线局域网的广泛应用,如何通过端口认证来实现用户级的接入控制就成为一项非
常现实的问题。正是基于这一需求而出现的一种认证技术[1]。
协议,称为基于端口的访问控制协议(Port Based Network Access Control
Protocol),是由 IEEE于 2001年 6月提出的,符合 IEEE802协议集的局域网接入控制协议,
主要目的是为了解决无线局域网用户的接入认证问题,能够在利用 IEEE802 局域网优势的
基础上提供一种对连接到局域网用户的认证和授权手段,达到接收合法用户输入,保护网络
安全的目的。
2.体系结构[2]
协议的体系结构包括 3个重要部分:客户端、认证系统和认证服务器。图 1
就是 的体系结构。
1本课题得到国家自然科学基金项目(批准号:60672137)的资助。
-2-
1)客户端
客户端,也就是申请者,一般是一个用户移动终端,如安装有网卡的 PC 机。该终端系
统通常要安装一个客户端软件,用户通过启动这个客户端软件发起 IEEE 802. 1x认证。为了
支持基于端口的接入控制,客户端系统需要支持 EAPOL协议。
2)认证系统
认证系统在 网络中就是接入点,在认证过程中只起到“透传”的功能,所有的认证
工作在客户端和认证服务器上完成。
认证系统通常为支持 x协议的网络设备(比如无线交换机),它为请求者提供服务
端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如 LAN Switch和
AP)上实现 认证。后文的认证系统、认证点和接入设备三者表达相同含义。
接入点在认证过程中虽然只起到“透传”的功能,但是在认证之前,它可以把申请者的数
据分到两个逻辑端口中:控制端口和非控制端口,如图 2所示。
-3-
非控制端口始终处于连通状态,它不需要授权,随时可以与网络中的其他机器进行数据
交换,主要用来传递 EAPOL协议帧,保证可以随时接收客户端申请者发出的认证请求。控
制端口只有在认证通过的状态下才打开,用于传递网络资源和服务,有双向受控和仅输入受
控两种方式,以适应不同的应用环境。
图 2中申请者 1没有通过身份认证,控制端口不通,处于未授权状态。申请者 2通过身
份认证,控制端口连通,处于授权状态。
3)认证服务器
通常为 RADIUS (Remote Authentication Dial In User Service)服务器,该服务器存储有关
用户的信息,比如用户的身份标识和密码等等。当用户进行认证时,认证系统需要通过认证
服务器来验证用户是否合法。如果用户合法,认证服务器通知认证系统,用户已经通过认证,
把可控端口打开。此后,用户就可以正常地通过端口访问认证系统所提供的服务。认证系统
和 RADIUS服务器之间通过承载于 RADIUS协议之上的 EAP协议进行通信。
3.的 EAP认证过程
1)认证过程
采用 EAP 点对点协议认证,EAP 消息被封装在 消息中,称做
EAPOL。
EAP 消息有 EAP 请求,EAP 响应,EAP 成功通知和 EAP 失败通知四类。其中,只有
EAP 请求消息是可以在认证系统和接入客户端系统之间直接发送,其它的消息都是从认证
服务器发给客户端系统,或者从客户端系统发给鉴权服务器的,认证系统只是完成中转和协
议转换(认证系统与客户端系统之间用 EAPOL承载,客户端系统与认证服务器之间用其它
高层协议,如 RADIUS)。
图 3描述的是由客户端系统发起认证请求,一次口令交换下,鉴权成功的消息流。其中,
实线代表 EAPOL 数据帧的交换,虚线代表认证系统与认证服务器间的高层协议,采用
RADIUS协议。
可以看出,认证者完成 EAP 消息的重新封装,来传输认证消息。认证服务器把认证结
果以 RADIUS-ACCEPT 或者 RADIUS-REJECT 的形式传给认证者,认证者再重新封装成
-4-
EAP-Success 或者 EAP-Failure 消息给申请者。当申请者收到 EAP-Success 消息时,说明认
证成功,可以接入局域网络了[1]。
2)EAPOL数据包的格式(如图 4所示)
● PAE Ethernet类型:取值范围 0x88~0x8e。
● 协议版本:现在取值为 0x01。
● 类型:EAPOL数据包的类型。
● 长度:后面数据体的字节数。
● 数据体:根据类型的不同,数据体有不同的格式。
4.协议的缺陷分析
1)中间人攻击
由于 x是一个不对称协议,它只允许网络鉴别用户,而不允许用户鉴别网络。
因而,攻击者能够窃听用户和访问点之间的通信,扮演“中间人”的角色在移动用户和合法访
问点之间传递虚假信息,实施中间人攻击。
在客户端系统发出接入请求时,攻击者在客户端一方假冒认证系统,在认证系统一方假
冒客户端系统,就可以绕过认证机制。
2)会话劫持[3]
认证缺乏清晰的通信和消息真实性,所以很可能遭到会话劫持攻击。
图 5显示了会话劫持是如何实现的,攻击的过程描述如下:
-5-
1)消息 1、2、3和 4:合法的申请者进行认证(假设 EAP认证只包含这 4条消息,实
际的 EAP认证多于 4条消息)。
2)消息 5:攻击者冒充 AP的MAC地址发送一条 Disassociate管理帧给申请者。这使得
申请者的状态为 Disassociated。这条消息使 RSN 状态机被设置为 Unassociated,而
状态机的状态仍为 Authenticated。
3)消息 6:这时攻击者冒充申请者的MAC地址接入到网络。
5.SDVIA认证的提出
IEEE 认证虽然不完善,但是在无线局域网中起着不可替代的作用。目前协议的
缺陷主要原因是缺少数据包的源真实性和完整性保护,因此在充分考虑了源真实性和完整性
的基础上提出了改进的 IEEE 认证 --SDVIA (Source Data Verity and Integrity
Authentication,数据真实性和完整性认证)认证。
1)HMAC的引入
HMAC的原理
计算 HMAC需要一个散列函数 hash(例如MD5)和一个密钥 key。用 L表示 hash函数
-6-
输出字符串长(MD5是 16),用 B表示数据块的长度(MD5的分割数据块长都是 64)。密
钥 key 的长度可以小于等于数据块长 B,如果大于数据块长度,可以使用 hash 函数对 key
进行转换,结果就是一个 L长的 key。
然后创建两个 B长的不同字符串:
innerpad = 长度为 B的 0x36
outterpad = 长度为 B的 0x5C
计算输入字符串 str的 HMAC:
hash(key ^ outterpad, hash(key ^ innerpad, str))
HMAC的应用
HMAC主要应用在身份验证中,它的使用方法是这样的:
(1)客户端发出登录请求。
(2)服务器返回一个随机值,并在会话中记录这个随机值。
(3)客户端将该随机值作为密钥,用户密码进行 HMAC运算,然后提交给服务器。
(4)服务器读取用户数据库中的用户密码和步骤 2 中发送的随机值做与客户端一样的
HMAC运算,然后与用户发送的结果比较,如果结果一致则验证用户合法。
在这个过程中,可能遭到安全攻击的是服务器发送的随机值和用户发送的 HMAC结果,
而对于截获了这两个值的黑客而言这两个值是没有意义的,绝无获取用户密码的可能性,随
机值的引入使 HMAC只在当前会话中有效,大大增强了安全性和实用性。
2)改进的方法
SDVIA认证在 EAPOL包中增加了一个 Protection字段。如图 5-7所示。
这个 Protection字段由两部分组成:
Protection = HMAC + Key
第 1部分为前 5个字段的MD5散列,第 2部分为上一个 EAPOL数据包中 HMAC的密
钥。
每条消息的密钥是随机产生的,在发送一个 EAPOL数据包时并没有包含这个散列函数
的密钥,相反,这个密钥将包含在下一个数据包中。接收方在收到一个 EAPOL包时首先进
行存储,用接收到的下一个包的密钥验证上一个包的源真实性和完整性。
6.SDVIA协议的认证实现过程(图 7)
1)客户端向认证者发送 EAPOL-Start 发起认证。认证过程同样可以由认证者发起,但
是它直接发送 EAP-Request/Identity而不是 EAPOL-Start 消息。在第 1 条消息封装的最后一
部分是 Protection字段,其中 HMAC是数据帧随机用密钥 Ks1(Ks代表客户端的散列函数
密钥)的散列值,因为是客户端的第 1条消息,所以 Key字段为 0。事实上,认证者在检测
到端口从“disable”状态转移到“enable”状态时就向客户端发送认证请求。如果客户端没有收
到来自认证者的认证请求,那么它就会在适当的时候通过 EAPOL-Start消息发起认证过程;
-7-
2)当认证者不知道用户身份时就发送该消息(EAP-Request/Identity)。其中 HMAC是数
据帧随机用密钥 Ka1(Ka 代表认证者的散列函数密钥)的散列值,因为是认证者的第 1条
消息,所以 Key字段为 0;
3)客户端收到 EAP-Request/Identity消息,就用其用户名响应,发送EAP-Response/Identity
消息给认证者,HMAC是数据帧随机用密钥 Ks2的散列值,Key字段为 Ks1;
4)认证者把包含有用户身份的 EAP响应包重新以 RADUIS协议格式封装,并把重新封
装后的包由 RADUIS客户端发送至 RADUIS服务器;
5)RADIUS服务器在收到该包后将选择具体的认证机制,并发送相应的 EAP请求包到
认证者;
6)认证者并不解释来自 RADUIS的 EAP包的具体内容,而只是检查 RADUIS协议包的
类型,由于是质询包,因此认证者将其毫不改变的转发给客户端,HMAC 是数据帧随机用
密钥 Ka2的散列值,Key字段为 Ka1;
7)客户端收到上述请求包后,如果支持 RADUIS 服务器选择的认证机制,就根据认证
机制的要求作出响应,并通过 EAP封装后发送给认证者,HMAC是用客户端私钥对数据帧
的签名,Key字段为 Ks2;如果不支持 RADUIS服务器选择的认证机制,则发送 NAK包,
这样 RADUIS服务器将重新选择认证机制,并从第 5步重新开始;
8)认证者把来自客户端的 EAP响应包中继到 RADUIS服务器;
9)如果 RADUIS 认证服务器通过了对客户端的认证,则向认证者发送
RADUIS-Access-Accept消息;否则就向其发送 RADUIS-Access -Reject消息;
10)如果认证者收到 RADIUS-Access-Accept 消息,则认为认证成功,于是打开受控端
口,并向客户端发送 EAP-Success消息,此后客户端就可以进行授权的正常通信过程,如果
认证者收到 RADUIS-Access-Reject 消息,则认为认证失败,于是关闭受控端口,并向客户
端发送 EAP-Failure消息,HMAC是用认证者的私钥对数据帧的签名,Key字段为 Ka2;
-8-
11)当客户端通过认证(重认证)之后,无线接入点 AP 将向客户端发送用来加密广播
帧的广播密钥 EAPOL-Key。广播密钥的发送保证了客户端用于单播时会话密钥的保密性。
而会话密钥的派生与发送与认证服务器选择的具体的认证机制有关;
12)当客户端离线时,向认证者发送离线通知 EAPOL–Logoff,HMAC为客户端私钥对
数据帧的签名,Key字段为 0,认证者收到消息后重新关闭受控端口。
认证过程中 EAP-Request 和 EAP-Response 可能有多条消息构成,这里我们只用 6 和 7
两条消息代表。
7.SDVIA认证方案的性能论证
由于 SDVIA 认证中对于客户端和认证者的交互消息引入源认证以及完整性保护。这样
即保证了源真实性也保证了完整性,使得重放攻击对于认证过程以及认证实体的影响降低到
较小的程度。
同时,如果攻击者想伪造一个 EAPOL 包,那么他必须还要有前一个 EAPOL 包中散列
函数的密钥,这对于攻击者几乎是不可能的。由于在改进的协议中,接收者要存储一个数据
包,等下一个数据包到来时才进行验证,这里只要限制存储的数据包只能为 1,这样即使攻
击者进行 DoS攻击也不能耗尽服务器的计算资源和存储资源。
改进协议的缺点:
由于 SDVIA 认证过程中认证者和客户端在交互认证消息时还要计算完整性校验以及存
储一条消息,所以协议的复杂度就提高了。
8. 结束语
由于 x没有提供双向认证和对管理帧的加密,从而使得中间人攻击和会话欺
诈很容易成功,特别是在WLAN环境中,环境的开放使得攻击者更容易得手,因此需要不
断完善和改进 认证协议。
-9-
参考文献
[1]马建峰,朱建明.无线局域网安全—方法与技术[J].北京:机械工业出版社..
[3]曹秀,英耿,嘉沈平.无线局域网安全系统[D].北京:电子工业出版社,.
[2]徐胜波,马文平,王新梅.无线通讯网中的安全技术[J].北京:人民邮电出版社..
,EAPOL,RADIUS,SDVIA
Wang Yuefeng, Li Layuan
Wuhan University of Technology, Wuhan (430063)
Abstract
This paper mainly introduces system structure and authentication flow of , analyses its
flaws, form the point of view data integrity protection, adds a Protection field in EAPOL package,
proposes a authentication protocol SDVIA(Source Data Verity and Integrity Authentication).This
protocol technology can make up the design flaws of , and effectively prevent
Man-in-the-middle-attacks or Session Hijack.
Keywords: , EAPOL, RADIUS, SDVIA
<<
/ASCII85EncodePages false
/AllowTransparency false
/AutoPositionEPSFiles true
/AutoRotatePages /None
/Binding /Left
/CalGrayProfile (Dot Gain 20%)
/CalRGBProfile (sRGB )
/CalCMYKProfile (. Web Coated \050SWOP\051 v2)
/sRGBProfile (sRGB )
/CannotEmbedFontPolicy /Error
/CompatibilityLevel
/CompressObjects /Tags
/CompressPages true
/ConvertImagesToIndexed true
/PassThroughJPEGImages true
/CreateJDFFile false
/CreateJobTicket false
/DefaultRenderingIntent /Default
/DetectBlends true
/ColorConversionStrategy /LeaveColorUnchanged
/DoThumbnails false
/EmbedAllFonts true
/EmbedJobOptions true
/DSCReportingLevel 0
/EmitDSCWarnings false
/EndPage -1
/ImageMemory 1048576
/LockDistillerParams false
/MaxSubsetPct 100
/Optimize true
/OPM 1
/ParseDSCComments true
/ParseDSCCommentsForDocInfo true
/PreserveCopyPage true
/PreserveEPSInfo true
/PreserveHalftoneInfo false
/PreserveOPIComments false
/PreserveOverprintSettings true
/StartPage 1
/SubsetFonts true
/TransferFunctionInfo /Apply
/UCRandBGInfo /Preserve
/UsePrologue false
/ColorSettingsFile ()
/AlwaysEmbed [ true
]
/NeverEmbed [ true
]
/AntiAliasColorImages false
/DownsampleColorImages true
/ColorImageDownsampleType /Bicubic
/ColorImageResolution 300
/ColorImageDepth -1
/ColorImageDownsampleThreshold
/EncodeColorImages true
/ColorImageFilter /DCTEncode
/AutoFilterColorImages true
/ColorImageAutoFilterStrategy /JPEG
/ColorACSImageDict <<
/QFactor
/HSamples [1 1 1 1] /VSamples [1 1 1 1]
>>
/ColorImageDict <<
/QFactor
/HSamples [1 1 1 1] /VSamples [1 1 1 1]
>>
/JPEG2000ColorACSImageDict <<
/TileWidth 256
/TileHeight 256
/Quality 30
>>
/JPEG2000ColorImageDict <<
/TileWidth 256
/TileHeight 256
/Quality 30
>>
/AntiAliasGrayImages false
/DownsampleGrayImages true
/GrayImageDownsampleType /Bicubic
/GrayImageResolution 300
/GrayImageDepth -1
/GrayImageDownsampleThreshold
/EncodeGrayImages true
/GrayImageFilter /DCTEncode
/AutoFilterGrayImages true
/GrayImageAutoFilterStrategy /JPEG
/GrayACSImageDict <<
/QFactor
/HSamples [1 1 1 1] /VSamples [1 1 1 1]
>>
/GrayImageDict <<
/QFactor
/HSamples [1 1 1 1] /VSamples [1 1 1 1]
>>
/JPEG2000GrayACSImageDict <<
/TileWidth 256
/TileHeight 256
/Quality 30
>>
/JPEG2000GrayImageDict <<
/TileWidth 256
/TileHeight 256
/Quality 30
>>
/AntiAliasMonoImages false
/DownsampleMonoImages true
/MonoImageDownsampleType /Bicubic
/MonoImageResolution 1200
/MonoImageDepth -1
/MonoImageDownsampleThreshold
/EncodeMonoImages true
/MonoImageFilter /CCITTFaxEncode
/MonoImageDict <<
/K -1
>>
/AllowPSXObjects false
/PDFX1aCheck false
/PDFX3Check false
/PDFXCompliantPDFOnly false
/PDFXNoTrimBoxError true
/PDFXTrimBoxToMediaBoxOffset [
]
/PDFXSetBleedBoxToMediaBox true
/PDFXBleedBoxToTrimBoxOffset [
]
/PDFXOutputIntentProfile ()
/PDFXOutputCondition ()
/PDFXRegistryName ()
/PDFXTrapped /Unknown
/Description <<
/ENU (Use these settings to create PDF documents with higher image resolution for high quality pre-press printing. The PDF documents can be opened with Acrobat and Reader and later. These settings require font embedding.)
/JPN <FEFF3053306e8a2d5b9a306f30019ad889e350cf5ea6753b50cf3092542b308030d730ea30d730ec30b9537052377528306e00200050004400460020658766f830924f5c62103059308b3068304d306b4f7f75283057307e305930023053306e8a2d5b9a30674f5c62103057305f00200050004400460020658766f8306f0020004100630072006f0062006100740020304a30883073002000520065006100640065007200200035002e003000204ee5964d30678868793a3067304d307e305930023053306e8a2d5b9a306b306f30d530a930f330c8306e57cb30818fbc307f304c5fc59808306730593002>
/FRA <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>
/DEU <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>
/PTB <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>
/DAN <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>
/NLD <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>
/ESP <FEFF0055007300650020006500730074006100730020006f007000630069006f006e006500730020007000610072006100200063007200650061007200200064006f00630075006d0065006e0074006f0073002000500044004600200063006f006e0020006d00610079006f00720020007200650073006f006c00750063006900f3006e00200064006500200069006d006100670065006e00200071007500650020007000650072006d006900740061006e0020006f006200740065006e0065007200200063006f007000690061007300200064006500200070007200650069006d0070007200650073006900f3006e0020006400650020006d00610079006f0072002000630061006c0069006400610064002e0020004c006f007300200064006f00630075006d0065006e0074006f00730020005000440046002000730065002000700075006500640065006e00200061006200720069007200200063006f006e0020004100630072006f00620061007400200079002000520065006100640065007200200035002e003000200079002000760065007200730069006f006e0065007300200070006f00730074006500720069006f007200650073002e0020004500730074006100200063006f006e0066006900670075007200610063006900f3006e0020007200650071007500690065007200650020006c006100200069006e0063007200750073007400610063006900f3006e0020006400650020006600750065006e007400650073002e>
/SUO <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>
/ITA <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>
/NOR <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>
/SVE <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>
>>
>> setdistillerparams
<<
/HWResolution [2400 2400]
/PageSize [ ]
>> setpagedevice
