Global Sources
電子工程專輯
 
電子工程專輯 > 網路技術
 
 
網路技術  

確保乙太網路和WLAN通訊安全的802.1X協議測量

上網時間: 2004年05月30日     打印版  Bookmark and Share  字型大小:  

關鍵字:  認證  授權  無線區域網路  乙太網路 

基於的網路存取標準802.1X是由IETF可擴展認證協議(EAP)發展而來的,IEEE推出該標準的目的是為LAN基礎架構提供認證和授權的一種方法。然而,由於早期的802.11無線區域網路(WLAN)應用中暴露出了許多弱點,已有多家供應商在802.1X標準基礎上分別推出了自己的解決方案(LEAP,PEAP等等)。與乙太網路交換機的點對點連接應用相反,WLAN採用的是共享介質連接方式,因此業界針對WLAN使用802.1X提出了多種改進措施。本文介紹IEEE和無線乙太網路相容聯盟(WECA)為了增強WLAN的安全性所做的測量。

802.1X已逐漸成為LAN安全架構中的關鍵要素(圖1)。考慮到設備的相容性及對多種組合模式的支援,測試乙太網路交換機和WLAN接取點(WLAN-AP)是否支援802.1X已經成為一項重要工作。802.1X描述了認證及後續活動產生時的框架結構。它支援多種認證方法,如一次密碼(EAP-MD5),資格認證(EAP-TLS),並能擴展為SIM認證(EAP-SIM)等其它認證類型。圖1:802.1X配置實例。

802.1X規定在區域網路上的系統設備在存取控制交互時必須擔任以下角色之一:

* 認證者:在允許存取可透過埠存取的服務前希望執行認證的埠,扮演認證者角色。


* 請求者:希望存取認證者系統使用的服務的埠扮演請求者角色。

還有一個系統角色,那就是認證伺服器(AS):認證伺服器執行必要的認證功能以檢查請求者的身份,並向認證者指示該請求者是否獲得存取認證者服務的授權。儘管802.1X還沒有要求使用遠端認證撥入用戶服務(RADIUS),但RADIUS事實上已經成為認證者和認證伺服器之間最常用的協議。

雖然在整個認證過程中這三個角色都缺一不可,但還是有多種存在的形式。例如在簡單系統中,認證者和認證伺服器可能都位於同一系統中,此時不需要外部伺服器。另外,一個埠可能在某些交換過程中扮演請求者的角色,而在另外一些交換過程中又作為認證者。後種情況在WLAN接取點最新加入到區域網路時是非常有用的,此時新加入的接取點在認證其它試圖連接使用它的服務的WLAN主機之前,本身必須先得到乙太網路交換機埠的認證。

從配置開始

802.1X工作時會給認證者製作2個不同的存取點(這二個存取點都可獲得從實體埠上接收到的任何訊框):

* 不受控埠:這個存取點允許自由地進行PDU交換,而不管認證狀態;


* 受控埠:這個存取點只有在埠的目前狀態是授權的情況下才允許交換PDU。

參數AuthControlledPortStatus用來指示受控的埠處於授權還是未授權狀態。而參數AuthControlledPortControl允許管理員控制並設置埠為強迫不受權(ForceUnauthorized)、自動(Auto)、強迫授權(ForceAuthorized)。

系統中每個埠的AuthControlledPortControl參數值可以透過修改SystemAuthControl參數加以覆蓋。例如,將SystemAuthControl參數設為禁止(disabled)會使所有埠上的認證都停止工作。反過來,將SystemAuthControl參數設為啟用(enabled)時會強迫所有埠執行認證作業,此時每個埠的認證狀態將受控於各自的AuthControlledPortControl參數值表1:請求者埠上可能的設置組合。

最後需要說明的是,所有網路的存取存取都要取決於MAC的目前管理和作業狀態。如果目前的MAC是不可作業的,那麼任何類型的協議交換都不能進行。雖然在安全配置中SystemAuthControl會被設置為Enabled,AuthControlledPortControl會被設置為Auto或ForceUnauthorized,但必須測試乙太網路交換機的所有組合情況,因而形成表1所示的各個AuthControlledPortStatus值。

認證架構

在區域網中採用802.1X認證時,站點(請求者)需要得到LAN基本設備(乙太網路交換機)的認證。然而即使是這種簡單的案例也會引起潛在性的危險,也被稱為中間人襲擊,此時入侵者會把自己偽裝成認證者並從該站點取得對認證資訊的存取權。減少該類型襲擊需要二個認證步驟-首先由乙太網路主交換機認證工作組交換機,然後再由工作組交換機認證該站點。因此需要測試工作組交換機是否既能支援請求者又能支援認證者。

在無線區域網路(WLAN)領域,也有必要測試交互認證(透過接取點對主站和認證伺服器之間的認證)是否能被正確地執行。為了減少偽AP情況的出現,這是非常必要的,因為入侵者通常是透過偽AP存取主站甚至網路中其它站點的。思科的LEAP實現測試採用的就是802.1X交互認證,雖然其中也包含了請求者和認證伺服器上運算密碼要求的思科專有LEAP演算法。

還必須測試與認證伺服器的互通作業性,以便驗證認證過程被正確地實現。與認證伺服器交互的802.1X實現組件被稱為後端認證狀態機。由於802.1X支援基於周期性的認證狀態資訊超時,因此也需要對這方面進行測試。

認證類型

必須測試EAP-MD5、EAP-TLS、EAP-TTLS等所有可支援的認證類型,以及PEAP、LEAP等可支援的安全機制。有些方法(比如EAP-TLS)還需要使用第三方的身份伺服器。

密鑰管理

增強的保密性、數據認證以及重放保護機制都要求使用最新的密匙。因此在WLAN中IEEE802.1X支援自動密鑰分配。這是802.1X中另外一個需要被測試的組件。

其它要點

正如前文所述,802.1X的廣泛應用形成了更多的測試案例。鏈路匯聚和VLAN就是另外兩個方面的例子。由於802.1X作用於實體埠,在與乙太網路交換機中的802.3ad鏈路匯聚一起測試時,大多數實現要求將埠配置成不匯聚的埠。在完成認證後,埠可以加入匯聚鏈路;同樣,未授權埠應強迫脫離匯聚鏈路。

與802.1Q表2:802.1X測試類型。 VLAN一起測試時也執行同樣的策略,即允許根據802.1X認證輸出結果分配VLAN。乙太網路交換機埠在認證期間必須處於轉發狀態,因而允許存取非認證的LAN。一旦認證成功後,就給該埠分配一個新的VLAN-ID,同時該埠仍保持轉發狀態。

本文小結

安全性已經成為目前企業網路的頭號問題,而802.1X也越來越多地被乙太網路交換機供應商和WLAN供應商所實現。隨著對安全架構的不斷改進,保持與傳統協議的相容性挑戰也在不斷提高,實現者必須確保與標準的相容性以及與其它供應商實現的互通作業性。全面廣泛的測試將有助於向市場推出良好相容標準的產品。

參考文獻


IEEE Std 802.1X-2001, IEEE Standard for Local and metropolitan area networks - Port-Based Network Access Control

Rigney, C., Willens, s., Livingston, A. R., Simpson, W., “Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.


Blunk, L., Vollbrecht, J., 《PPP Extensible Authentication Protocol (EAP)》, RFC 2284, March 1998.


Aboba, B., Simon, D., 《PPP EAP TLS Authentication Protocol》, RFC 2716, October 1999.Funk, P.,
Blake-Wilson, S., 《EAP Tunneled TLS Authentication Protocol (EAP-TTLS)》, , August 2003.


Haverinen, H.,, Salowey, J., 《EAP SIM Authentication》 draft-haverinen-pppext-eap-sim-12.txt, October 2003.,

作者:David Charlu是Net-O2技術公司的技術長。Net-O2公司提供測試和測試自動化領域中的一些工具,包括可提供全自動‘易用性’測試套件的下一代測試工具Net-O2 ATTEST。作者的電郵地址是davidc@net-o2.com。Paralink Networks公司是Net-O2公司在台灣的獨家經銷商(http://www.paralink.com.tw/)





投票數:   加入我的最愛
我來評論 - 確保乙太網路和WLAN通訊安全的802.1X協...
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首