1 / 27

IEEE 802.1x 协议研究与应用

IEEE 802.1x 协议研究与应用. 报告人:汪 定. 身份认证过程. 断开连接过程. 802.1x 是什么? — — 直观印象. ?. 802.1x 抓包实验 : 地点: 15 公寓 106 工具软件: ethereal V 0.10.11 本机 IP : 58.155.108.62. 园区网. Centralized AAA. Authentication. Authorization. AAA servers. user1. 内部网络. Gateway. user2. internet. user3.

xiang
Download Presentation

IEEE 802.1x 协议研究与应用

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IEEE 802.1x协议研究与应用 报告人:汪 定

  2. 身份认证过程 断开连接过程 802.1x是什么?——直观印象 ? 802.1x抓包实验: 地点:15公寓106 工具软件:ethereal V 0.10.11 本机IP:58.155.108.62

  3. 园区网 Centralized AAA Authentication Authorization AAA servers user1 内部网络 Gateway user2 internet user3 安全环境 非安全环境 802.1x是什么?—— 定义 • IEEE 802.1X是IEEE于2001年制定的关于用户接入网络 的认证标准。全称是“基于端口的网络接入控制”。 • 802.1X是AAA(Authentication,Authorization,Accounting) 的核心和基础

  4. 认证系统 认证服务器 客户端系统 客户端系 统PAE 认证系统 PAE 认证服务器 认证系统 提供的服务 受控 端口 非受控 端口 LAN/WLAN EAPOL 802.1x协议体系结构 802.1x协议体系结构由三部分构成: 1.客户端系统(Supplicant System),通常包括客户端软 件+网卡等。简称客户端 2.认证系统,即设备端(Authenticator System),如交换机,AP等。简称NAS 3.认证服务器系统(Authentication Server System) ,如Radius认证服务器,diameter认证服务器等。简称认证服务器

  5. 端口的概念 • 交换机的每个物理端口内部有受控的服务端口(Controlled Port)和非受控的认证端口(unControlled Port)。 1)非受控端口始终处于双向连通态,主要用来传递 EAPOL协议 帧,可保证随时接收客户端发出的认证EAPOL报文。 2)受控端口只有在授权状态下连通,用于传递网络资源和服务。 受控端口在非授权状态下,根据受控方向的不同,可能单 向连通,也可能双向断开 受控端口 802.1x internet 用户 校园网络 NAS RADIUS服务器 非受控端口

  6. 802.1x协议体系结构(续) • 认证系统的端口访问实体(PAE)通过不受控端口与客户端系统的端口访问实体(PAE)进行认证,二者之间运行EAPOL协议,EAPOL之上承载EAP协议。 • EAP数据包内封装具体的认证信息 • 认证系统的(PAE)与认证服务器之间运行Radius协议, Radius协议之上承载EAP协议,EAP帧中封装了认证数据。 认证服务器系统 客户端系统 认证系统 EAP EAP

  7. EAP协议 • EAP (Extensible Authentication Protocol)最初设计用来PPP的接入认证 • 但是被许多其他接入认证所使用 • LAN、WLAN (IEEE 802.1X), Bluetooth, … • IETF EAP工作组 http://www.ietf.org/html.charters/eap-charter.html • 计费, 授权 • EAP 的组成 • 很多 Request/Response 对; 由网络发出请求以 EAP-Request/Identity请求开始 • 以网络回应的 EAP-Success 或 EAP-Failure而结束

  8. TLS MD5 TTLS Other Authentication Layer Extensible Authentication Protocal (EAP) Eap Layer EAPOL Data Link Layer PPP 802.3 Ethernet 802.5Token Ring 802.11 wireless Lan EAP协议 • EAP-MD5基于口令的身份认证,支持客户端到服务器之间的单向认证 • EAP-TLS基于数字证书的身份认证,支持双向认证,但需要PKI系统的支撑 • 在40余种EAP认证类型中, EAP-TLS安全性最高,部署成本最高; EAP-MD5安全性最低,相应部署成本相对较低。

  9. EAP-MD5 EAP EAP-MD5 EAPoL EAPoL RADIUS RADIUS UDP UDP IP TP MAC MAC MAC MAC PHY PHY PHY PHY 客户端 认证设备 RADIUS认证服务器 802.1x通信实体协议栈 • 以EAP-MD5为例

  10. 802.1x的优势 • IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本, • 采用的EAP扩展认证协议,可以提供良好的扩展性和适应性,实现对传统认证的兼容,可扩展如对IP与MAC的绑定与防代理功能等。 • 802.Ix的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务流与认证流分离 总之,IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网和WLAN中的使用。

  11. 802.1x协议认证流程 EAP: Extensible Access Protocol 交换机 RADIUS 服务器 用户主机 Ethernet Access blocked 802.3 EAPOL RADIUS EAPOL-Start EAP over RADIUS EAP-Request/Identity Radius-Access-Request EAP-Response/Identity EAP-Request/Challenge Radius-Access-Challenge EAP-Response (credentials) Radius-Access-Request EAP-Success Radius-Access-Accept Access allowed

  12. EAP-MD5实验验证 注:事实上,EAP-MD5是一种最简单,也是 最不安全的认证方法。

  13. 802.1x协议认证流程(1) • (1)客户机发起连接请求eapol-start

  14. 802.1x协议认证流程(2) (2)NAS收到客户机的请求后,发出一个EAP-Request/Identity请求帧,要求客户端程序发送用户名(Identity)。

  15. 802.1x协议认证流程(3) (3)客户端程序响应NAS的请求,将将包含用户名信息的响应包EAP-Response/Identiy送NAS。

  16. 802.1x协议认证流程(4) (4)认证服务器Radius收到NAS转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,如用户名有效,则生成16 字节随机的挑战信息,挑战信息的值要不能被预测并且在一个共享密钥的生命期内唯一,并通过NAS将EAP-Request/MD5-Challenge转送给客户机。

  17. 0x10 md5_hash(receiveID+password+challenge) user_name 802.1x协议认证流程(5) • 客户端收到EAP-Request/MD5-Challenge报文后,用该挑战信息对口令部分进行加密处理(MD5方式)生成EAP-Response/ MD5-Challenge响应包,通过NAS将其转送到RADIUS服务器进行认证。 16 bytes 1byte

  18. 802.1x协议认证流程(6) • 服务器对客户机经NAS转送来的EAP-Response/MD5-Challenge进行验证,成功则返回success,Code值为3,接入认证过程顺利结束,用户被允许接入网络。

  19. EAPOL (EAP) RADIUS (EAP) Authentication Sever (RADIUS) Supplicant NAS EAPOL–Start EAP–Request/Identity EAP–Response/Identity EAP–Request/(TLS Start) Clienthello TLS第一阶段 Severthello Certificate TLS第二阶段 Severkey_exchange Certificaterequest Severthello done Certificate Clientkey_exchange Certificate_verify TLS第三阶段 Changecipher_spec finished Changecipher_spec finished TLS第四阶段 EAP–Response (TLS- ACK) EAP -success EAP-TLS • 基于公钥证书机制 • 数据交互量很大

  20. EAP-TLS测试 • 客户端共参与14次数据交互! • 时延是EAP-MD5的2倍 • EAP-TLS的用武之地——WLAN(Wireless Local Area Network),能够为WLAN提供动态会话密钥。

  21. 802.1x与802.11i • WEP 是1999年9月通过的 IEEE 802.11 标准的一部分 2001年8月,Fluhrer et al. 发表了针对 WEP 的密码分析,利用 RC4 密码算法和 IV 的使用方式的特性,结果在网络上偷听几个小时之后,就可以把 RC4的钥匙破解出来。 • 为了使WLAN技术从这种被动局面中解脱出来,IEEE 于2004年公布了新一代WLAN安全标准IEEE 802.11i ,这种安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)和pre-RSN的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。其中 pre-RSN即Wi-Fi中的WPA, RSN即Wi-Fi中的WPA2。 • IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。

  22. 802.1x——WLAN最后的防线 • 2005年,美国研究人员发现了3分钟内破解104位WEP的技术 • 2007年德国达姆施塔特科技大学计算机系研究员Erik Tews展示了利用一台普通计算机3秒内破解WEP的技术 • 针对WPA-PSK,WPA2-PSK的字典攻击技术很成熟,aircrack-ng声称能10秒内破解它们。 • 2008年在日本的PacSec会议上, Erik Tews展示了15分钟内对WPA的破解,有效撼动了WPA安全基础。 • 目前,公认基于802.1x认证和密钥管理的802.11i RSN(WPA2)是唯一安全的WLAN接入技术。

  23. WPA /WPA2 Encryption 基于PKI的WLAN接入认证

  24. 结束语 • 不过,802.1x也存在一些缺陷和不足: 1)认证发生在用户和认证服务器之间,如果 AP是假冒的呢?——中间人攻击 2)所有的EAPoL数据包明文发送,非常容易 篡改——DoS攻击。 3)一旦用户认证通过,直到时间戳到期,端口打开 。 ——会话劫持。 4)依赖于客户端,用户信息的检测需要客户端完成。 比如双网卡,多IP,代理,IP与MAC的绑定,版本信息的检测。 如果客户端遭到破解呢? 。。。。。。 • 现在关于802.1x安全性的研究是一个热点,很多学者提出了对802.1x的改进方案 • 不当之处,请批评指正,谢谢!

  25. WEP/WPA破解软件

  26. md5-response的计算

More Related