【摘要】針對無線局域網有多種認證方法可以應用,IEEE 802.1x標準就是其中的一種,它是一種基于端口的訪問控制協(xié)議,包括三部分:客戶端、訪問點和認證服務器。本文側重于客戶端,對現(xiàn)有的IEEE 802.1x的客戶端軟件進行了描述、比較和分析。

【關鍵詞】IEEE 802.1x;客戶端;認證

1. IEEE 802.1x

隨著IEEE 802.11無線局域網的迅速發(fā)展,通過應用無線通訊技術,公司和個人都獲益匪淺。公司們降低了布線的成本,并且為他們的員工提供了極大的便利。普通用戶通過使用筆記本電腦或者個人數(shù)字助理(PDA),通過無線局域網,可以在舒適的環(huán)境中方便的享受各種網絡服務。

當一個用戶試圖訪問IEEE 802.11網絡的時候,一個常見的安全特性就是在提供給用戶的設備任何服務之前,需要對用戶的無線設備進行認證。目前針對無線局域網有多種認證方法,本文側重研究IEEE 802.1x標準。

什么是IEEE 802.1x? 根據(jù)802.1X-2004標準,對IEEE 802.1x的描述如下:

它是一種基于端口的網絡訪問控制,利用IEEE 802局域網架構的特性,為具有點對點連接特性的從屬于局域網端口的設備提供一種認證和授權的方法。如果對設備的認證和授權失敗,則阻止設備訪問。這里的端口指的是從屬于局域網架構的單個節(jié)點。" 【1】

由此可見,IEEE 802.1x為通過IEEE 802局域網和無線局域網進行互聯(lián)的設備提供了一致的認證和授權機制。通常來說,IEEE 802.1x包含三個實體【1】: 客戶端、認證端、認證服務器。

客戶端是一個實體,通常是某個點對點網絡的一端,并尋求被鏈路另一端的認證端認證。有許多名稱經常被用來描述這個實體,例如"用戶","客戶端","認證點"。在本文中我們用"客戶端"來描述這個實體。

認證端是一個實體,位于點對點網絡的另一端,負責對連接到鏈路另一端的實體進行認證。因此認證端控制著客戶端的網絡訪問。

認證服務器為認證端提供認證服務,這個服務決定,在客戶端向認證服務器出示自己的身份以后,是否能夠獲得訪問認證端所在系統(tǒng)提供服務的授權。因此認證服務器的職責是做授權決定,而認證端的職責是執(zhí)行這個決定。

盡管我們主要關注的是應用802.1x到無線局域網領域,從802.1x的定義我們可以看出,802.1x最初的開發(fā)是應用到有線局域網和使用點對點協(xié)議的撥號連接,防止一些人將網線接到墻上就可以獲得網絡連接除非他們獲得授權。在一個撥號的點對點協(xié)議的情況下,三個實體的關系如圖1所示。

如圖1所示,客戶端希望通過連接網絡訪問服務器訪問網絡,我們首先假定一開始客戶端沒有訪問網絡的權限,因此網絡訪問服務器(NAS)一開始阻止客戶端訪問網絡。網絡訪問服務器沒有權利決定是否讓客戶端訪問網絡。而這個決定基于認證數(shù)據(jù)庫中的數(shù)據(jù),由認證服務器決定。因此,網絡訪問服務器中的認證端在將開關的狀態(tài)變?yōu)殚]合之前(也就是授予客戶端訪問網絡的權限),需要和認證服務器進行溝通。只有客戶端被認證服務器成功認證之后,網絡訪問服務器才閉合開關允許客戶端訪問網絡。

當應用IEEE 802.1x到無線局域網領域,訪問點(AP)取代了網絡訪問服務器,無線鏈路取代了物理連接,客戶端和AP之間的無線通訊基于可擴展認證協(xié)議(EAP)或者更精確說基于局域網的可擴展認證協(xié)議。在無線局域網中三個實體的關系如圖2所示。

在圖2中,無線設備,例如一個PDA或者一個筆記本電腦,是一個想要訪問網絡的客戶端。為了得到授權,他必須回應認證端的數(shù)據(jù)請求。注意認證端不單單是訪問點,但是他可以是訪問點的一個組成部分。在圖2中,認證端包含在訪問點之內,但是他也可以由其它的設備來實現(xiàn)。在有線局域網的情況下,一旦認證服務器認證了客戶端,認證端將允許客戶端訪問網絡,來自被認證客戶端的所有數(shù)據(jù)包可以通過(邏輯端口)開關。

基于可擴展認證協(xié)議,IEEE 802.1x為無線局域網提供了許多認證機制。其中的一些認證機制如下【2】:

"可擴展認證協(xié)議-消息摘要5 (EAP-MD5)【3】

"基于證書的方法例如可擴展認證協(xié)議-傳輸層安全(EAP-TLS)【4】

"可擴展認證協(xié)議-隧道模式 傳輸層安全(EAP-TTLS)【5】

"輕型可擴展認證協(xié)議 (LEAP)

"基于智能卡的方法例如可擴展認證協(xié)議-用戶辨別模式(EAP-SIM)

"基于密碼的方法例如可擴展認證協(xié)議-一次性密碼(EAP-OTP)

"受保護的可擴展認證協(xié)議(PEAP)【6】

2. 什么是客戶端

術語客戶端是IEEE 802.1x標準中一個基本的概念。一般說來,客戶端是一個尋求被認證端認證的實體?？蛻舳丝梢酝ㄟ^點對點協(xié)議,IEEE 802.3,或者IEEE 802.11鏈路連接到認證端。而在實際應用當中,客戶端是由操作系統(tǒng)廠商或者第三方廠商開發(fā)的軟件,安裝在終端用戶的計算機上。例如微軟為Windows XP, ME, 甚至更早期的版本提供了客戶端。此外,還有一些802.1x的客戶端軟件,其中一些是商用的,而另外的一些可以免費獲得,其中有一些甚至是開源產品,源代碼是公開的。一些研究網絡安全技術的公司已經相互合作,建立了OpenSEA聯(lián)盟來開發(fā)開源的802.1x客戶端軟件【7】。接下來我們將描述比較和分析現(xiàn)有的IEEE 802.1x客戶端軟件。

3. 現(xiàn)有的IEEE 802.1x客戶端軟件

"思科安全服務客戶端

思科安全服務客戶端(前身是Meetinghouse數(shù)據(jù)通信公司出品的AEGIS SecureConnect【8】)為訪問有線和無線網絡提供了802.1x的客戶端認證。它支持多種操作系統(tǒng),包括:Windows,Linux, 和MacOS。它也支持多種EAP認證方法包括MD5, TLS, TTLS和LEAP。除此之外,做為思科聯(lián)合無線網絡的一部分,安全服務客戶端具備以下優(yōu)點【9】:

(1)簡化了有線網絡和無線網絡的管理

(2)改善了網絡安全

(3)降低了網絡運營的總成本

"Juniper Network Odyssey訪問客戶端

Funk軟件的兩個著名產品是Odyssey訪問客戶端和Steel-Belted Radius【10】。Odessey訪問客戶端是一個適用于有線網絡和無線網絡的802.1x 客戶端。Steel-Belted Radius是一個認證服務器【11】。但是Funk軟件被Juniper網絡收購了, Juniper網絡的Odessey訪問客戶端是一個企業(yè)級的802.1x 客戶端,并且很好的支持無線局域網的安全協(xié)議【12】。它可以應用與Windows 98/ME/2000/XP, 并且它支持MD5和LEAP EAP認證方法。Juniper具有以下優(yōu)點【13】:

(1)它是一個安全的802.1x客戶端可用于企業(yè)和政府機構等。

(2)它使用WPA2協(xié)議來保護無線鏈路上用戶的身份和網絡數(shù)據(jù)。

(3)它降低了企業(yè)的成本。

"微軟802.1x客戶端

微軟Windows 2000,Windows XP, and Windows Server 2003家族為IEEE 802.1x 客戶端提供了嵌入的支持。微軟的客戶端支持MD5和TLS EAP認證方法。

以上介紹了最流行的商用的802.1x 客戶端軟件。下面介紹一些開源的和免費的客戶端軟件。主要有三種開源的軟件:XSupplicant【13】, wpa_supplicant【14】, 和Wire1x【15】. XSupplicant和wpa_supplicant主要使用在像Unix,Linux這樣的操作系統(tǒng)上。而Wire1x是為各種各樣的Windows平臺而設計的。關于這三種客戶端軟件的詳細介紹如下:

"XSupplicant

XSupplicant是Open1X 項目的產物。Open1X 項目的目標是開發(fā)IEEE 802.1x協(xié)議的開源實現(xiàn),項目側重于客戶端和認證端的開發(fā)。XSupplicant是一個802.1x的實現(xiàn)可以用于有線局域網和無線局域網。XSupplicant使用了模塊式架構,這樣新的認證方法可以很容易的被添加。而且新的安全機制可以被集成到原有的系統(tǒng)中。最新版本的XSupplicant支持Linux/BSD和蘋果計算機的Mac OS, 并且擁有圖形用戶界面。

XSupplicant支持以下EAP認證方法:EAP-MD5, LEAP, EAP-MSCHAPv2,EAP-AKA,EAP-SIM,EAP-TLS,EAP-TTLS, EAP-OTP, EAP-PEAP (v0和v1)。

基于存在的XSupplicant,六個網絡和安全技術公司(Extreme Networks, Identity Engines, Infoblox, Symantec Corporation, TippingPoint, and Trapeze Networks) 建立了一個名為OpenSEA聯(lián)盟的組織用來從事開源802.1x客戶端的開發(fā)。這個聯(lián)盟的目標是開發(fā)一個開源的802.1x客戶端,不僅具備XSupplicant的優(yōu)點,而且拓展了它的功能支持其它平臺。

"Wpa_supplicant

Wpa_supplicant是一個免費的IEEE 802.1x客戶端軟件,支持多種操作系統(tǒng),包括:Linux,BSD, 蘋果計算機的Mac OS, 以及微軟的Windows操作系統(tǒng)。它同時支持(無線受保護訪問)WPA和WPA2(IEEE 802.11i / RSN)。Wpa_supplicant被設計成在后臺運行來控制無線連接。同時擁有圖形用戶界面和命令行界面來監(jiān)聽運行的客戶端。通過這些用戶界面,用戶可以看到所有可得到的網絡。Wpa_supplicant支持以下的WPA/IEEE 802.11i 特性:

"WPA 和全部的 IEEE 802.11i/RSN/WPA2

"WPA 和EAP (例如RADIUS認證服務器)

"CCMP, TKIP, WEP的密鑰管理

"WPA-PSK 和WPA2-PSK (預先共享密鑰)

Wpa_supplicant也支持很多EAP認證方法,包括EAP-AKA, EAP-SIM, EAP-PSK, EAP-FAST, EAP-PAX, EAP-SAKE, EAP-IKEv2,EAP-TLS, EAP-TTLS, EAP-PEAP(PEAPv0和PEAPv1),LEAP(需要特殊的驅動支持)。

"WIRE1X

WIRE1X是另一個開源實現(xiàn)的IEEE 802.1x客戶端軟件,由臺灣國立清華大學無線網絡研究及工程實驗室開發(fā)。盡管WIRE1X的實現(xiàn)基于Open1x,這個客戶端是設計用來在不同的微軟Windows操作系統(tǒng)下運行。和微軟自帶的IEEE 802.1x 客戶端軟件相比,用戶可以更加方便安全的訪問網絡。目前,WIRE1X支持Windows Vista,Windows XP, Windows 2000, Windows ME, and Windows 98,支持的EAP認證方法包括AKA, MD5, SIM, TLS, TTLS, PEAP, MSCHAPv2。

和微軟的客戶端軟件相比,WIRE1X支持更多的EAP認證方法。此外,WIRE1X的用戶界面友好,使用方便,用戶可以很容易地完成安裝和配置。因此,WIRE1X比微軟的客戶端軟件更加實用,應用的更加廣泛。

4. 結論

本文對IEEE 802.1x標準進行了詳細的介紹,側重于客戶端部分,闡釋了客戶端的定義和作用,對現(xiàn)有的客戶端軟件進行了比較和分析。對于一般用戶來說,開源免費的客戶端軟件無疑是一個不錯的選擇,用戶可根據(jù)自己的使用習慣選擇不同的客戶端軟件。

【參考文獻】

[1] IEEE, "IEEE Standards for Local and Metropolitan Area Networks: Standard for

Port Based Network Access Control", IEEE Std 802.1x-2004, October 2004, available at: http://standards.ieee.org/getieee802/download/802.1X-2004.pdf.

[2] 王裕平, 劉義文, 陳志成. "WIRE1x的設計與實現(xiàn)", 臺灣國立清華大學,availableat:wire.cs.nthu.edu.tw/wire1x/TANET03.pdf.

[3] W. Simpson, "PPP Challenge Handshake Authentication Protocol (CHAP)", RFC 1994, August 1996, available at:http://www.ietf.org/rfc/rfc1994.txt?number=1994.

[4] B. Aboba and D. Simon, "PPP EAP TLS Authentication Protocol", RFC 2716, October 1999, available at: http://www.ietf.org/rfc/rfc2716.txt?number=2716.

[5] Paul Funk, "EAP Tunneled TLS Authentication Protocol (EAP-TTLS)", March2002, available at: http://www.ietf.org/proceedings/02mar/slides/eap-1/.

[6] H. Andersson, S. Josefsson, G. Zorn, and B. Aboba, "Protected Extensible Authentication Protocol (PEAP)", Internet Draft, October 2001, available at: http://ietfreport.isoc.org/all-ids/draft-josefsson-pppext-eap-tls-eap-01.txt.

[7] OpenSEA Alliance Formed by Leading Vendors to Develop and Distribute Open Source 802.1X Supplicant, available at: http://www.openseaalliance.org/index.php?option=com_content&task=view&id=6&Itemid=40.

[8] AEGIS (network), available at: http://en.wikipedia.org/wiki/AEGIS_(network).

[9] Cisco Systems Completes Acquisition of Meetinghouse Data Communications,availableat: http://newsroom.cisco.com/dlls/2006/corp_081606.html.

[10] Juniper Networks Odyssey Access Client, available at: http://www.juniper.net/products_and_serices/aaa_and_802_1x/odyssey/odyssey_access_client/index.html.

[11] Sean Michael Kerner, "Network Access Heats Up With 802.1x Funk", July 2006, available at: http://www.internetnews.com/security/article.php/3620336.

[12] Juniper Networks Completes Acquisition of Funk Software, available at: http://www.juniper.net/company/presscenter/pr/2005/pr-051201.html.

[13] IEEE 802.1x Open Source Implementation, available at: http://open1x.sourceforge.net/.

[14] Linux WPA/WPA2/IEEE 802.1X Supplicant, available at: http://hostap.epitest.fi/wpa_supplicant/.

[15] Wire1x, available at: http://wire.cs.nthu.edu.tw/wire1x/.

作者簡介:

張恒翀(1981.10--),男,山東煙臺,瑞典皇家理工大學 信息與通信技術學院,已獲理學碩士(網絡工程專業(yè))在讀媒體管理碩士研究生,研究方向: 信息技術