孔令晶，何 恐，佘 健，肖志輝

（①西南交通大學(xué) 信息科學(xué)與技術(shù)學(xué)院，四川 成都 610031；②邁普通信技術(shù)股份有限公司，四川 成都 610041）

0 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)在人類社會(huì)中扮演著越來(lái)越重要的角色。然而隨之面臨的卻是一系列安全性問(wèn)題，諸如病毒，蠕蟲，木馬，拒絕服務(wù)等等，嚴(yán)重威脅著網(wǎng)絡(luò)的安全和穩(wěn)定運(yùn)行。據(jù)有關(guān)資料統(tǒng)計(jì)，網(wǎng)絡(luò)安全問(wèn)題有30%來(lái)自于外部，70%來(lái)自于內(nèi)部，而內(nèi)部的安全問(wèn)題又主要是終端的安全性問(wèn)題。所以說(shuō)，大多數(shù)網(wǎng)絡(luò)安全問(wèn)題都是由用戶終端的“脆弱”性和網(wǎng)絡(luò)行為的“失控”性所導(dǎo)致的。然而網(wǎng)絡(luò)安全問(wèn)題的傳統(tǒng)處理方式并不能解決這些問(wèn)題,要想解決這些問(wèn)題必須要從終端著手，保證通過(guò)網(wǎng)絡(luò)邊緣設(shè)備接入的終端是安全的、可信的。

鑒于此，2005年 5月，可信計(jì)算組織（TNG，Trusted Network Group）下屬可信網(wǎng)絡(luò)連接(TNC，Trusted Network Connect)子小組發(fā)布了可信網(wǎng)絡(luò)連接規(guī)范，該規(guī)范提出了一個(gè)開放的網(wǎng)絡(luò)連接體系結(jié)構(gòu)，通過(guò)提供一致的安全服務(wù)體系結(jié)構(gòu)來(lái)為網(wǎng)絡(luò)提供安全性保障。TNC[1]架構(gòu)中主要由三部分組成：訪問(wèn)請(qǐng)求者，策略執(zhí)行點(diǎn)和策略決策點(diǎn)。

但是 TNC只是一個(gè)框架性的概念，在策略執(zhí)行點(diǎn)采用不同的設(shè)備，具體實(shí)現(xiàn)也是不同的。這里是要實(shí)現(xiàn)基于二層設(shè)備的接入方式，802.1X[2]協(xié)議是普遍采用的一種接入認(rèn)證方式。該協(xié)議為二層協(xié)議，不需要到達(dá)三層，所以在二層設(shè)備（交換機(jī)）上實(shí)現(xiàn)802.1X認(rèn)證正符合該協(xié)議的特點(diǎn)。

這種接入方式可以通過(guò)用戶名和密碼解決接入用戶的身份認(rèn)證問(wèn)題，卻無(wú)法判斷此用戶的安全狀態(tài)（是否感染病毒木馬、是否安裝殺毒軟件、是否使用非法軟件等），對(duì)接入網(wǎng)絡(luò)帶來(lái)了不可避免的安全隱患。因此有必要對(duì)這種接入方式進(jìn)行相關(guān)擴(kuò)展，在EAPOL認(rèn)證結(jié)束后增加了一些處理流程，來(lái)保證接入用戶的安全性，并將這種擴(kuò)展應(yīng)用于可信網(wǎng)絡(luò)連接框架中，實(shí)現(xiàn)二層設(shè)備的終端安全接入。從而解決了目前針對(duì)二層接入設(shè)備沒有一個(gè)可信終端接入標(biāo)準(zhǔn)協(xié)議的問(wèn)題。

1 二層設(shè)備終端安全接入的研究與實(shí)現(xiàn)

1.1 標(biāo)準(zhǔn)EAPOL概述

IEEE 802.1X[2]是基于端口的訪問(wèn)控制協(xié)議。它包括三個(gè)重要的組成部分：認(rèn)證請(qǐng)求者、認(rèn)證點(diǎn)、認(rèn)證服務(wù)器。圖 1描述了三者之間的關(guān)系及其相互之間的通信。

圖1 802.1X認(rèn)證體系的結(jié)構(gòu)

PAE∶認(rèn)證機(jī)制中負(fù)責(zé)處理算法和協(xié)議的實(shí)體；LAN∶局域網(wǎng)。

由于 802.1X協(xié)議只定義了訪問(wèn)控制相關(guān)功能，因此要完成整個(gè)認(rèn)證過(guò)程其實(shí)是借助負(fù)載于二層協(xié)議的EAPOL協(xié)議進(jìn)行認(rèn)證的，也就是說(shuō)802.1X協(xié)議的認(rèn)證是通過(guò)EAPOL來(lái)實(shí)現(xiàn)的。在認(rèn)證通過(guò)前，只允許EAPOL認(rèn)證報(bào)文通過(guò)不受控端口。認(rèn)證過(guò)程如下，具體實(shí)施方式如圖2示。

圖2 802.1X認(rèn)證

①認(rèn)證請(qǐng)求者產(chǎn)生認(rèn)證開始報(bào)文EAPOL，啟動(dòng)認(rèn)證；

②認(rèn)證點(diǎn)發(fā)送回應(yīng)報(bào)文，要求認(rèn)證請(qǐng)求者傳送用戶名；

③認(rèn)證請(qǐng)求者將身份信息（用戶名）回應(yīng)給認(rèn)證點(diǎn)；

④認(rèn)證點(diǎn)將此報(bào)文封裝處理后發(fā)送給認(rèn)證服務(wù)器；

⑤認(rèn)證服務(wù)器收到認(rèn)證點(diǎn)轉(zhuǎn)發(fā)上來(lái)的用戶名信息后，將該信息與數(shù)據(jù)庫(kù)中的用戶名相對(duì)比，找到對(duì)應(yīng)的口令信息，用加密算法（例如 MD5）對(duì)它進(jìn)行加密處理，同時(shí)也將具體加密算法傳送給認(rèn)證點(diǎn)，由認(rèn)證點(diǎn)傳送給認(rèn)證請(qǐng)求者；

⑥認(rèn)證請(qǐng)求者收到由認(rèn)證點(diǎn)傳來(lái)的加密算法后，用該加密算法對(duì)口令部分進(jìn)行加密處理，并通過(guò)認(rèn)證點(diǎn)傳給認(rèn)證服務(wù)器；

⑦認(rèn)證服務(wù)器將傳送回來(lái)的加密后的口令信息和自己經(jīng)過(guò)加密運(yùn)算后的口令信息進(jìn)行地比，如果相同，則認(rèn)為認(rèn)證成功，否則認(rèn)為認(rèn)證失敗。認(rèn)證服務(wù)器再將認(rèn)證成功或失敗的信息傳送給認(rèn)證點(diǎn)，認(rèn)證點(diǎn)將根據(jù)結(jié)果，開啟或關(guān)閉數(shù)據(jù)通路。

1.2 二層設(shè)備終端安全接入的設(shè)計(jì)方案

為了實(shí)現(xiàn)二層設(shè)備的終端安全接入，將 802.1X協(xié)議應(yīng)用于 TNC框架中。整個(gè)方案[3]有如下幾個(gè)模塊∶安全終端，二層接入設(shè)備，認(rèn)證服務(wù)器，策略服務(wù)器，其中安全終端對(duì)應(yīng)于 802.1x體系中的請(qǐng)求認(rèn)證者，TNC架構(gòu)中的訪問(wèn)請(qǐng)求者；二層接入設(shè)備對(duì)應(yīng)于802.1x協(xié)議的認(rèn)證點(diǎn)，TNC架構(gòu)中的策略執(zhí)行點(diǎn)；認(rèn)證服務(wù)器對(duì)于應(yīng) 802.1X中的認(rèn)證服務(wù)器；策略服務(wù)器對(duì)應(yīng)于TNC架構(gòu)中的策略決策點(diǎn)。

安全終端：純軟件模塊，安裝在需要接入網(wǎng)絡(luò)的客戶計(jì)算機(jī)上，為用戶通過(guò)二層設(shè)備的接入提供EAPOL協(xié)議支持，安全等級(jí)計(jì)算和附加管理功能；

接入設(shè)備：即二層交換機(jī)，用于接入層EAPOL擴(kuò)展協(xié)議支持，執(zhí)行不同安全等級(jí)的具體接入策略，如交換機(jī)。

認(rèn)證服務(wù)器：802.1X中真正決定是否給用戶接入的設(shè)備，現(xiàn)常用遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)（RADIUS，Remote Authentication Dial In User Service）服務(wù)機(jī)制來(lái)實(shí)現(xiàn)802.1X體系中的認(rèn)證應(yīng)用系統(tǒng)。

策略服務(wù)器：用于向安全終端下發(fā)安全策略和對(duì)接入設(shè)備模塊的安全管理，以獨(dú)立的服務(wù)器形式存在，是原有接入方式的擴(kuò)展模塊。

具體步驟[4]如下：

①終端客戶端發(fā)起EAPOL認(rèn)證請(qǐng)求，認(rèn)證服務(wù)器按照標(biāo)準(zhǔn)EAPOL認(rèn)證過(guò)程對(duì)其進(jìn)行身份驗(yàn)證；

②完成身份驗(yàn)證后（即用戶名密碼驗(yàn)證），接入設(shè)備模塊向終端安全計(jì)算模塊發(fā)送策略服務(wù)器 IP地址和端口號(hào)；并發(fā)送安全級(jí)別要求；此刻，在一定時(shí)期間，接入設(shè)備將向終端打開通向連接策略服務(wù)器的端口；

③終端安全計(jì)算模塊通過(guò)安全連接，向策略服務(wù)器請(qǐng)求安全規(guī)則，并在本地運(yùn)行；基于終端實(shí)際狀況何安全規(guī)則運(yùn)行后，計(jì)算出安全等級(jí)，通知接入設(shè)備；

④接入設(shè)備接收到終端安全計(jì)算模塊計(jì)算出的安全等級(jí)后，根據(jù)網(wǎng)關(guān)設(shè)備預(yù)設(shè)的規(guī)則，開放不同權(quán)限的子網(wǎng)；

⑤接入設(shè)備向終端發(fā)送標(biāo)準(zhǔn)EAPOL協(xié)議成功消息，此刻，安全接入流程結(jié)束。

1.3 對(duì)EAPOL協(xié)議的擴(kuò)展

從 802.1X的認(rèn)證過(guò)程可以看出簡(jiǎn)單地使用標(biāo)準(zhǔn)協(xié)議，僅能對(duì)用戶身份進(jìn)行驗(yàn)證，但是不能驗(yàn)證終端是否處于一個(gè)安全的狀態(tài)。而在二層設(shè)備終端安全接入實(shí)現(xiàn)中，接入的用戶不僅僅要求進(jìn)行密碼認(rèn)證，還需要對(duì)終端安全級(jí)別進(jìn)行判斷，才可判斷是否接入。因此，使用 802.1X協(xié)議認(rèn)證就必須對(duì)其進(jìn)行相關(guān)擴(kuò)展，具體實(shí)施方式是通過(guò)擴(kuò)展EAPOL來(lái)實(shí)現(xiàn)的，如圖3所示。

在整個(gè)實(shí)施過(guò)程中，主要參與的角色有4個(gè)，分別是認(rèn)證請(qǐng)求者（即用戶PC）、認(rèn)證者（即二層接入設(shè)備——二層交換機(jī)）、策略服務(wù)器（向安全終端下發(fā)安全策略）、認(rèn)證服務(wù)器（對(duì)終端進(jìn)行身份驗(yàn)證）。

具體實(shí)施過(guò)程如下：

①利用標(biāo)準(zhǔn)EAPOL協(xié)議進(jìn)行認(rèn)證，如果成功，則向認(rèn)證者回送成功消息；

網(wǎng)絡(luò)遠(yuǎn)程教育運(yùn)行機(jī)制是指各教育組織運(yùn)行過(guò)程中各構(gòu)成要素之間相互聯(lián)系、相互影響的模式，是決定遠(yuǎn)程教育發(fā)展方向及路徑的關(guān)鍵所在。探討高校遠(yuǎn)程教育運(yùn)行機(jī)制優(yōu)化策略，是推進(jìn)高校遠(yuǎn)程教育發(fā)展的必然選擇。

②認(rèn)證者收到認(rèn)證成功消息后，會(huì)通知認(rèn)證請(qǐng)求者策略服務(wù)器的信息（策略服務(wù)器的IP地址，端口等），并在一個(gè)固定的時(shí)間內(nèi)，打開數(shù)據(jù)通路；

③認(rèn)證請(qǐng)求者收到了策略服務(wù)器的通知消息后，會(huì)通過(guò)加密通道連接策略服務(wù)器（例如SSL—安全套接層協(xié)議），請(qǐng)求安全規(guī)則；

④策略服務(wù)器將安全規(guī)則下發(fā)到認(rèn)證請(qǐng)求者本地，認(rèn)證請(qǐng)求者的安全計(jì)算模塊運(yùn)行規(guī)則并計(jì)算安全結(jié)果；

⑤認(rèn)證請(qǐng)求者將計(jì)算出的安全結(jié)果通知給認(rèn)證者；

⑥認(rèn)證者根據(jù)安全結(jié)果，決定是否繼續(xù)打開或關(guān)閉數(shù)據(jù)通道；

⑦認(rèn)證者通知認(rèn)證請(qǐng)求者最終請(qǐng)求結(jié)果。

2 實(shí)驗(yàn)結(jié)果分析

現(xiàn)選用5臺(tái)計(jì)算機(jī)來(lái)做測(cè)試，分別表示為A，B，C，D，E。它們的IP地址分別為：128.255.16.183，128.255.19.255，128.255.17.133，128.255.17.155，128.255.18.15。其中 A 感染了會(huì)引發(fā)分布式拒絕服務(wù)(DDOS)惡意攻擊的軟件，其他計(jì)算機(jī)安全狀態(tài)良好。分別做兩組實(shí)驗(yàn)，第一組實(shí)驗(yàn)中5臺(tái)計(jì)算機(jī)均使用了標(biāo)準(zhǔn)EAPOL進(jìn)行接入，第二組實(shí)驗(yàn)5臺(tái)計(jì)算機(jī)均使用擴(kuò)展的EAPOL進(jìn)行安全接入。兩組分別接入某局域網(wǎng)，局域網(wǎng)內(nèi)一臺(tái)主機(jī)XX的IP為128.255.16.181，且這6臺(tái)主機(jī)與XX不做任何通信行為，分析結(jié)果如下：

（1）第一組實(shí)驗(yàn)

由于A感染會(huì)引發(fā)DDOS惡意攻擊的軟件，但是標(biāo)準(zhǔn)EAPOL只是可以進(jìn)行身份驗(yàn)證，不能判別安全狀態(tài)，所以A和其它4臺(tái)主機(jī)都可以接入局域網(wǎng)中，通過(guò)嗅探器抓包工具可以觀察出A主機(jī)引起了網(wǎng)絡(luò)流量異常，圖4為流量分布圖。顯然A通過(guò)不斷地發(fā)包造成網(wǎng)絡(luò)阻塞，嚴(yán)重時(shí)將會(huì)造成網(wǎng)路癱瘓，給網(wǎng)絡(luò)帶來(lái)了不容忽視的威脅。

圖4 第一組實(shí)驗(yàn)流量分布

（2）第二組實(shí)驗(yàn)

在第二組實(shí)驗(yàn)中所有主機(jī)都使用了擴(kuò)展后的EAPOL協(xié)議進(jìn)行接入，擴(kuò)展后的EAPOL不僅可以驗(yàn)證接入終端的身份，而且可以判斷A處于不安全的狀態(tài)，所以A被拒絕接入局域網(wǎng)內(nèi)，從而保證了網(wǎng)絡(luò)的安全性和通信的暢通。

圖5為流量分布圖，可以看出流量分布平均，并沒有出現(xiàn)網(wǎng)絡(luò)將被資源耗盡，流量阻塞的情況，說(shuō)明這里提出的終端安全接入方法可以保證不僅實(shí)現(xiàn)了二層設(shè)備上的接入，更重要的是保證的終端的安全，網(wǎng)絡(luò)的可信。

圖5 第二組實(shí)驗(yàn)流量分布

3 結(jié)語(yǔ)

通過(guò)擴(kuò)展標(biāo)準(zhǔn)EAPOL協(xié)議，充分利用了EAPOL協(xié)議的原有特點(diǎn)和優(yōu)勢(shì)，即在基于二層接入設(shè)備上實(shí)現(xiàn)了在密碼認(rèn)證和終端安全級(jí)別雙認(rèn)證，然后又實(shí)施對(duì)終端準(zhǔn)予接入的安全可信策略，是安全可信接入標(biāo)準(zhǔn)框架在二層設(shè)備上的一種實(shí)現(xiàn)。這種實(shí)現(xiàn)不僅能夠較好的滿足二層接入設(shè)備對(duì)終端的接入控制，同時(shí)兼容了原有標(biāo)準(zhǔn)EAPOL協(xié)議終端，充分保證了接入網(wǎng)絡(luò)的邊緣設(shè)備的真實(shí)、可信。該方法目前已應(yīng)用于某公司現(xiàn)有的終端安全接入系統(tǒng)中，擴(kuò)展實(shí)現(xiàn)了對(duì)二層設(shè)備的終端安全接入，并且運(yùn)行良好。

[1] Trusted Computing Group. Trusted Network Connect Architecture for Interoperability Specification.Version1.3[EB/OL].(2006-05-01).[2009-07-21].http://www.trustedcomputing-grou p.org/tnc/. April 2008.

[2] IEEE Std 802.1X-2001. IEEE Standard for Local and Metropolitan Area Networks Port-Based Network Access Control[EB/OL].(2004-11-13).[2009-07-21].http://standards.ieee.org/readin g/ieee/std/lanman/802.1X-2001. June 2001.

[3] 鄧永暉,卿昱,左朝樹,等.一種基于EAP的可信網(wǎng)絡(luò)接入機(jī)制[J].通信技術(shù),2009,42(21):109-114.

[4] 于昇,祝璐.行為分析技術(shù)及其在可信網(wǎng)絡(luò)中的應(yīng)用前景[J].信息安全與通信保密,2009(02): 67-73.