slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
IEEE 802.1x 协议研究与应用 PowerPoint Presentation
Download Presentation
IEEE 802.1x 协议研究与应用

Loading in 2 Seconds...

play fullscreen
1 / 27

IEEE 802.1x 协议研究与应用 - PowerPoint PPT Presentation


  • 217 Views
  • Uploaded on

IEEE 802.1x 协议研究与应用. 报告人:汪 定. 身份认证过程. 断开连接过程. 802.1x 是什么? — — 直观印象. ?. 802.1x 抓包实验 : 地点: 15 公寓 106 工具软件: ethereal V 0.10.11 本机 IP : 58.155.108.62. 园区网. Centralized AAA. Authentication. Authorization. AAA servers. user1. 内部网络. Gateway. user2. internet. user3.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

IEEE 802.1x 协议研究与应用


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
    Presentation Transcript
    1. IEEE 802.1x协议研究与应用 报告人:汪 定

    2. 身份认证过程 断开连接过程 802.1x是什么?——直观印象 ? 802.1x抓包实验: 地点:15公寓106 工具软件:ethereal V 0.10.11 本机IP:58.155.108.62

    3. 园区网 Centralized AAA Authentication Authorization AAA servers user1 内部网络 Gateway user2 internet user3 安全环境 非安全环境 802.1x是什么?—— 定义 • IEEE 802.1X是IEEE于2001年制定的关于用户接入网络 的认证标准。全称是“基于端口的网络接入控制”。 • 802.1X是AAA(Authentication,Authorization,Accounting) 的核心和基础

    4. 认证系统 认证服务器 客户端系统 客户端系 统PAE 认证系统 PAE 认证服务器 认证系统 提供的服务 受控 端口 非受控 端口 LAN/WLAN EAPOL 802.1x协议体系结构 802.1x协议体系结构由三部分构成: 1.客户端系统(Supplicant System),通常包括客户端软 件+网卡等。简称客户端 2.认证系统,即设备端(Authenticator System),如交换机,AP等。简称NAS 3.认证服务器系统(Authentication Server System) ,如Radius认证服务器,diameter认证服务器等。简称认证服务器

    5. 端口的概念 • 交换机的每个物理端口内部有受控的服务端口(Controlled Port)和非受控的认证端口(unControlled Port)。 1)非受控端口始终处于双向连通态,主要用来传递 EAPOL协议 帧,可保证随时接收客户端发出的认证EAPOL报文。 2)受控端口只有在授权状态下连通,用于传递网络资源和服务。 受控端口在非授权状态下,根据受控方向的不同,可能单 向连通,也可能双向断开 受控端口 802.1x internet 用户 校园网络 NAS RADIUS服务器 非受控端口

    6. 802.1x协议体系结构(续) • 认证系统的端口访问实体(PAE)通过不受控端口与客户端系统的端口访问实体(PAE)进行认证,二者之间运行EAPOL协议,EAPOL之上承载EAP协议。 • EAP数据包内封装具体的认证信息 • 认证系统的(PAE)与认证服务器之间运行Radius协议, Radius协议之上承载EAP协议,EAP帧中封装了认证数据。 认证服务器系统 客户端系统 认证系统 EAP EAP

    7. EAP协议 • EAP (Extensible Authentication Protocol)最初设计用来PPP的接入认证 • 但是被许多其他接入认证所使用 • LAN、WLAN (IEEE 802.1X), Bluetooth, … • IETF EAP工作组 http://www.ietf.org/html.charters/eap-charter.html • 计费, 授权 • EAP 的组成 • 很多 Request/Response 对; 由网络发出请求以 EAP-Request/Identity请求开始 • 以网络回应的 EAP-Success 或 EAP-Failure而结束

    8. TLS MD5 TTLS Other Authentication Layer Extensible Authentication Protocal (EAP) Eap Layer EAPOL Data Link Layer PPP 802.3 Ethernet 802.5Token Ring 802.11 wireless Lan EAP协议 • EAP-MD5基于口令的身份认证,支持客户端到服务器之间的单向认证 • EAP-TLS基于数字证书的身份认证,支持双向认证,但需要PKI系统的支撑 • 在40余种EAP认证类型中, EAP-TLS安全性最高,部署成本最高; EAP-MD5安全性最低,相应部署成本相对较低。

    9. EAP-MD5 EAP EAP-MD5 EAPoL EAPoL RADIUS RADIUS UDP UDP IP TP MAC MAC MAC MAC PHY PHY PHY PHY 客户端 认证设备 RADIUS认证服务器 802.1x通信实体协议栈 • 以EAP-MD5为例

    10. 802.1x的优势 • IEEE 802.1x协议为二层协议,不需要到达三层,对设备的整体性能要求不高,可以有效降低建网成本, • 采用的EAP扩展认证协议,可以提供良好的扩展性和适应性,实现对传统认证的兼容,可扩展如对IP与MAC的绑定与防代理功能等。 • 802.Ix的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而可以实现业务流与认证流分离 总之,IEEE802.1x协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE和WEB/PORTAL认证方式带来的问题,更加适合在宽带以太网和WLAN中的使用。

    11. 802.1x协议认证流程 EAP: Extensible Access Protocol 交换机 RADIUS 服务器 用户主机 Ethernet Access blocked 802.3 EAPOL RADIUS EAPOL-Start EAP over RADIUS EAP-Request/Identity Radius-Access-Request EAP-Response/Identity EAP-Request/Challenge Radius-Access-Challenge EAP-Response (credentials) Radius-Access-Request EAP-Success Radius-Access-Accept Access allowed

    12. EAP-MD5实验验证 注:事实上,EAP-MD5是一种最简单,也是 最不安全的认证方法。

    13. 802.1x协议认证流程(1) • (1)客户机发起连接请求eapol-start

    14. 802.1x协议认证流程(2) (2)NAS收到客户机的请求后,发出一个EAP-Request/Identity请求帧,要求客户端程序发送用户名(Identity)。

    15. 802.1x协议认证流程(3) (3)客户端程序响应NAS的请求,将将包含用户名信息的响应包EAP-Response/Identiy送NAS。

    16. 802.1x协议认证流程(4) (4)认证服务器Radius收到NAS转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,如用户名有效,则生成16 字节随机的挑战信息,挑战信息的值要不能被预测并且在一个共享密钥的生命期内唯一,并通过NAS将EAP-Request/MD5-Challenge转送给客户机。

    17. 0x10 md5_hash(receiveID+password+challenge) user_name 802.1x协议认证流程(5) • 客户端收到EAP-Request/MD5-Challenge报文后,用该挑战信息对口令部分进行加密处理(MD5方式)生成EAP-Response/ MD5-Challenge响应包,通过NAS将其转送到RADIUS服务器进行认证。 16 bytes 1byte

    18. 802.1x协议认证流程(6) • 服务器对客户机经NAS转送来的EAP-Response/MD5-Challenge进行验证,成功则返回success,Code值为3,接入认证过程顺利结束,用户被允许接入网络。

    19. EAPOL (EAP) RADIUS (EAP) Authentication Sever (RADIUS) Supplicant NAS EAPOL–Start EAP–Request/Identity EAP–Response/Identity EAP–Request/(TLS Start) Clienthello TLS第一阶段 Severthello Certificate TLS第二阶段 Severkey_exchange Certificaterequest Severthello done Certificate Clientkey_exchange Certificate_verify TLS第三阶段 Changecipher_spec finished Changecipher_spec finished TLS第四阶段 EAP–Response (TLS- ACK) EAP -success EAP-TLS • 基于公钥证书机制 • 数据交互量很大

    20. EAP-TLS测试 • 客户端共参与14次数据交互! • 时延是EAP-MD5的2倍 • EAP-TLS的用武之地——WLAN(Wireless Local Area Network),能够为WLAN提供动态会话密钥。

    21. 802.1x与802.11i • WEP 是1999年9月通过的 IEEE 802.11 标准的一部分 2001年8月,Fluhrer et al. 发表了针对 WEP 的密码分析,利用 RC4 密码算法和 IV 的使用方式的特性,结果在网络上偷听几个小时之后,就可以把 RC4的钥匙破解出来。 • 为了使WLAN技术从这种被动局面中解脱出来,IEEE 于2004年公布了新一代WLAN安全标准IEEE 802.11i ,这种安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)和pre-RSN的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。其中 pre-RSN即Wi-Fi中的WPA, RSN即Wi-Fi中的WPA2。 • IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。

    22. 802.1x——WLAN最后的防线 • 2005年,美国研究人员发现了3分钟内破解104位WEP的技术 • 2007年德国达姆施塔特科技大学计算机系研究员Erik Tews展示了利用一台普通计算机3秒内破解WEP的技术 • 针对WPA-PSK,WPA2-PSK的字典攻击技术很成熟,aircrack-ng声称能10秒内破解它们。 • 2008年在日本的PacSec会议上, Erik Tews展示了15分钟内对WPA的破解,有效撼动了WPA安全基础。 • 目前,公认基于802.1x认证和密钥管理的802.11i RSN(WPA2)是唯一安全的WLAN接入技术。

    23. WPA /WPA2 Encryption 基于PKI的WLAN接入认证

    24. 结束语 • 不过,802.1x也存在一些缺陷和不足: 1)认证发生在用户和认证服务器之间,如果 AP是假冒的呢?——中间人攻击 2)所有的EAPoL数据包明文发送,非常容易 篡改——DoS攻击。 3)一旦用户认证通过,直到时间戳到期,端口打开 。 ——会话劫持。 4)依赖于客户端,用户信息的检测需要客户端完成。 比如双网卡,多IP,代理,IP与MAC的绑定,版本信息的检测。 如果客户端遭到破解呢? 。。。。。。 • 现在关于802.1x安全性的研究是一个热点,很多学者提出了对802.1x的改进方案 • 不当之处,请批评指正,谢谢!

    25. WEP/WPA破解软件

    26. md5-response的计算