文档介绍:
摘要: ,分析了它的缺陷,从数据完整性保护角度出发,在EAPOL包中增加了一个Protection字段,提出了SDVIA(Source Data Verity and Integrity Authentication,数据真实性和完整性认证)认证。,有效地预防中间人和会话劫持攻击。
关键词: ;EAPOL;RADIUS;SDVIA
1 引言
有线局域网通过固定线路连接组建,计算机终端通过网络接入固定位置物理端口,实现局域网接入,数据传输直接送到目的地,这里没有直接控制到端口的方法,也不需要控制到端口,这些固定位置的物理端口构成有线局域网的封闭物理空间。但是,由于无线局域网的网络空间具有开放性和终端可移动性,因此很难通过网络物理空间来界定终端是否属于该网络。随着无线局域网的广泛应用,如何通过端口认证来实现用户级的接入控制就成为一项非常现实的问题。[1]。
,称为基于端口的访问控制协议(Port work Access Control Protocol),是由IEEE于2001年6月提出的,符合IEEE802协议集的局域网接入控制协议,主要目的是为了解决无线局域网用户的接入认证问题,能够在利用IEEE802局域网优势的基础上提供一种对连接到局域网用户的认证和授权手段,达到接收合法用户输入,保护网络安全的目的。
2 [2]
:客户端、认证系统和认证服务器。。
1)客户端
客户端,也就是申请者,一般是一个用户移动终端,如安装有网卡的PC机。该终端系统通常要安装一个客户端软件,用户通过启动这个客户端软件发起IEEE 802. 1x认证。为了支持基于端口的接入控制,客户端系统需要支持EAPOL协议。
2)认证系统
,在认证过程中只起到“透传”的功能,所有的认证工作在客户端和认证服务器上完成。
x协议的网络设备(比如无线交换机),它为请求者提供服务端口,该端口可以是物理端口也可以是逻辑端口,一般在用户接入设备(如LAN Switch和AP)。后文的认证系统、认证点和接入设备三者表达相同含义。
接入点在认证过程中虽然只起到“透传”的功能,但是在认证之前,它可以把申请者的数据分到两个逻辑端口中:控制端口和非控制端口,如图2所示。
非控制端口始终处于连通状态,它不需要授权,随时可以与网络中的其它机器进行数据交换,主要用来传递EAPOL协议帧,保证可以随时接收客户端申请者发出的认证请求。控制端口只有在认证通过的状态下才打开,用于传递网络资源和服务,有双向受控和仅输入受控两种方式,以适应不同的应用环境。
图2中申请者1没有通过身份认证,控制端口不通,处于未授权状态。申请者2通过身份认证,控制端口连通,处于授权状态。
3)认证服务器
通常为RADIUS (