名词解释 802.1X:
IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题,提出了 802.1X 协议。后来,802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。802.1X 协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
EAP协议:EAP(Extensible Autllentication Protocol) 协议是 802.1X协议定义的一种报文封装格式,主要用于在客户端和设备端之间传送EAP协议报文,以允许EAP协议报文在LAN上传送。目前可以采用的EAP类型包括:EAP-MD5、LEAP、PEAP、EAP—TLS 等方式。本文主要使用的协议为EAP-MD5协议,进行802.1X网络认证。
FreeRADIUS:RADIUS认证服务器(Remote Authentication Dial In User Service,远程用户拨号认证系统)是目前应用最广泛的AAA协议(AAA=authentication、Authorization、Accounting,即认证、授权、计费),FreeRADIUS包含一个radius服务器和radius-client,可以对支持radius协议的网络设备进行鉴权记账。
RSA非对称加密:对称加密算法在加密和解密时使用的是同一个秘钥,与对称加密算法不同,非对称加密算法需要两个密钥:[公开密钥](publickey)和[私有密钥](privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
问题&&现状目前802.1X网络认证中EAP-MD5协议主要流程就是客户端发送用户账号和经过MD5加密后的密码到RADIUS认证服务器,RADIUS服务通过调用 OpenLDAP/Mysql 等组件,查询对应的用户是否存在,并校验密码是否一致,来判断用户是否合法,然后回应认证成功/失败报文到接入设备,接入设备根据RADIUS服务器响应的报文,向客户端响应成功/失败状态,并设置端口授权状态,从而控制用户是否能通过端口访问网络。
仅针对账号密码进行认证,这样的验证方式单一而且缺乏力度,忽略了终端安全。按照目前的认证方式,一旦用户密码不慎泄漏,非法用户可以通过不可信的终端接入网内,从而存在很多安全隐患。在服务器、网络、终端这样三位一体的计算机通信系统上,终端是最为庞大的主体,而且攻击也多半是从终端发起的。终端将成为我们安全体系中越发不可忽视的一环。只要保证目前系统中的所有主体都是安全可信赖的,而新的主体在加入网络时也通过了安全性验证,那么无论网络规模如何发展,整个体系的安全性都能得到很好的保障。
技术方案为了满足网络准入安全性要去,本方案主要是在原有的EAP-MD5协议账号密码单一认证基础上,再通过验证终端设备的硬件信息(MAC地址,CPU序列号,硬盘序列号等),在进行802.1X网络认证的时,实现 账号密码+设备信息 双重认证,从而提高对接入用户与终端设备的可信性和可控性管理。
整体设计 802.1X账号密码+设备信息认证总体可以划分为下面几个模块设备认证服务模块:进行设备信息的录入,并进行设备证书校验等功能
客户端模块:客户端模块主要是发起经过改造后的802.1X认证协议
freeradius认证服务模块:freeradius服务模块主要负责调用OpenLDAP/Mysql进行账号密码认证,并转发EAP-MD5协议相关信息到设备认证服务端模块,从而完成设备信息的校验
改造前 EAP-MD5认证 流程如下如图所示:
当用户有访问网络需求时打开 802.1X 客户端程序,输入已经申请、登记过的用户名和码,发起连接请求(EAPOL-Start 报文)。此时,客户端程序将发出请求认证的报文给设备端,开始启动一次认证过程。
设备端收到请求认证的数据帧后,将发出一个请求帧(EAP-Request/Identity 报文)要求用户的客户端程序发送输入的用户名。
客户端程序响应设备端发出的请求,将用户名信息通过数据帧(EAP-Response/Identity 报文)发送给设备端。设备端将客户端发送的数据帧经过封包处理后(RADIUS Access-Request 报文)送给认证服务器进行处理。