孔令晶，何 恐，佘 健，肖志輝

（①西南交通大學 信息科學與技術學院，四川 成都 610031；②邁普通信技術股份有限公司，四川 成都 610041）

0 引言

隨著計算機網絡的迅速發(fā)展，網絡在人類社會中扮演著越來越重要的角色。然而隨之面臨的卻是一系列安全性問題，諸如病毒，蠕蟲，木馬，拒絕服務等等，嚴重威脅著網絡的安全和穩(wěn)定運行。據有關資料統計，網絡安全問題有30%來自于外部，70%來自于內部，而內部的安全問題又主要是終端的安全性問題。所以說，大多數網絡安全問題都是由用戶終端的“脆弱”性和網絡行為的“失控”性所導致的。然而網絡安全問題的傳統處理方式并不能解決這些問題,要想解決這些問題必須要從終端著手，保證通過網絡邊緣設備接入的終端是安全的、可信的。

鑒于此，2005年 5月，可信計算組織（TNG，Trusted Network Group）下屬可信網絡連接(TNC，Trusted Network Connect)子小組發(fā)布了可信網絡連接規(guī)范，該規(guī)范提出了一個開放的網絡連接體系結構，通過提供一致的安全服務體系結構來為網絡提供安全性保障。TNC[1]架構中主要由三部分組成：訪問請求者，策略執(zhí)行點和策略決策點。

但是 TNC只是一個框架性的概念，在策略執(zhí)行點采用不同的設備，具體實現也是不同的。這里是要實現基于二層設備的接入方式，802.1X[2]協議是普遍采用的一種接入認證方式。該協議為二層協議，不需要到達三層，所以在二層設備（交換機）上實現802.1X認證正符合該協議的特點。

這種接入方式可以通過用戶名和密碼解決接入用戶的身份認證問題，卻無法判斷此用戶的安全狀態(tài)（是否感染病毒木馬、是否安裝殺毒軟件、是否使用非法軟件等），對接入網絡帶來了不可避免的安全隱患。因此有必要對這種接入方式進行相關擴展，在EAPOL認證結束后增加了一些處理流程，來保證接入用戶的安全性，并將這種擴展應用于可信網絡連接框架中，實現二層設備的終端安全接入。從而解決了目前針對二層接入設備沒有一個可信終端接入標準協議的問題。

1 二層設備終端安全接入的研究與實現

1.1 標準EAPOL概述

IEEE 802.1X[2]是基于端口的訪問控制協議。它包括三個重要的組成部分：認證請求者、認證點、認證服務器。圖 1描述了三者之間的關系及其相互之間的通信。

圖1 802.1X認證體系的結構

PAE∶認證機制中負責處理算法和協議的實體；LAN∶局域網。

由于 802.1X協議只定義了訪問控制相關功能，因此要完成整個認證過程其實是借助負載于二層協議的EAPOL協議進行認證的，也就是說802.1X協議的認證是通過EAPOL來實現的。在認證通過前，只允許EAPOL認證報文通過不受控端口。認證過程如下，具體實施方式如圖2示。

圖2 802.1X認證

①認證請求者產生認證開始報文EAPOL，啟動認證；

②認證點發(fā)送回應報文，要求認證請求者傳送用戶名；

③認證請求者將身份信息（用戶名）回應給認證點；

④認證點將此報文封裝處理后發(fā)送給認證服務器；

⑤認證服務器收到認證點轉發(fā)上來的用戶名信息后，將該信息與數據庫中的用戶名相對比，找到對應的口令信息，用加密算法（例如 MD5）對它進行加密處理，同時也將具體加密算法傳送給認證點，由認證點傳送給認證請求者；

⑥認證請求者收到由認證點傳來的加密算法后，用該加密算法對口令部分進行加密處理，并通過認證點傳給認證服務器；

⑦認證服務器將傳送回來的加密后的口令信息和自己經過加密運算后的口令信息進行地比，如果相同，則認為認證成功，否則認為認證失敗。認證服務器再將認證成功或失敗的信息傳送給認證點，認證點將根據結果，開啟或關閉數據通路。

1.2 二層設備終端安全接入的設計方案

為了實現二層設備的終端安全接入，將 802.1X協議應用于 TNC框架中。整個方案[3]有如下幾個模塊∶安全終端，二層接入設備，認證服務器，策略服務器，其中安全終端對應于 802.1x體系中的請求認證者，TNC架構中的訪問請求者；二層接入設備對應于802.1x協議的認證點，TNC架構中的策略執(zhí)行點；認證服務器對于應 802.1X中的認證服務器；策略服務器對應于TNC架構中的策略決策點。

安全終端：純軟件模塊，安裝在需要接入網絡的客戶計算機上，為用戶通過二層設備的接入提供EAPOL協議支持，安全等級計算和附加管理功能；

接入設備：即二層交換機，用于接入層EAPOL擴展協議支持，執(zhí)行不同安全等級的具體接入策略，如交換機。

認證服務器：802.1X中真正決定是否給用戶接入的設備，現常用遠程認證撥號用戶服務（RADIUS，Remote Authentication Dial In User Service）服務機制來實現802.1X體系中的認證應用系統。

策略服務器：用于向安全終端下發(fā)安全策略和對接入設備模塊的安全管理，以獨立的服務器形式存在，是原有接入方式的擴展模塊。

具體步驟[4]如下：

①終端客戶端發(fā)起EAPOL認證請求，認證服務器按照標準EAPOL認證過程對其進行身份驗證；

②完成身份驗證后（即用戶名密碼驗證），接入設備模塊向終端安全計算模塊發(fā)送策略服務器 IP地址和端口號；并發(fā)送安全級別要求；此刻，在一定時期間，接入設備將向終端打開通向連接策略服務器的端口；

③終端安全計算模塊通過安全連接，向策略服務器請求安全規(guī)則，并在本地運行；基于終端實際狀況何安全規(guī)則運行后，計算出安全等級，通知接入設備；

④接入設備接收到終端安全計算模塊計算出的安全等級后，根據網關設備預設的規(guī)則，開放不同權限的子網；

⑤接入設備向終端發(fā)送標準EAPOL協議成功消息，此刻，安全接入流程結束。

1.3 對EAPOL協議的擴展

從 802.1X的認證過程可以看出簡單地使用標準協議，僅能對用戶身份進行驗證，但是不能驗證終端是否處于一個安全的狀態(tài)。而在二層設備終端安全接入實現中，接入的用戶不僅僅要求進行密碼認證，還需要對終端安全級別進行判斷，才可判斷是否接入。因此，使用 802.1X協議認證就必須對其進行相關擴展，具體實施方式是通過擴展EAPOL來實現的，如圖3所示。

在整個實施過程中，主要參與的角色有4個，分別是認證請求者（即用戶PC）、認證者（即二層接入設備——二層交換機）、策略服務器（向安全終端下發(fā)安全策略）、認證服務器（對終端進行身份驗證）。

具體實施過程如下：

①利用標準EAPOL協議進行認證，如果成功，則向認證者回送成功消息；

網絡遠程教育運行機制是指各教育組織運行過程中各構成要素之間相互聯系、相互影響的模式，是決定遠程教育發(fā)展方向及路徑的關鍵所在。探討高校遠程教育運行機制優(yōu)化策略，是推進高校遠程教育發(fā)展的必然選擇。

②認證者收到認證成功消息后，會通知認證請求者策略服務器的信息（策略服務器的IP地址，端口等），并在一個固定的時間內，打開數據通路；

③認證請求者收到了策略服務器的通知消息后，會通過加密通道連接策略服務器（例如SSL—安全套接層協議），請求安全規(guī)則；

④策略服務器將安全規(guī)則下發(fā)到認證請求者本地，認證請求者的安全計算模塊運行規(guī)則并計算安全結果；

⑤認證請求者將計算出的安全結果通知給認證者；

⑥認證者根據安全結果，決定是否繼續(xù)打開或關閉數據通道；

⑦認證者通知認證請求者最終請求結果。

2 實驗結果分析

現選用5臺計算機來做測試，分別表示為A，B，C，D，E。它們的IP地址分別為：128.255.16.183，128.255.19.255，128.255.17.133，128.255.17.155，128.255.18.15。其中 A 感染了會引發(fā)分布式拒絕服務(DDOS)惡意攻擊的軟件，其他計算機安全狀態(tài)良好。分別做兩組實驗，第一組實驗中5臺計算機均使用了標準EAPOL進行接入，第二組實驗5臺計算機均使用擴展的EAPOL進行安全接入。兩組分別接入某局域網，局域網內一臺主機XX的IP為128.255.16.181，且這6臺主機與XX不做任何通信行為，分析結果如下：

（1）第一組實驗

由于A感染會引發(fā)DDOS惡意攻擊的軟件，但是標準EAPOL只是可以進行身份驗證，不能判別安全狀態(tài)，所以A和其它4臺主機都可以接入局域網中，通過嗅探器抓包工具可以觀察出A主機引起了網絡流量異常，圖4為流量分布圖。顯然A通過不斷地發(fā)包造成網絡阻塞，嚴重時將會造成網路癱瘓，給網絡帶來了不容忽視的威脅。

圖4 第一組實驗流量分布

（2）第二組實驗

在第二組實驗中所有主機都使用了擴展后的EAPOL協議進行接入，擴展后的EAPOL不僅可以驗證接入終端的身份，而且可以判斷A處于不安全的狀態(tài)，所以A被拒絕接入局域網內，從而保證了網絡的安全性和通信的暢通。

圖5為流量分布圖，可以看出流量分布平均，并沒有出現網絡將被資源耗盡，流量阻塞的情況，說明這里提出的終端安全接入方法可以保證不僅實現了二層設備上的接入，更重要的是保證的終端的安全，網絡的可信。

圖5 第二組實驗流量分布

3 結語

通過擴展標準EAPOL協議，充分利用了EAPOL協議的原有特點和優(yōu)勢，即在基于二層接入設備上實現了在密碼認證和終端安全級別雙認證，然后又實施對終端準予接入的安全可信策略，是安全可信接入標準框架在二層設備上的一種實現。這種實現不僅能夠較好的滿足二層接入設備對終端的接入控制，同時兼容了原有標準EAPOL協議終端，充分保證了接入網絡的邊緣設備的真實、可信。該方法目前已應用于某公司現有的終端安全接入系統中，擴展實現了對二層設備的終端安全接入，并且運行良好。

[1] Trusted Computing Group. Trusted Network Connect Architecture for Interoperability Specification.Version1.3[EB/OL].(2006-05-01).[2009-07-21].http://www.trustedcomputing-grou p.org/tnc/. April 2008.

[2] IEEE Std 802.1X-2001. IEEE Standard for Local and Metropolitan Area Networks Port-Based Network Access Control[EB/OL].(2004-11-13).[2009-07-21].http://standards.ieee.org/readin g/ieee/std/lanman/802.1X-2001. June 2001.

[3] 鄧永暉,卿昱,左朝樹,等.一種基于EAP的可信網絡接入機制[J].通信技術,2009,42(21):109-114.

[4] 于昇,祝璐.行為分析技術及其在可信網絡中的應用前景[J].信息安全與通信保密,2009(02): 67-73.