隨著信息化建設(shè)的快速發(fā)展;物聯(lián)網(wǎng)的應(yīng)用也越來越多。用戶終端可方便地接入網(wǎng)絡(luò)以獲取各種資源。安全性要求貫穿于整個物聯(lián)網(wǎng)體系架構(gòu)的各個層次中。忽略對網(wǎng)絡(luò)底層的通信保護(hù)無疑會使網(wǎng)絡(luò)上層直接面對危機四伏的物聯(lián)網(wǎng)環(huán)境。目前終端都是通過交換機接入網(wǎng)絡(luò)。交換機僅作為接入設(shè)備,連接用戶端與網(wǎng)絡(luò),對于與其相連的客戶機不作任何的判斷和限制。任意機器都可以通過交換機接入整個網(wǎng)絡(luò):這種狀況不僅造成管理的混亂,用戶可以隨意地改動IP及連接。而且無法對外來計算機的接入進(jìn)行有效的控制。從而對網(wǎng)絡(luò)中的資源形成很大的威脅。因此。必須對接入網(wǎng)絡(luò)的客戶機進(jìn)行身份認(rèn)證。這對于安全要求很高的網(wǎng)絡(luò)環(huán)境是刻不容緩的。
筆者在本文中提出一種基于數(shù)字證書或用戶名/口令以及終端完整性的客戶機身份認(rèn)證方式,實現(xiàn)了與網(wǎng)絡(luò)接入設(shè)備端口的認(rèn)證連接,能有效地約束非法用戶通過接人設(shè)備來訪問網(wǎng)絡(luò)資源。
1.802.1X和Radius協(xié)議簡介
802.1X協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問網(wǎng)絡(luò)。在獲得LAN提供的各種業(yè)務(wù)之前。802.1x對連接到交換機端口上的用戶/設(shè)備進(jìn)行認(rèn)證。在認(rèn)證通過之前。802.1x只允許基于局域網(wǎng)的擴展認(rèn)證協(xié)議(EAPOL)的數(shù)據(jù)通過設(shè)備連接的交換機端口;認(rèn)證通過以后,正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。
Radius(Remote Authentication Dial In User Service) 協(xié)議最初是由Livingston公司提出的,原先的目的是為撥號用戶進(jìn)行認(rèn)證和計費。后來經(jīng)過多次改進(jìn)。形成了一項通用的認(rèn)證計費協(xié)議。Radius是一種C/S結(jié)構(gòu)的協(xié)議,它的客戶端最初就是NAS(Net Access Server)服務(wù)器,現(xiàn)在任何運行RadiuS客戶端軟件的計算機都可以成為Radius的客戶端。Radius協(xié)議的認(rèn)證機制靈活,可以采用PAP、CHAP或者Unix登錄認(rèn)證等多種方式。Radius是一種可擴展的協(xié)議,它進(jìn)行的全部工作都是基于Attribute—Length—Value的向量進(jìn)行的。
2.系統(tǒng)的組成
考慮到兼容性。此方案基于802.1x協(xié)議設(shè)計實現(xiàn)。系統(tǒng)主要由3部分(使用證書時還需要CA認(rèn)證服務(wù)器)組成:
a)客戶端
通過網(wǎng)線與交換機直接物理相連。獲取終端的完整性信息(包括系統(tǒng)更新補丁信息、殺毒軟件和防火墻信息、硬件的完整性信息等)。組成EAP包發(fā)給交換機。認(rèn)證成功之后。通過定時器檢測終端的完整性信息是否符合約定的策略。一旦完整性信息不符合約定的策略。則主動向交換機發(fā)送EAPOL—logoff包,斷開網(wǎng)絡(luò)連接。
b)支持802.1x協(xié)議的交換機
交換機是本系統(tǒng)的重要組成部分之一,起數(shù)據(jù)包的中轉(zhuǎn)作用。把認(rèn)證客戶端的接人請求轉(zhuǎn)發(fā)給Radius認(rèn)證服務(wù)器認(rèn)證。并且接受Radius認(rèn)證服務(wù)器下發(fā)的允許接入或者拒絕接入消息。如果允許接入,交換機將會打開端口,允許終端正常的數(shù)據(jù)包通過;否則,交換機將會關(guān)閉端口。丟棄終端的任何數(shù)據(jù)包(EAP數(shù)據(jù)包除外)。
c)RadiUS認(rèn)證服務(wù)器
Radius認(rèn)證服務(wù)器使用UDP協(xié)議與交換機交互。它是本系統(tǒng)的授權(quán)者。按照約定的策略來驗證終端的接入請求,然后授權(quán)交換機作響應(yīng)的動作。如果終端驗證通過。那么Radius認(rèn)證服務(wù)器將會發(fā)送EAP—Success數(shù)據(jù)包給交換機。交換機打開相應(yīng)的端口:否則Radius認(rèn)證服務(wù)器將會發(fā)送EAP—Failure數(shù)據(jù)包給交換機。交換機關(guān)閉相應(yīng)的端口。
3.工作流程
客戶以提交數(shù)字證書或用戶名/口令,(同時需提交CPK數(shù)字簽名)以及客戶端完整性數(shù)據(jù)的方式。請求認(rèn)證服務(wù)器驗證。驗證通過則打開網(wǎng)絡(luò)通道,否則拒絕客戶接人網(wǎng)絡(luò),如圖1所示。
圖1 認(rèn)證流程
以使用用戶名和密碼的認(rèn)證方式為例。整個方案的工作流程如下:
a)當(dāng)終端有訪問網(wǎng)絡(luò)的需求時打開客戶端程序。輸入已經(jīng)申請并登記過的用戶名和密碼。發(fā)起連接請求(EAPOL—Start報文)。此時,認(rèn)證客戶端程序?qū)l(fā)出請求認(rèn)證的報文給交換機。啟動認(rèn)證過程。
b)交換機收到請求認(rèn)證的數(shù)據(jù)幀后。將發(fā)出一個請求幀(EAP—Request/Identity報文)要求認(rèn)證客戶端發(fā)送輸入的用戶名。
c)認(rèn)證客戶端程序響應(yīng)交換機發(fā)出的請求。將用戶名信息通過數(shù)據(jù)幀(EAP—Response/Identity報文)發(fā)送給交換機。交換機將認(rèn)證客戶端發(fā)送的數(shù)據(jù)幀經(jīng)過封包處理后(Radius Access—Request報文)送給認(rèn)證服務(wù)器進(jìn)行處理。
d)Radius服務(wù)器收到交換機轉(zhuǎn)發(fā)的用戶名后。將該信息與數(shù)據(jù)庫中的用戶名表對比。找到該用戶名對應(yīng)的密碼信息。用隨機生成的加密字對它進(jìn)行加密處理。同時也將此加密字通過RadiusAccess—Challenge報文發(fā)送給交換機。由交換機轉(zhuǎn)發(fā)給客戶端程序。
e)認(rèn)證客戶端程序收到由交換機傳來的加密字(EAP—Request/MD5 Challenge報文)后。用該加密字對密碼部分進(jìn)行加密處理(此種加密算法通常是不可逆的,生成EAP—Response/MD5 Challenge報文)。認(rèn)證客戶端首先獲取終端的完整性信息。然后附上CPK簽名信息。最后把終端完整性信息和CPK簽名信息串接到EAP—Response/MD5一Chal1enge報文中并通過交換機傳給Radius認(rèn)證服務(wù)器。
f)Radius認(rèn)證服務(wù)器將收到的、已加密的密碼信息(Radius Access—Request報文)和本地經(jīng)過加密運算后的密碼信息進(jìn)行對比。如果相同。則認(rèn)為該用戶為合法用戶。Radius服務(wù)器按照既定的策略驗證簽名信息和驗證終端的完整性信息。例如系統(tǒng)補丁信息等。只有簽名信息正確并且終端完整性信息符合設(shè)定的策略。Radius認(rèn)證服務(wù)器才會向交換機發(fā)送Radius Access—Accept報文。
g)交換機收到認(rèn)證通過消息后將端口改為授權(quán)狀態(tài)。允許用戶通過端口訪問網(wǎng)絡(luò)。在此期間,交換機通過向客戶端定期發(fā)送握手報文對用戶的在線情況進(jìn)行監(jiān)測。在缺省情況下。兩次握手請求報文都得不到客戶端的應(yīng)答。交換機就會讓用戶下線。防止用戶因為異常原因下線而交換機無法感知。
h)認(rèn)證客戶端也可以發(fā)送EAPOL—Logoff報文給交換機,主動要求下線。交換機把端口狀態(tài)從授權(quán)狀態(tài)改變成未授權(quán)狀態(tài)。并向認(rèn)證客戶端發(fā)送EAP—Failure報文。
4.結(jié)束語
本文在802.1x協(xié)議的基礎(chǔ)上對EAP—MD5認(rèn)證方法進(jìn)行了擴展。把系統(tǒng)補丁信息、殺毒軟件信息以及硬件信息等作為終端完整性度量。簽名算法方面,由于組合公鑰(CPK)基于橢圓曲線密碼學(xué),而橢圓曲線密碼具有密鑰短、運算快的優(yōu)點,因此組合公鑰簽名可以很短。故選取組合公鑰簽名方案。在EAP—Response/MD5一Challenge報文中插入終端完整性信息和簽名信息。發(fā)給交換機。再由交換機將此信息發(fā)給后臺的RadiUS認(rèn)證服務(wù)器。進(jìn)行完整性校驗。測試結(jié)果表明,方案滿足物聯(lián)網(wǎng)終端安全接入的基本功能需求。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:物聯(lián)網(wǎng)終端安全接入方法研究與設(shè)計
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121512195.html