用户身份和应用终端的安全性探讨

领测软件测试网

　　 
　　随着网络技术的普及和网络应用的丰富，越来越多的用户开始认识网络、使用网络。而以太网技术以其灵活性高，技术相对简单，易于实现等特点成为了当今重要的网络建设技术。

　　但是，由于以太网技术“连通和共享”的设计初衷，使目前由以太网构成的网络系统面临着很多安全性方面的问题。
1、传统的以太网没有提供相应的安全防范机制，任何用户都能够不受控制地进入网络访问网络资源。
2、以太网所具有的“连通、共享”机制，可能使得整个网络系统都暴露在非法进入网络的用户面前。
3、传统交换机所提供的端口—MAC地址绑定的安全机制虽然能够提供一定的接入用户安全性保证，但是管理分散、配置繁琐，灵活性差，最终给网络的管理工作增加了大量烦琐工作
4、对于假冒IP地址和MAC地址的手段，没有提供有效的控制和解决办法。
　　如何解决这些由于以太网的简单、廉价的网络特性所暴露出来的安全和管理弱点，成为了目前业界讨论的一个焦点。
　　802.1X协议也正式在基于这样的背景下被提出来，成为解决局域网（包括以太网）安全问题的一个有效手段。
　　IEEE802.1X协议是由国际电子电器工程师协会提出，刚刚完成标准化的一个符合IEEE802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议（Port Base Network Access Control Protocol）,他能够在利用IEEE802局域网优势的基础上提供一种对连接到局域网用户的认证和授权手段，达到接受合法用户接入，保护网络安全的目的。
　　在802.1X协议中，只有具备了以下三个元素，才能够完成“基于端口的访问控制”的用户认证和授权。
1、Supplicant---客户端，一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。
2、Authenticator---认证系统，在以太网系统中指认证交换机，其主要作用是完成用户认证信息的“上传、下达”工作，并根据认证的结果打开或关闭端口。
3、Authentication Server---认证服务器，通过检验客户端发送来的身份标识（用户名和口令），来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果，向交换机（Authenticator）发出打开或保持端口关闭的状态。
　　在具有802.1X认证功能的网络系统中，当一个用户需要对网络资源进行访问之间，必须先要完成以下的认证过程。
1、当用户有上网需求时，用户打开802.1X客户端程序，输入已经申请、登记的用户名和口令，发起连接。此时，客户端程序（Supplicant）将发出“请求认证”的报文给交换机（Authenticator），开始启动一次认证过程。
2、交换机收到“请求认证”的数据帧后，将发出一个请求帧，要求用户的客户端程序将输入的用户名送上来。
3、客户端程序相应交换机发出的请求，将“用户名”信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包（IP数据包）处理后送给认证服务器进行处理。
4、认证服务器收到交换机转发上来的“用户名”信息后，将该信息与数据库中的“用户名”表项相比对，找到该“用户名”对应的“口令”信息。用随机生成一个加密字对它进行加密处理（MD5加密算法），同时也将此加密字传送给交换机，由交换机转传给客户端程序。
5、客户端程序收到由交换机转传来的加密字后，用该加密字对“口令”部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机转传给认证服务器。
6、认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则反馈认证失败的消息，并保持交换机的端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。
这里要提出的一个值得注意的地方是：在客户端与认证服务器交换口令信息的时候，没有将口令明文直接送到网络上进行传输，而是对口令信息进行了不可逆的加密算法处理，使在网络上传输的敏感信息有了更高的安全保障，杜绝了由于下级接入设备所具有的广播特性（如HUB）而导致的敏感信息泄漏的问题。
　　在802.1X协议中，还规定了对于已经通过认证进入网络系统的用户的进行重新认证的一个机制。交换机会定时地向用户客户端发出重新认证的请求报文，要求用户终端设备上的客户端程序将上述的认证过程再执行一次（由客户端软件和交换机自动执行完成，无需用户干预）。从策略上进一步保证了接入用户的合法性，也避免了由于用户的终端设备死机，长期占用一个开放的端口而导致的一些安全上的漏洞。
　　对于可能发生的其他一些异常情况，802.1X协议也进行了相应的定义。如与端口相对应的MAC地址出现故障，用户终端设备故障而未响应交换机发出的重认证信息，用户终端设备与交换机之间的物理连接断开等等，都将导致用户在此后对网络资源进行访问时需要用户自己发起重新进行认证、授权操作。从而保证网络系统的安全，可靠。
　　在港湾网络所提出的802.1X解决方案中，采用了基于MAC地址的端口访问控制模式。采用此种模式将会带来降低用户建网成本、降低认证服务器的性能要求的目的。
1、采用基于MAC地址的端口访问控制机制，只需在上层交换机实现802.1X认证，而不需在用户接入机交换机对交换机的每个端口进行控制，这样可降低接入机交换机的功能要求，从而降低整网的建网成本。
2、通过在层次较高的交换机上实现基于MAC地址的端口访问控制，能够减少与后端认证服务器建立的通信进程数，降低对服务器的性能要求。
3、用户能够在一定范围内自由移动，即提供了安全性又保证了灵活性。
对于此种访问控制方式，港湾公司也采用了相应的手段来防止由于MAC、IP地址假冒所发生的网络安全问题。
1、对于假冒MAC地址的情况：
　　当认证交换机的一个物理端口下面再级连一台接入级交换机，而该台接入交换机上的甲用户已经通过认证正常使用网络资源，则此时在认证交换机的该物理端口中就已将甲用户的终端设备的MAC地址设定为允许发送业务数据。假如同一台接入交换机下的乙用户将自己的MAC地址修改得与甲用户的MAC地址相同，则即使乙用户没有经过认证过程，就也能够使用网络资源了。这样就给网络安全带来了相应的防范漏洞。针对此种情况，港湾网络交换机在实现了802.1X认证、授权功能的交换机上通过MAC地址+IP地址的绑定功能来阻止假冒MAC地址的用户的非法访问。
　　对于动态分配IP地址的网络系统（如宽带小区接入），由于非法用户无法预先获知其它用户将会分配到的IP地址，因此它既使知晓某一用户的MAC地址也无法伪造IP地址。也就无法冒充合法用户访问网络资源。
对于静态分配地址的方案，由于具有同一IP地址的两台终端设备必然会造成IP地址冲突，因此同时假冒MAC地址和IP地址的方案也是不可行的。
　　当假冒者和合法用户分属于认证交换机两个不同的物理端口，则假冒者即使知道合法用户的MAC地址，而由于该MAC地址不在同一物理端口，因此，假冒者还是无法进入网落系统的。
　　最后，如果接入级交换机仍然采用港湾网络的产品，则能够实现更为严格的MAC地址+端口+IP地址的绑定。通过港湾网络认证交换机与港湾网络接入交换机之间H.Link（港湾网络独立开发的自有通讯协议）协议的交互，对接入用户所使用的接入交换机的端口信息进行交换和控制，达到将端口作为绑定元素的目的。从而实现更为严格的安全保证和安全控制。
2、对于假冒IP地址的情况：
　　由于802.1X采用了基于二层的认证方式，因此，当采用动态地址分配方案时，只有用户认证通过后，才能够分配到IP网络地址。
　　对于静态地址分配策略，如果假冒了IP地址，而没有能够通过认证，也不会与正在使用该地址的合法用户发生地址冲突。
　　如果用户能够通过认证，但假冒了其他用户的IP地址，则通过在认证交换机上采用IP地址+MAC地址绑定的方式，来控制用户的访问接入。使假冒用户无法进行正常的业务通讯。从而达到防止IP地址篡改、假冒的目的。
3、 对于用户口令失窃、扩散的处理
在使用802.1X认证协议的系统中，用户口令失窃和口令扩散的情况非常多，对于这类情况，能够通过在认证服务器上限定同时接入具有同一用户名和口令的认证信息的用户的数量来达到控制用户接入避免非法访问网络系统的目的。

　　综上，IEEE802.1X认证技术和港湾网络基于802.1X技术的解决方案，能够比较好地解决现阶段所面临的用户身份认证和应用终端的安全性问题。但正如大家所共知的，任何一项技术都不可能解决目前所面临的全部问题。因此仅仅依靠802.1X这项技术来解决用户身份认证和应用终端所面临的所有安全问题是不现实的。只有多项技术和相关的管理规定有机结合，才能构建一个真正安全、可靠的网络环境。

文章来源于领测软件测试网 https://www.ltesting.net/