牛晓妍

（长治医学院 计算机中心，山西 长治 046000）

802.1x/EAP-PEAP认证方法的研究与应用

牛晓妍

（长治医学院 计算机中心，山西 长治 046000）

安全问题是影响无线网络发展的一个重要因素。IEEE802.1x协议的主要目的是解决无线局域网用户的接入认证问题。文章主要讨论了802.1x协议、EAP协议、PEAP协议。最后采用目前流行的一些免费软件，如MySQL，OpenSSL，FreeRadius等构建了一个简单、实效、可靠的基于802.1x/EAP-PEAP认证方案。

无线局域网；802.1x；EAP；PEAP；认证

1 引言

随着信息技术的飞速发展，人们对网络通信的需求不断提高。近年来，无线网络逐渐成为一种较为普遍的网络访问方式，但是将无线网络接入传统的Internet中存在很多安全隐患。2001年6月，IEEE802LAN/WAN委员会通过了基于端口访问控制的接入管理协议标准IEEE802.1x。它能够在利用IEEE802LAN的优势基础上提供一种对连接到局域网设备或用户进行认证和授权的手段。

2 802.1x体系简介

IEEE802.1x的体系结构中包括三个部分：Supplicant System，申请者；Authenticator System，认证者系统AP；Authentication Server System，认证服务器。三者之间的关系及相互通信如图1所示。

Supplicant System-Client（客户端）是指LAN所连接的实体，它向认证系统发起请求，对其身份的合法性进行检验。

Authenticator System--Switch（边缘交换机或无线接入设备）是指在LAN连接的一端用于认证另一端设备的实体，它在申请者和认证服务器之间充当代理（proxy）角色。

图1 IEEE802.1x三部分相互关系

Authentication Server System，为认证系统提供认证服务的实体。这里认证服务器所提供的服务指通过验证客户端发送来的身份标识，判断这个申请者是否有权使用认证系统提供的网络服务。这个设备代表认证者负责真正的认证和授权。它以数据库形式包含网络上所有用户的简要信息。能够用这个信息去认证和授权连接认证者端口上的用户。

3 EAP协议简介

使用可扩展的身份验证协议EAP即Extensible Authentication Protocol，定义了802.1x协议中三个主要实体间的通信机制。EAP支持多种认证协议以保证认证过程中的信息安全，常用的有EAP-MD5、EAP-TLS、EAP-PEAP等。EAP-MD5是一种基于口令的身份认证，支持客户端到服务器之间的单向认证；EAP-TLS是基于数字证书的身份认证，支持双向认证，但需要PKI系统的支持，安全性高，部署成本也很高；EAP-PEAP相对安全，部署方便，使用比较广泛。

4 PEAP协议简介

EAP家族新成员Protected EAP（受保护的可扩展的身份验证协议PEAP），使用传输级别安全性协议TLS在正在验证的PEAP客户端（如：无线计算机）和PEAP身份验证器（如：远程验证拨号用户服务RADIUS服务器）之间建立加密通道，并且提供EAP客户端和身份验证器之间的EAP身份验证。PEAP部署只需要安装服务器端证书，不需要安装客户端证书。

5 基于802.1x/EAP-PEAP的应用方案

该方案采用Red Hat Linux9.0操作系统作为服务器平台，信息存储采用免费数据库MySQL 5.1.31，证书使用OpenSSL 1.0.0，RADlUS服务器采用最新版本免费软件FreeRadius 2.1.11。

具体设计过程如下。

5.1 安装服务器环境

5.1.1 安装openssl

Openssl给客户端和服务器提供安全连接。如果没有安装openssl，那么radius无法运行。从www.openssl.org网站上下载并进行安装。

参考命令如下：

5.1.2 安装mysql数据库

从www.mysql.org网站上下载并进行安装mysql数据库。安装结束后创建radius数据库，并且修改root密码以及允许远程机器用root用户连接mysql数据库。

安装mysql数据库需要下面两个文件：

5.1.3 安装freeradius

从www.freeradius.org网站下载最新版本的freeradius2.1.11进行安装。

参考命令如下:

5.2 配置服务器环境（#为注释语句）

5.2.1 配置mysql数据库

#创建radius数据库

mysql＞create database radius;

#打开mysql数据库

mysql＞usemysqld;

#设置mysql数据库的root密码

mysql-u root-p

#在mysql中建立radius数据库

mysql＞upoate laser set password=aassword（'密码'）where user'root';

#允许远程机器用root用户连接mysql数据库

mysql＞updateuser sethost='%'where user='root'；

#在radius数据库中建立用户信息

运行：

#插入一条做测试的用户记录

在radcheck表中，运行：

执行完上述命令后，退出mysql数据库，并重新启动mysql数据库。

5.2.2 配置freeradius

配置freeradius是本方案最重要的部分，freeradius的配置文件存放在/user/local/etc/raddb目录下，具体操作内容如下所示：

（1）编辑clients.conf文件，添加无线AP的信息

（2）编辑sql.conf文件，使radius可以访问mysql

（3）编辑eap.conf文件，把openssl生成的数字证书导入radius服务器

6 总结

IEEE802.1x认证需要网络服务系统和网络之间的会话，这一会话使用IETF的EAP认证协议，而PEAP协议作为扩展EAP协议，为EAP验证协议提供额外的安全性，例如EAP-MSCHAPv2协议，该协议可以通过PEAP提供的TLS加密通道得以实现，从而为无线局域网提供更高的安全性。

［1］IEEE Standard 802.1x-2001,standard of portbased network access control［S］.

［2］袁建国等.802.1X/EAP-PEAP的研究与应用［J］.计算机工程与设计，2006，（10）：1819-1820.

［3］贾立波等.802.1X/PEAP认证方法的研究与应用［J］.网络安全技术与应用，2009，（5）：80、81、85.

［4］龚发根等.基于活动目录的802.1X/EAP-PEAP的应用研究［J］.计算机技术与发展，2011，（1）：154-157.

［5］罗汉云等.802.1X认证技术分析［J］.安庆师范学院学报，2009，（1）：52-54.

［6］陈群等.无线局域网安全认证的 EAP 策略［J］.计算机技术与发展，2008，（9）：123-126.

Research and App lication of 802.1x/EAP-PEAP Authentication M ethod

NIU Xiao-yan
（Computer Center，ChangzhiMedical College，Changzhi Shanxi 046000）

Nowadays，WLAN is applied more and morewidely，and its security becomes an very important factor determining its future.IEEE802.1x protocol is designed for resolving the access authentication of thewireless lan.Then this papermainly discusses the 802.1x protocol，EAP protocol，PEAP protocol.Finally，itbuilts an application scheme of implementing 802.1x/EAP-PEAP with popular and free software，including MySQL，OpenSSL，FreeRadius etc.This application scheme is simple ，reliable and effective.

WLAN；802.1x；EAP；PEAP；authentication

TN926+.1

A

1673-2014（2011）05-0039-03

2011—05—15

牛晓妍（1977— ），女，山西长治人，硕士，讲师，主要从事计算机网络的教学与研究。

（责任编辑 单麦琴）