日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

談?wù)?02.1x協(xié)議兼容的實現(xiàn)

云知道


基于端口的控制最大的特點(diǎn)就是不需對現(xiàn)有的數(shù)據(jù)進(jìn)行封裝,這種特點(diǎn)可以帶來一大堆的好處,其中之一就是驗證的靈活的實現(xiàn) 。排開了與現(xiàn)有協(xié)議的兼容性的問題,只需要簡單的程序就可實現(xiàn)具備認(rèn)證能力的客戶端 。【談?wù)?02.1x協(xié)議兼容的實現(xiàn)】然后靈活造成的負(fù)面效應(yīng)就是各種私自改動標(biāo)準(zhǔn)協(xié)議的現(xiàn)象的泛濫 。由于802.1x協(xié)議是基于supplicant,authenticator, authentication server三方的協(xié)議 。而現(xiàn)實中這三方全部利用廠商提供的軟硬件實現(xiàn) 。于是出現(xiàn)了很多私有化的802.1x協(xié)議的設(shè)備和客戶端 。除了802.1x本身優(yōu)越的特性之外,協(xié)議還對廠商來說具備一定的廣告價值 。能夠在自己的設(shè)備上實現(xiàn)802.1x是很值得炫耀的事情 。然而還有一系列其他因素影響的廠商的實現(xiàn) 。于是廠商的實現(xiàn)中出現(xiàn)了一系列的限制功能 。至于這些功能是否侵犯了用戶的權(quán)力不在本文的討論范圍之內(nèi) 。本文主要討論一般私有協(xié)議的特征以及廠商如何在標(biāo)準(zhǔn)協(xié)議的基礎(chǔ)上實現(xiàn)這些特性的 。本文并不介紹802.1x協(xié)議本身,假如對802.1x比較生疏的話請參閱相關(guān)的資料 。由于廠商需要將802.1x的字樣寫在產(chǎn)品的功能列表上,這就導(dǎo)致了廠商必須完整的實現(xiàn)802.1x而私有的加上廠商定制的部分 。通常情況下,限制多加在supplicant所安裝的計算機(jī)上,如檢測多網(wǎng)卡、代理服務(wù)器等等 。這些限制通常也都在客戶端完成,而且也不需要向設(shè)備傳輸數(shù)據(jù) 。所以,廠商只要開發(fā)出具有一大隊限制的客戶端,然后在協(xié)議中限制使用廠商自己的客戶端就行了!考慮代碼的重復(fù)利用和人的懶惰特性 。廠商是不會將似有的協(xié)議實現(xiàn)得非凡背離標(biāo)準(zhǔn)的 。假如那一現(xiàn)幸運(yùn)的出現(xiàn)國際客戶的話,廠商必須提供具有標(biāo)準(zhǔn)驗證功能的產(chǎn)品 。所以從supplicant,authenticator都要實現(xiàn)標(biāo)準(zhǔn)的802.1x協(xié)議 。而私有的協(xié)議,一般只在標(biāo)準(zhǔn)的驗證過程中附加一些信息 。而且這種附加必須可以通過軟件的設(shè)置靈活的去掉 。甚至,在同標(biāo)準(zhǔn)的設(shè)備認(rèn)證時,可以讓設(shè)備忽略這些信息的存在 。本著這條宗旨,RG實現(xiàn)的客戶端將對客戶端的認(rèn)證加在了客戶端所有的請求和回應(yīng)的數(shù)據(jù)包的尾端 。而且,這種追加并未改變標(biāo)準(zhǔn)協(xié)議數(shù)據(jù)報文中所標(biāo)稱的數(shù)據(jù)包長度 。也就是說,標(biāo)準(zhǔn)的設(shè)備根本不會處理這些追加的信息 。這種標(biāo)識是單向的,也就意味著只能通過提取一些簡單的authenticator也能獲取的信息,進(jìn)行簡單的加密或者計算之后發(fā)送出去 。比如IP,netmask,dns,gateway.等等 。在RG的協(xié)議中還包含了客戶端的程序名稱等信息 。由于IP,netmask,dns,gateway等等在有些情況下可能只能在認(rèn)證之后才能通過dhcp得到 。因此個人猜想應(yīng)該是有程序名之類的才是這種判定的有效部分 。而IP等信息可能僅僅是作為未來可能的實現(xiàn)包含在了協(xié)議中,方便將來只在交換機(jī)升級軟件即可進(jìn)行更下嚴(yán)密的限制 。另一個影響實現(xiàn)的因素就是性能,性能導(dǎo)致私有的化的協(xié)議附加不可能有比標(biāo)準(zhǔn)EAP中的幾種認(rèn)證算法有更高的時間空間復(fù)雜度 。假如在客戶端還好,在交換機(jī)等設(shè)備上過多的請求將導(dǎo)致顯著的性能下降,影響廠商的產(chǎn)品在評測中的表現(xiàn) 。所以,上文提到的認(rèn)證信息交換機(jī)無法全部進(jìn)行判定 。一個很好的證據(jù)就是,在我測試的學(xué)校開始用xsuppcliant向RG私有組播地址發(fā)送標(biāo)準(zhǔn)的認(rèn)證數(shù)據(jù)報文,從Start-Frame開始一直到Response/OTP之前一直能同交換機(jī)進(jìn)行有效的通信 。而只有進(jìn)行Respond/OTP的時候才需要在報文的尾端加入RG私有的信息 。然而過了幾天正好在交換機(jī)升級以后 。Start-Frame也必須追加私有信息才能獲得回應(yīng)了 。而這期間整個學(xué)校的學(xué)生用戶一直在正常使用RG原來的windows客戶端 。由于這種方法易于從數(shù)據(jù)報文破解,廠商還必須實現(xiàn)其他的方法來提高自己的客戶端被替換的難度 。連接的保持提供了這個機(jī)會,在標(biāo)準(zhǔn)中連接的保持屬于狀態(tài)機(jī)的實現(xiàn)部分 。而RG使用一個種定時發(fā)送數(shù)據(jù)包的方法來保證客戶同authenticator之間的連通狀態(tài) 。而且,交換機(jī)反會的sUCcess包中出了一些文字信息之外包含了一個會話的初始ID,通過某種算法的依次計算,每次發(fā)送不同的數(shù)據(jù)包來和交換機(jī)確認(rèn)連接 。而交換機(jī)會也會通過計算來推斷客戶端的合法性 ?;谝陨系脑?,就可以在開源的客戶端上實現(xiàn)對私有協(xié)議的兼容 。echo/keepalive包是標(biāo)準(zhǔn)沒有的,但是通過狀態(tài)機(jī)定時隔幾秒改變一些標(biāo)識來處理發(fā)包也是很輕易的 。由于目前嘗試破解私有協(xié)議的人士很多,廠商的算法被反匯編以后已經(jīng)被重寫常了C語言代碼 。只要將這些代碼嵌入到一個開源穩(wěn)定的客戶端當(dāng)中,即可實現(xiàn)多個平臺的無限制的私有802.1x認(rèn)證 。

推薦閱讀