以太网安全技术系列之：TLSec基于证书的鉴别协议分析

由于技术局限性，通过应用层安全技术无法有效保护以太网连接安全。西电捷通公司从网络底层协议安全入手研发出以太网安全技术—TLSec，它通过引入在线可信第三方实现请求者和控制器的双向身份鉴别，保证合法用户接入合法网络。本文通过网络数据包捕获的方式，对TLSec技术体系中基于证书的鉴别协议进行剖析，展示TLSec如何在底层协议层面为以太网提供安全保障。 【以太网安全技术——TLSec】以太网作为广泛使用的局域网技术，其安全性问题日益凸显。传统的应用层安全技术无法彻底解决以太网的底层安全问题，如数据篡改、窃听和中间人攻击等。为应对这些挑战，西电捷通公司研发了一种名为TLSec（TePA-based LAN Security）的以太网安全技术。 TLSec的核心是通过引入在线可信第三方，即鉴别服务器（Authentication Server，AS），实现请求者（Requester，REQ）与鉴别访问控制器（Authentication access controller，AAC）之间的双向身份鉴别。这种三元对等架构提高了安全级别，避免了传统二元结构的中间人攻击风险。TLSec技术包括两个协议：局域网鉴别协议（TLA）和局域网保密通信协议（TLP）。通过这两个协议，TLSec确保了数据的完整性、机密性和访问控制，从而为以太网提供底层安全保障。 在TLSec的系统中，有三种角色：请求者、鉴别访问控制器和鉴别服务器。TLSec客户端作为接入设备，提供接入鉴别和加密服务；以太网安全控制器作为准入设备，执行鉴别和加密操作；而鉴别服务器作为中心信任机构，负责证书管理和鉴别服务。这些组件协同工作，构建起一个安全的局域网环境。 为了进一步理解TLSec的工作原理，可以通过网络数据包捕获工具Wireshark对基于证书的鉴别协议进行分析。在TLSec的证书鉴别过程中，通常涉及六个分组，其中接入鉴别确认分组是可选的。如果接入鉴别响应分组携带了AAC的签名，那么接入鉴别确认分组是必需的。否则，如果响应分组包含消息鉴别码（Message Authentication Code，MAC），则无需发送确认分组。 实验环境的搭建通常包括AS、AAC和REQ，以及用于捕获数据包的Wireshark所在的PC。通过这样的配置，可以详细分析TLSec协议帧结构，深入了解鉴别过程，帮助读者理解TLSec如何在链路层层面保障以太网安全。 TLSec是西电捷通为解决以太网安全问题而设计的一种创新技术，它通过在底层协议层面实施安全措施，有效地提高了局域网的安全性，防止了各种潜在的网络安全威胁。TLSec的实施和应用，为构建更加安全可靠的以太网网络提供了有力的技术支撑。