分类: 网络与安全
2011-12-15 16:08:27
802.1X理解
无线网络的安全性由认证和加密来保证。
认证允许只有被许可的用户才能连接到无线网络;
加密的目的是提供数据的保密性和完整性(数据在传输过程中不会被篡改)。
802.11标准最初只定义了两种认证方法:
l 开放系统认证(Open System Authentication)
l 共享密钥认证(Shared Key Authentication)
以及一种加密方法:
l 有线等效保密(Wired Equivalent Privacy – WEP)
对于开放系统认证,在设置时也可以启用WEP,此时,WEP用于在传输数据时加密,对认证没有任何作用。
对于共享密钥认证,必须启用WEP,WEP不仅用于认证,也用于在传输数据时加密。
WEP使用对称加密算法(即发送方和接收方的密钥是一致的),WEP使用40位或104位密钥和24位初始化向量(Initialization Vector – IV,随机数)来加密数据。
注:使用初始化变量(IV)的目的是避免在加密的信息中出现相同的数据。例如:在数据传输中,源地址总是相同的,如果只是单纯的加密(WEP使用静态密码),这样在加密的信息中会出现相同的数据,有可能被恶意地破解。由于初始化变量(IV)是随机数,可以避免这种情况的出现。
在配置无线网络的安全性时,一般将40位/104位密钥写成密钥长度:64位(40+24)/128位(104+24)
由于WEP有一些严重缺陷,如初始化向量的范围有限,而且是使用明文传送……,802.11使用802.1x来进行认证、授权和密钥管理,另外,IEEE开始制订802.11i标准,用于增强无线网络的安全性。
同时,Wi-Fi联盟与IEEE一起开发了Wi-Fi受保护的访问(Wi-Fi Protected Access – WPA)以解决WEP的缺陷
WPA
WPA不同于WEP,WPA同时提供认证(基于802.1x可扩展认证协议 – Extensible Authentiation Protocl - EAP的认证)和加密(临时密钥完整性协议 – Temporal Key Integrity Protocol – TKIP)。
WPA的认证 – 80.21x
802.1x最初设计用于有线网络,但对无线网络也适用。802.1x使用认证服务器在无线网卡和无线访问点(AP)之间提供基于端口的访问控制和相互认证。
802.1x体系结构包括下列3部分:
(1)Supplicant:要访问网络的设备,通常是802.11客户端
(2)Authenticator:客户端和认证服务器的中间设备,在客户端和认证服务器之间传递信息。对于无线网络来说通常为无线访问点(AP)。
(3)Authentication Server(认证服务器):对Supplicant进行实际身份验证的设备,通常是远程认证拨号用户服务(Remote Authentication Dial-In User Service - RADIUS)服务器
韩梅梅预约好了去拜访某公司老总,李雷也要去。到了公司门口,保安要求两人出示身份证明,保安通过电话与老总联系后,老总确认后通知可以让韩梅梅进来,李雷不能进去。保安根据老总的指示,对韩梅梅放行,拒绝李雷进入。
韩梅梅和李雷相当于802.1x体系中的supplicant,保安相当于authenticator,只起一个传送信息的作用,而不是进行实际的身份验证,老总相当于authentication server,进行实际的身份验证。
Supplicant、authenticator、authentication server三者之间需要通信。
Supplicant和authenticator之间使用EAPoL通信,authenticator将EAP封装在其他高层协议(如RADIUS)中与authentciation server通信或authenticator将EAPoL转换为其他认证协议(如RADIUS)传递给authentication server。
EAP和EAPoL 我对EAP和EAPoL的区别一直很模糊。这次好好看了些资料,总结如下: EAP 可扩展认证协议(EAP)是一个认证框架,而不是一种特定的认证机制,EAP提供一些公共的功能,并且允许协商认证机制(EAP方法)。EAP规定如何传输和使用由EAP方法产生的密钥材料(如密钥、证书等等)和参数。 无线网络中常用的EAP方法(认证机制)包括EAP-TLS、EAP-SIM、EAP-AKA、LEAP和EAP-TTLS。 EAPoL(EAP over LAN) EAP只定义了消息格式,每种使用EAP的协议必须定义一种将EAP消息封装到该协议消息中的方法。 802.1x中定义了将EAP消息封装到802中的方法,这种方法称为EAP over LAN – EAPoL。所以EAPoL实际上是一种传送机制。实际的认证方法是EAP方法来指定。 |
802.1x认证的核心是authenticator上端口的打开与关闭。对于合法用户(认证通过的用户)接入时,端口打开,可以自由访问网络;对于没有用户接入或非法用户(认证未通过的用户)接入时,端口关闭,这样就不能访问网络。
802.1x认证过程中还使用了动态密钥以加密数据。
WPA的加密 – TKIP
临时密钥完整性协议(Temporal Key Integrity Protocol – TKIP)也是对称加密方法,使用RC4算法,TKIP使用128位临时密钥和48位初始化向量(IV)
总结
WPA的优点:
(1)WPA利用802.1x认证提供强力的访问控制;
(2)TKIP使用动态密钥
WPA缺点:
(1)由于TKIP使用RC4算法,安全隐患
(2)复杂的认证和加密导致性能降低
WPA2
WPA2是WPA的第二版本,WPA2的加密使用CCMP方法。
802.11i
802.11i的目的是解决WEP的缺陷。
802.11i规定了认证和加密。
802.11i使用802.1x认证。
802.11i定义了临时密钥完整性协议(TKIP)、计数器模式密码块链消息认证码协议(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol – CCMP)、Wireless Robust Authentication Protocol – WRAP三种加密方式。另外还有一种AES-CCMP加密方式,AES表示Advanced encryption standard(高级加密标准),使用AES加密算法代替过时的DES(Data Encryption Standard – 数据加密标准)加密算法能够提供更高的安全性,但由于AES-CCMP需要硬件,提高了成本。
WAPI
无线局域网认证和保密基础结构(WLAN Authentication and Privacy Infrastructure)是我国提出的无线局域网安全标准。WAPI包括无线局域网认证基础结构(WLAN Authentication Infrastructure - WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure - WPI)。WAI提供认证功能,WPI提供加密功能。
总结
WPA是一个中间过渡标准,最终的安全解决标准是802.11i,WAP的认证方式是802.1x;加密方法是WEP、TKIP;WAP2的认证方式是802.1x;加密方法是WEP、TKIP和CCMP。
即
WPA=802.11i草案3=802.1x/EAP+WEP(可选)/TKIP
WPA2=802.11i=802.1x/EAP+WEP(可选)/TKIP/CCMP(AES-CCMP)
WAPI是中国无线局域网强制性标准中的安全机制,已获得ISO认可,将成为国际标准。实际上WAPI和802.11i物理层是一样的,只是协议和MAC层不一样,因此很容易在一个芯片上支持两种标准。
问题
前面所述WPA、WPA2、802.11i的802.1x/EAP认证都要使用authentication server(认证服务器),对于大型企业环境来说,构建一台认证服务器没有问题,但对于家庭环境和小型办公室环境来说,构建一台认证服务器不太现实,那怎么办呢?难道不管家庭/小型办公室环境下的无线网络安全性了吗?
为了解决这个问题,802.11i提供了一种简单的认证方法:
使用预共享密钥(Pres-shared key – PSK)。
预共享密钥(PSK)需要事先在无线访问点(AP)和所有要访问无线网络的电脑上手动输入一相同的passphrase(这个词我不知道如何翻译,有些地方翻译为密码/口令,我觉得不太恰当),使用一种算法将passphrase转换为认证时使用的Pairwise Master Key(PMK),另外,在验证过程中,还要产生用于加密的动态密钥。
这种进行认证(不使用认证服务器)/加密的方法称为WPA/WPA2-Personal或WPA/WPA2 Pre-Shared Key或WPA/WPA2-PSK
使用认证服务器进行认证/加密的方法称为WPA/WPA2-Enterprise。
Passphrase和password的区别 密码(password)是一组字母、数字、符号,表示用户的身份。密码一般比较短8/6/6字符,而且密码的复杂性有要求,如不能出现常见的字、词等等。 Passphrase类似于密码(password),但passphrase并不是直接使用的,而是通过一定的算法将passphrase转换为用于加密的密钥。Passphrase可以很长,通常为20-30个字符,另外,由于不是直接使用passphrase,所以可以使用容易记忆的句子作为passphrase |
本文出自 “技术成就梦想” 博客,转载请与作者联系!