802.1X理解


无线网络的安全性由认证和加密来保证。

认证允许只有被许可的用户才能连接到无线网络；

加密的目的是提供数据的保密性和完整性（数据在传输过程中不会被篡改）。

802.11标准最初只定义了两种认证方法：

l  开放系统认证（Open System Authentication）

l  共享密钥认证（Shared Key Authentication）

以及一种加密方法：

l  有线等效保密（Wired Equivalent Privacy – WEP）

对于开放系统认证，在设置时也可以启用WEP，此时，WEP用于在传输数据时加密，对认证没有任何作用。

对于共享密钥认证，必须启用WEP，WEP不仅用于认证，也用于在传输数据时加密。

WEP使用对称加密算法（即发送方和接收方的密钥是一致的），WEP使用40位或104位密钥和24位初始化向量（Initialization Vector – IV，随机数）来加密数据。

注：使用初始化变量（IV）的目的是避免在加密的信息中出现相同的数据。例如：在数据传输中，源地址总是相同的，如果只是单纯的加密（WEP使用静态密码），这样在加密的信息中会出现相同的数据，有可能被恶意地破解。由于初始化变量（IV）是随机数，可以避免这种情况的出现。

在配置无线网络的安全性时，一般将40位/104位密钥写成密钥长度：64位（40+24）/128位（104+24）

由于WEP有一些严重缺陷，如初始化向量的范围有限，而且是使用明文传送……，802.11使用802.1x来进行认证、授权和密钥管理，另外，IEEE开始制订802.11i标准，用于增强无线网络的安全性。

同时，Wi-Fi联盟与IEEE一起开发了Wi-Fi受保护的访问（Wi-Fi Protected Access – WPA）以解决WEP的缺陷

WPA

WPA不同于WEP，WPA同时提供认证（基于802.1x可扩展认证协议 – Extensible Authentiation Protocl - EAP的认证）和加密（临时密钥完整性协议 – Temporal Key Integrity Protocol – TKIP）。

WPA的认证 – 80.21x

802.1x最初设计用于有线网络，但对无线网络也适用。802.1x使用认证服务器在无线网卡和无线访问点（AP）之间提供基于端口的访问控制和相互认证。

802.1x体系结构包括下列3部分：

（1）Supplicant：要访问网络的设备，通常是802.11客户端

（2）Authenticator：客户端和认证服务器的中间设备，在客户端和认证服务器之间传递信息。对于无线网络来说通常为无线访问点（AP）。

（3）Authentication Server（认证服务器）：对Supplicant进行实际身份验证的设备，通常是远程认证拨号用户服务（Remote Authentication Dial-In User Service - RADIUS）服务器

韩梅梅预约好了去拜访某公司老总，李雷也要去。到了公司门口，保安要求两人出示身份证明，保安通过电话与老总联系后，老总确认后通知可以让韩梅梅进来，李雷不能进去。保安根据老总的指示，对韩梅梅放行，拒绝李雷进入。

韩梅梅和李雷相当于802.1x体系中的supplicant，保安相当于authenticator，只起一个传送信息的作用，而不是进行实际的身份验证，老总相当于authentication server，进行实际的身份验证。

Supplicant、authenticator、authentication server三者之间需要通信。

Supplicant和authenticator之间使用EAPoL通信，authenticator将EAP封装在其他高层协议（如RADIUS）中与authentciation server通信或authenticator将EAPoL转换为其他认证协议（如RADIUS）传递给authentication server。

802.1x认证的核心是authenticator上端口的打开与关闭。对于合法用户（认证通过的用户）接入时，端口打开，可以自由访问网络；对于没有用户接入或非法用户（认证未通过的用户）接入时，端口关闭，这样就不能访问网络。

802.1x认证过程中还使用了动态密钥以加密数据。

WPA的加密 – TKIP

临时密钥完整性协议（Temporal Key Integrity Protocol – TKIP）也是对称加密方法，使用RC4算法，TKIP使用128位临时密钥和48位初始化向量（IV）

总结

WPA的优点：

（1）WPA利用802.1x认证提供强力的访问控制；

（2）TKIP使用动态密钥

WPA缺点：

（1）由于TKIP使用RC4算法，安全隐患

（2）复杂的认证和加密导致性能降低

WPA2

WPA2是WPA的第二版本，WPA2的加密使用CCMP方法。

802.11i

802.11i的目的是解决WEP的缺陷。

802.11i规定了认证和加密。

802.11i使用802.1x认证。

802.11i定义了临时密钥完整性协议（TKIP）、计数器模式密码块链消息认证码协议（Counter Mode with Cipher Block Chaining Message Authentication Code Protocol – CCMP）、Wireless Robust Authentication Protocol – WRAP三种加密方式。另外还有一种AES-CCMP加密方式，AES表示Advanced encryption standard（高级加密标准），使用AES加密算法代替过时的DES（Data Encryption Standard – 数据加密标准）加密算法能够提供更高的安全性，但由于AES-CCMP需要硬件，提高了成本。

WAPI

无线局域网认证和保密基础结构（WLAN Authentication and Privacy Infrastructure）是我国提出的无线局域网安全标准。WAPI包括无线局域网认证基础结构（WLAN Authentication Infrastructure - WAI）和无线局域网保密基础结构（WLAN Privacy Infrastructure - WPI）。WAI提供认证功能，WPI提供加密功能。

总结

WPA是一个中间过渡标准，最终的安全解决标准是802.11i，WAP的认证方式是802.1x；加密方法是WEP、TKIP；WAP2的认证方式是802.1x；加密方法是WEP、TKIP和CCMP。

即

WPA=802.11i草案3=802.1x/EAP+WEP(可选)/TKIP

WPA2=802.11i=802.1x/EAP+WEP（可选）/TKIP/CCMP（AES-CCMP）

WAPI是中国无线局域网强制性标准中的安全机制，已获得ISO认可，将成为国际标准。实际上WAPI和802.11i物理层是一样的，只是协议和MAC层不一样，因此很容易在一个芯片上支持两种标准。

问题

前面所述WPA、WPA2、802.11i的802.1x/EAP认证都要使用authentication server（认证服务器），对于大型企业环境来说，构建一台认证服务器没有问题，但对于家庭环境和小型办公室环境来说，构建一台认证服务器不太现实，那怎么办呢？难道不管家庭/小型办公室环境下的无线网络安全性了吗？

为了解决这个问题，802.11i提供了一种简单的认证方法：

使用预共享密钥（Pres-shared key – PSK）。

预共享密钥（PSK）需要事先在无线访问点（AP）和所有要访问无线网络的电脑上手动输入一相同的passphrase（这个词我不知道如何翻译，有些地方翻译为密码/口令，我觉得不太恰当），使用一种算法将passphrase转换为认证时使用的Pairwise Master Key（PMK），另外，在验证过程中，还要产生用于加密的动态密钥。

这种进行认证(不使用认证服务器)/加密的方法称为WPA/WPA2-Personal或WPA/WPA2 Pre-Shared Key或WPA/WPA2-PSK

使用认证服务器进行认证/加密的方法称为WPA/WPA2-Enterprise。

本文出自 “技术成就梦想” 博客，转载请与作者联系！