無線網絡的安全性由認證和加密來保證。
認證允許只有被許可的用戶才能連接到無線網絡;
加密的目的是提供數據的保密性和完整性(數據在傳輸過程中不會被篡改)。
802.11標準最初只定義了兩種認證方法:
l 開放系統認證(Open System Authentication)
l 共享密鑰認證(Shared Key Authentication)
以及一種加密方法:
l 有線等效保密(Wired Equivalent Privacy – WEP)
對於開放系統認證,在設置時也可以啓用WEP,此時,WEP用於在傳輸數據時加密,對認證沒有任何作用。
對於共享密鑰認證,必須啓用WEP,WEP不僅用於認證,也用於在傳輸數據時加密。
WEP使用對稱加密算法(即發送方和接收方的密鑰是一致的),WEP使用40位或104位密鑰和24位初始化向量(Initialization Vector – IV,隨機數)來加密數據。
注:使用初始化變量(IV)的目的是避免在加密的信息中出現相同的數據。例如:在數據傳輸中,源地址總是相同的,如果只是單純的加密(WEP使用靜態密碼),這樣在加密的信息中會出現相同的數據,有可能被惡意地破解。由於初始化變量(IV)是隨機數,可以避免這種情況的出現。
在配置無線網絡的安全性時,一般將40位/104位密鑰寫成密鑰長度:64位(40+24)/128位(104+24)
由於WEP有一些嚴重缺陷,如初始化向量的範圍有限,而且是使用明文傳送……,802.11使用802.1x來進行認證、授權和密鑰管理,另外,IEEE開始制訂802.11i標準,用於增強無線網絡的安全性。
同時,Wi-Fi聯盟與IEEE一起開發了Wi-Fi受保護的訪問(Wi-Fi Protected Access – WPA)以解決WEP的缺陷
WPA
WPA不同於WEP,WPA同時提供認證(基於802.1x可擴展認證協議 – Extensible Authentiation Protocl - EAP的認證)和加密(臨時密鑰完整性協議 – Temporal Key Integrity Protocol – TKIP)。
WPA的認證 – 80.21x
802.1x最初設計用於有線網絡,但對無線網絡也適用。802.1x使用認證服務器在無線網卡和無線訪問點(AP)之間提供基於端口的訪問控制和相互認證。
802.1x體系結構包括下列3部分:
(1)Supplicant:要訪問網絡的設備,通常是802.11客戶端
(2)Authenticator:客戶端和認證服務器的中間設備,在客戶端和認證服務器之間傳遞信息。對於無線網絡來說通常爲無線訪問點(AP)。
(3)Authentication Server(認證服務器):對Supplicant進行實際身份驗證的設備,通常是遠程認證撥號用戶服務(Remote Authentication Dial-In User Service - RADIUS)服務器
韓梅梅預約好了去拜訪某公司老總,李雷也要去。到了公司門口,保安要求兩人出示身份證明,保安通過電話與老總聯繫後,老總確認後通知可以讓韓梅梅進來,李雷不能進去。保安根據老總的指示,對韓梅梅放行,拒絕李雷進入。
韓梅梅和李雷相當於802.1x體系中的supplicant,保安相當於authenticator,只起一個傳送信息的作用,而不是進行實際的身份驗證,老總相當於authentication server,進行實際的身份驗證。
Supplicant、authenticator、authentication server三者之間需要通信。
Supplicant和authenticator之間使用EAPoL通信,authenticator將EAP封裝在其他高層協議(如RADIUS)中與authentciation server通信或authenticator將EAPoL轉換爲其他認證協議(如RADIUS)傳遞給authentication server。
|
EAP和EAPoL 我對EAP和EAPoL的區別一直很模糊。這次好好看了些資料,總結如下: EAP 可擴展認證協議(EAP)是一個認證框架,而不是一種特定的認證機制,EAP提供一些公共的功能,並且允許協商認證機制(EAP方法)。EAP規定如何傳輸和使用由EAP方法產生的密鑰材料(如密鑰、證書等等)和參數。 無線網絡中常用的EAP方法(認證機制)包括EAP-TLS、EAP-SIM、EAP-AKA、LEAP和EAP-TTLS。 EAPoL(EAP over LAN) EAP只定義了消息格式,每種使用EAP的協議必須定義一種將EAP消息封裝到該協議消息中的方法。 802.1x中定義了將EAP消息封裝到802中的方法,這種方法稱爲EAP over LAN – EAPoL。所以EAPoL實際上是一種傳送機制。實際的認證方法是EAP方法來指定。 |
802.1x認證的核心是authenticator上端口的打開與關閉。對於合法用戶(認證通過的用戶)接入時,端口打開,可以自由訪問網絡;對於沒有用戶接入或非法用戶(認證未通過的用戶)接入時,端口關閉,這樣就不能訪問網絡。
802.1x認證過程中還使用了動態密鑰以加密數據。 WPA的加密 – TKIP 臨時密鑰完整性協議(Temporal Key Integrity Protocol – TKIP)也是對稱加密方法,使用RC4算法,TKIP使用128位臨時密鑰和48位初始化向量(IV) 總結 WPA的優點: (1)WPA利用802.1x認證提供強力的訪問控制; (2)TKIP使用動態密鑰 WPA缺點: (1)由於TKIP使用RC4算法,安全隱患 (2)複雜的認證和加密導致性能降低 WPA2 WPA2是WPA的第二版本,WPA2的加密使用CCMP方法。 802.11i 802.11i的目的是解決WEP的缺陷。 802.11i規定了認證和加密。 802.11i使用802.1x認證。 802.11i定義了臨時密鑰完整性協議(TKIP)、計數器模式密碼塊鏈消息認證碼協議(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol – CCMP)、Wireless Robust Authentication Protocol – WRAP三種加密方式。另外還有一種AES-CCMP加密方式,AES表示Advanced encryption standard(高級加密標準),使用AES加密算法代替過時的DES(Data Encryption Standard – 數據加密標準)加密算法能夠提供更高的安全性,但由於AES-CCMP需要硬件,提高了成本。 WAPI 無線局域網認證和保密基礎結構(WLAN Authentication and Privacy Infrastructure)是我國提出的無線局域網安全標準。WAPI包括無線局域網認證基礎結構(WLAN Authentication Infrastructure - WAI)和無線局域網保密基礎結構(WLAN Privacy Infrastructure - WPI)。WAI提供認證功能,WPI提供加密功能。 總結 WPA是一箇中間過渡標準,最終的安全解決標準是802.11i,WAP的認證方式是802.1x;加密方法是WEP、TKIP;WAP2的認證方式是802.1x;加密方法是WEP、TKIP和CCMP。 即 WPA=802.11i草案3=802.1x/EAP+WEP(可選)/TKIP WPA2=802.11i=802.1x/EAP+WEP(可選)/TKIP/CCMP(AES-CCMP) WAPI是中國無線局域網強制性標準中的安全機制,已獲得ISO認可,將成爲國際標準。實際上WAPI和802.11i物理層是一樣的,只是協議和MAC層不一樣,因此很容易在一個芯片上支持兩種標準。 問題 前面所述WPA、WPA2、802.11i的802.1x/EAP認證都要使用authentication server(認證服務器),對於大型企業環境來說,構建一臺認證服務器沒有問題,但對於家庭環境和小型辦公室環境來說,構建一臺認證服務器不太現實,那怎麼辦呢?難道不管家庭/小型辦公室環境下的無線網絡安全性了嗎? 爲了解決這個問題,802.11i提供了一種簡單的認證方法: 使用預共享密鑰(Pres-shared key – PSK)。 預共享密鑰(PSK)需要事先在無線訪問點(AP)和所有要訪問無線網絡的電腦上手動輸入一相同的passphrase(這個詞我不知道如何翻譯,有些地方翻譯爲密碼/口令,我覺得不太恰當),使用一種算法將passphrase轉換爲認證時使用的Pairwise Master Key(PMK),另外,在驗證過程中,還要產生用於加密的動態密鑰。 這種進行認證(不使用認證服務器)/加密的方法稱爲WPA/WPA2-Personal或WPA/WPA2 Pre-Shared Key或WPA/WPA2-PSK 使用認證服務器進行認證/加密的方法稱爲WPA/WPA2-Enterprise。
Passphrase和password的區別 密碼(password)是一組字母、數字、符號,表示用戶的身份。密碼一般比較短8/6/6字符,而且密碼的複雜性有要求,如不能出現常見的字、詞等等。 Passphrase類似於密碼(password),但passphrase並不是直接使用的,而是通過一定的算法將passphrase轉換爲用於加密的密鑰。Passphrase可以很長,通常爲20-30個字符,另外,由於不是直接使用passphrase,所以可以使用容易記憶的句子作爲passphrase