一、802.11認證方式
802.11有開放系統認證(open system authentication)和共享密鑰認證(shared keyauthentication)兩種方式。
1.1 開放系統認證
開放式系統驗證其實可以稱爲“無驗證”,因爲實際上沒有進行驗證 —— 工作站說“請求驗證”,而AP也不管是否密鑰是否正確,先“答應了再說”,但最終ap會驗證密鑰是否正確,決定是否允許接入——這種驗證方式的ap,往往你隨便輸入一個密碼,都可以連接,但如果密碼不正確,會顯示爲“受限制”。
因爲是無驗證,所以申請者發送authentication報文,認證者收到後,同樣發送authentication報文,並在status code字段置0,表示認證成功
1.2 共享密鑰認證
共享密鑰驗證稍微強大一些,工作站請求驗證,而訪問點(AP)用WEP加密的質詢進行響應。如果工作站的提供的密鑰是錯誤的,則立即拒絕請求。如果工作站有正確的WEP密碼,就可以解密該質詢,並允許其接入,因此,連接共享密鑰系統,如果密鑰不正確,通常會立即顯示“該網絡不存在等提示”。
由於已經WEP已經不再安全,所以共享密鑰認證方式已經停用。
二、802.11i無線安全標準
因爲WEP加密的數據已經不再安全,於是IEEE制定802.11i協議負責解決WEP的加密機制缺乏機密性。
2.1 wi-fi保護存取(WPA)
WPA和WPA2是通過PSK或者EAP/802.1x認證方式實現的,並且WPA使用TKIP協議
WPA2使用CCMP協議。
WPA 全名爲 Wi-Fi Protected Access,有WPA和 WPA2兩個標準,是一種保護無線電腦網路(Wi-Fi)安全的系統,它是應研究者在前一代的系統有線等效加密(WEP)中找到的幾個嚴重的弱點而產生的。WPA實作了 IEEE 802.11i標準的大部分,是在 802.11i完備之前替代 WEP的過渡方案。WPA的設計可以用在所有的無線網卡上,但未必能用在第一代的無線取用點上。WPA2實作了完整的標準,但不能用在某些古老的網卡上。這兩個都提供優良的保全能力。
我們知道802.11i 這個任務小組成立的目的就是爲了打造一個更安全的無線局域網 , 所以在加密項目裏規範了兩個新的安全加密協定 – TKIP 與CCMP 。其中 TKIP 雖然針對 WEP 的弱點作了重大的改良 , 但保留了 RC4 演算法和基本架構 , 言下之意 ,TKIP 亦存在着 RC4本身所隱含的弱點。因而 802.11i 再打造一個全新、安全性更強、更適合應用在無線局域網環境的加密協定 -CCMP 。所以在CCMP 就緒之前 ,TKIP 就已經完成了。但是要等到CCMP 完成 , 再發布完整的 IEEE 802.11i 標準 , 可能尚需一段時日 , 而 Wi-Fi 聯盟爲了要使得新的安全性標準能夠儘快被佈署 , 以消弭使用者對無線局域網安全性的疑慮 , 進而讓無線局域網的市場可以迅速擴展開來 , 因而使用已經完成 TKIP 的 IEEE 802.11i 第三版草案(IEEE 802.11i draft 3) 爲基準 , 制定了 WPA 。而於 IEEE 完成並公佈 IEEE 802.11i 無線局域網安全標準後,Wi-Fi 聯盟也隨即公佈了 WPA 第 2 版 (WPA 2) 。所以:
WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP( 選擇性項目 )/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP( 選擇性項目)/TKIP/CCMP
2.2 WPA、WEP對比
WPA與WEP不同,WEP使用一個靜態的密鑰來加密所有的通信。WPA不斷的轉換密鑰。WPA採用有效的密鑰分發機制,可以跨越不同廠商的無線網卡實現應用。另外WPA的另一個優勢是,它使公共場所和學術環境安全地部署無線網絡成爲可能。而在此之前,這些場所一直不能使用WEP。WEP的缺陷在於其加密密鑰爲靜態密鑰而非動態密鑰。這意味着,爲了更新密鑰,IT人員必須親自訪問每臺機器,而這在學術環境和公共場所是不可能的。另一種辦法是讓密鑰保持不變,而這會使用戶容易受到攻擊。由於互操作問題,學術環境和公共場所一直不能使用專有的安全機制。
三、802.11新的認證方式
使用WEP加密方式的認證和數據發送使用的是相同的密鑰,並且安全性不強。爲了解決這個問題。
將認證與數據傳輸拆分爲兩個過程:
認證使用的是基於開放系統認證開發的PSK認證和802.1X認證
數據傳輸採用的是802.11i中規定的TKIP或者CCMP加密算法。
3.1 PSK認證方式
PSK認證在使用的時候分爲WPA-PSK(WPA-personal)或者WPA2-PSK(WPA2-personal)。這是根據使用的802.11i算法的不同劃分的。
WPA-PSK(WPA-personal)使用TKIP
WPA2-PSK(WPA2-personal)使用CCMP
認證原理:
在開放系統認證的基礎上,加上802.11i的四次握手過程以更新共享密鑰。
如果出現密碼錯誤,則四次握手就無法通過。
3.2 802.1X認證方式
1、802.1X認證根據使用的802.11i算法的不同也分爲WPA-enterprise或WPA2-enterprise。
WPA-enterprise使用的是TKIP
WPA2-enterprise使用的是CCMP
2、802.1X根據認證服務器(例如RADIUS)的功能,分爲EAP中繼和EAP終結。
3、802.1X認證過程。
詳細過程在下一篇文章中介紹