无线局域网的安全技术与防范复习进程
第8章 无线局域网安全
使用最高级的加密方式,当前的加密技术 提供64位和128位加密方法,应尽量使用 128位加密,这样WEP加密会将资料加密 后传送,使得窃听者无法知道资料的真实 内容。 定期更换密码。
8.2 无线安全机制
1.服务集标识符 2.MAC地址过滤 3.WEP安全机制 4.WPA安全机制 5.WAPI安全机制
图8.8 DWL900AP+ 工作模式选择
④ 用AP管理工具打开WEP设置,选择 数据加密,并且选择开放系统认证,设 置64位为一个密码,如图8.9所示。
图8.9 DWL900AP+ WEP设置
⑤ 在PC2上安装DWL120无线网卡驱动,并 将无线网卡的模式设置为Infrastructure,如 图8.10所示。
图8.10 DWL900AP + 无线网卡配置界面
⑥ 修改SSID设置,并在无线网卡的加密 选项卡里设置一个与AP相同的密钥,如 图8.11所示。
图8.11 DWL900AP + 无线网卡WEP设置
⑦ 测试连接,双方可以Ping通。 ⑧ 在对等拓扑中,PC2和PC3的无线网 卡的模式要设置成802.11 AdHoc,如图 8.12所示。
一般厂商都会设置默认的密钥,而用户一 般不修改,所以只要入侵者得到密钥列表 就可以轻松入侵网络。 密钥如何分发,如何在泄露后更改密钥, 如何定期地实现密钥更新、密钥备份、密 钥恢复等问题,WEP协议都没有解决, 把这个问题留给各大厂商,无疑会造成安 全问题。
针对上述问题,建议采取下列方法, 来保障WEP协议更安全。 使用多组WEP密码(KEY)。使用一组固 定WEP密码,将会非常不安全,使用多组 WEP密码会提高安全性,然而WEP密码 是保存在无线设备的Flash中的,所以控制 网络上的任何一个设备,那就无安全可言 了。
51CTO下载-南开大学-无线局域网安全技术
第8章 网络安全
8.7.3 无线网络的安全技术
WEP的工作原理是通过一组40位或128位的密钥作为认证口令,当 WEP功能启动时,每台工作站都使用这个密钥,将准备传输的资料加密 运算形成新的资料,并透过无线电波传送,另一工作站在接收到资料 时,也利用同一组密钥来确认资料并做解码动作,以获得原始资料。
第8章 网络安全
8.7.2 无线局域网安全技术
第8章 网络安全
8.7.2 无线局域网安全技术
2. 物理地址过滤
每个无线工作站的网卡都有唯一的物理地址,应用媒体访问控制 (MAC)技术,可在无线局域网的每一个AP设置一个许可接入的用户的 MAC地址清单,MAC地址不在清单中的用户,接入点将拒绝其接入请求。 但媒体访问控制只适合于小型网络规模。这是因为:
臵信攻击。通常情况下,攻击者可以将自己伪造成基站。当 攻击者拥有一个很强的发送设备时,就可以让移动设备尝试登录 到他的网络,通过分析窃取密钥和口令,以便发动针对性的攻击。
第8章 网络安全
8.7.2 无线局域网安全技术
1. 服务集标识符
服务集标识符(SSID)技术将一个无线局域网分为几个需要不同 身份验证的子网,每一个子网都需要独立的身份验证,只有通过身份 验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网 络,同时对资源的访问权限进行区别限制。SSID是相邻的无线接入点 (AP)区分的标志,无线接入用户必须设定SSID才能和AP通信。通常 SSID须事先设置于所有使用者的无线网卡及A P中。尝试连接到无线 网络的系统在被允许进入之前必须提供SSID,这是唯一标识网络的字 符串。 但是SSID对于网络中所有用户都是相同的字符串,其安全性差, 人们可以轻易地从每个信息包的明文里窃取到它。
无线局域网的安全技术与防范复习进程
无线局域网的安全技术白皮书作者:寂静的海,岀处:IT专家网,责任编辑:张帅,2007-12-04 10:58无线局域网(WLAN)具有安装便捷、使用灵活、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。
但是由于无线局域网信道开放的特点,使得全性成为阻碍WLAN发展的最重要因素……无线局域网的安全无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。
但是由于无线局域网信道开放的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。
虽然一方面对无线局域网需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。
就目前而言,有很多种无线局域网的安全技术,包括物理地址(MAC)过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1X)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。
面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。
1、无线局域网的安全威胁利用WLAN进行通信必须具有较高的通信保密能力。
对于现有的WLAN产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款,甚至可能导致法律纠纷。
地址欺骗和会话拦截(中间人攻击)在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
WLAN安全技术及安全防范措施
无 线 局 域 网 络 产 品 的 IE 0 .l 列 标 准 主 要 有 8 2 1a (G z E E 8 2 1系 0 .l 5H一 19 年 获 得 通 过 ) 、 8 2 1b ( 1b s . G z19 年 获 得 通 过 ) 、 99 0 . l 1M p 24H 一 99
8 2 1d( 外 的规章 制度 )、82 1e ( 0.l 额 0 . l 服务 质量 )、82 1f ( 入 点间 0.i 接 协 议 IP )、8 2 ig (.G z 更高 的数 据速 率> 0b s2 0年 5 AP 0 . i 2 4H - 2M p一 03 月获得 通
这 些 功 能 ,W P 此 前 倍 受指 责 的缺 点 得 以全 部解 决 。W A 仅 是 一 种 比 E中 P不 W P 为 强大 的 加密 方法 ,而且 有 更为 丰 富的 内涵 作为 8 2 1 i E更 0 . i 标准 的子
11 1服 务集标 识S I S ri eS tI et fe ) 匹配 .. S D( ev c e dn i ir
0引畜
于用户 的认 证系 统及 计 费 ,特 别适 合 于公共 无线 接入 解决 方案 。
1 2 W A 的数据 加 密技 术 . L N
无线 数据 技 术 的迅速 发 展 ,使得 无 线局域 网 (LN 由于 部 署方 便 、 wA) 使 用灵 活 、技 术成 熟等 优 点 ,得 到 了广 泛 的应用 。有线 网 络和 无线 网络 有 着 不 同的传 输 方式 。有 线 网络 的 访 问控 制往 往 以物 理端 口接 入 方式 进行 监 控 ,数 据通 过 双绞 线 、光 纤等 介 质传 输 到特 定 的 目的地 ,有 线 网络 辐射 到 空气 中的 电磁信 号 强度 很 小 ,很难 被 窃 听 ,一般 情况 下 , 只有 在物 理链 路 遭 到 盗 用后 数据 才 有可 能泄 漏 。而无 线 网络 的数 据传 输 是利 用 电磁 波在 空 气 中辐 射传 播 ,只 要在 接 入 点 ( P ce sP i t A ,A cs o n )覆 盖 的范 围 内,所 有 的无 线 终端 都可 以接 收 到 无线 信 号 。无线 网 络 的这种 电磁辐 射 的传 输方 式 是无 线 网络 安全 保密 问题尤 为突 出 的主要 原 因。
无线局域网安全分析
无线局域网安全分析在当今数字化的时代,无线局域网(WLAN)已经成为我们生活和工作中不可或缺的一部分。
无论是在家庭、办公室还是公共场所,我们都依赖于 WLAN 来实现便捷的网络连接。
然而,随着无线局域网的广泛应用,其安全问题也日益凸显。
本文将对无线局域网的安全问题进行详细分析,并探讨相应的解决措施。
一、无线局域网的工作原理要理解无线局域网的安全问题,首先需要了解其工作原理。
无线局域网通过无线接入点(AP)将有线网络信号转换为无线信号,使得终端设备(如笔记本电脑、手机、平板电脑等)能够通过无线方式连接到网络。
在这个过程中,数据通过无线电波进行传输,这就为安全隐患的产生提供了可能。
二、无线局域网面临的安全威胁1、未经授权的访问未经授权的用户可以通过破解无线密码或者利用网络漏洞,接入到无线局域网中,获取网络资源,甚至窃取敏感信息。
2、无线信号的拦截与窃听由于无线信号在空气中传播,任何人在信号覆盖范围内都有可能拦截和窃听数据传输,导致信息泄露。
3、恶意软件和病毒的传播接入无线局域网的设备可能会受到恶意软件和病毒的攻击,从而影响整个网络的安全。
4、拒绝服务攻击(DoS)攻击者可以通过发送大量的无效请求,使无线接入点或网络设备瘫痪,导致正常用户无法使用网络服务。
5、网络钓鱼攻击者可以创建虚假的无线网络,诱导用户连接,从而获取用户的个人信息和密码。
三、无线局域网的安全技术1、加密技术目前常用的无线加密技术有 WEP(Wired Equivalent Privacy)、WPA(WiFi Protected Access)和 WPA2 等。
其中,WEP 加密安全性较低,容易被破解;WPA 和 WPA2 采用了更先进的加密算法,提供了更高的安全性。
2、访问控制通过设置 MAC 地址过滤、SSID 隐藏等方式,可以限制只有授权的设备能够接入无线局域网。
3、防火墙在无线接入点或网络中部署防火墙,可以防止外部的恶意攻击和非法访问。
无线局域网的安全与防范
无线局域网的安全与防范【摘要】随着无线技术和网络技术的发展,无线局域网正广泛应用于许多广播台站。
但是无线网络安全问题也一直困扰着我们,网络病毒、木马、黑客技术给无线网络的数据安全性带来最严格的挑战。
本文从无线局域网的破解原理入手,讨论无线局域网非法授权访问、信息易被窃、被篡、被干扰等安全隐患,并逐一给出具体的防范措施。
【关键词】无线网络;网络安全;加密技术1.引言安全的无线局域网,必须注重两方面,一是访问控制,另一个就是保密性。
访问控制确保敏感的数据仅由获得授权的用户访问。
保密性则确保传送的数据只被目标接收人接收和理解。
广播台站无线网络技术发展迅速,每天无线传输大量重要的、甚至保密的工作数据资料,拥有安全的无线网络工作环境迫在眉睫。
2.无线局域网2.1 无线局域网概述无线局域网(Wireless Local Area Networks),也被称为WLAN。
是指利用无线电波传输数据,并将设备连接到互联网、企事业网络以及应用程序的一种网络。
是通用无线接入的一个子集,可支持较高的传输速率(可达2Mbps~108Mbps)。
WLAN的最大优点就是实现了网络互连的可移动性,只要在有线网络的基础上通过无线接人点、无线网桥、无线网卡等无线设备就可使无线通信得以实现。
2.2 无线局域网的破解(1)WEP加密技术――破解方式:收集足够的Cap数据包(5万以上-15万),然后使用aircrack破解。
可以在无客户端情况下采用主动注入的方式破解。
(2)WPA加密技术――破解方式:收包含握手信息的Cap数据包,然后使用aircrack破解。
必须在合法的客户端在线的情况下抓包破解。
可主动攻击合法客户端使其掉线,合法客户端掉线后再与AP重新握手即可抓到包含握手信息的数据包。
或可守株待兔等待合法的客户端上线与AP握手。
3.无线局域网风险分析WlAN技术为用户提供更好的移动性、灵活性和扩展性,当用户对WLAN 的期望日益升高时,其安全问题随着应用的深入表露无遗。
无线局域网(WLAN)安全与加密技术
无线局域网(WLAN)安全与加密技术随着信息技术的飞速发展,无线局域网(WLAN)在我们的生活中扮演着越来越重要的角色。
然而,由于其无线传输的特性,WLAN的安全性和数据加密技术显得尤为重要。
本文将探讨WLAN的安全性问题以及常见的加密技术。
一、WLAN的安全性问题1.1 信号盗用和未授权接入WLAN的无线传输使得信号可以在范围内被拦截,这给信号的盗用和未授权接入带来了风险。
黑客可以通过窃取WLAN的信号,获取网络流量和敏感信息,甚至篡改用户的通信内容。
未授权接入也意味着陌生设备可以进入网络并进行恶意攻击或者非法访问。
1.2 数据泄露和窃听由于WLAN中的数据传输是通过无线信号进行的,网络中的敏感数据很容易被窃听或者泄露。
黑客可以通过窃听网络流量获取用户的个人信息、账户密码等敏感数据,从而进行各种形式的攻击。
1.3 无线网络干扰和拒绝服务恶意攻击者可以通过干扰WLAN信号,使得网络无法正常工作,从而导致服务不可用。
拒绝服务攻击可以对无线网络造成重大破坏,使得合法用户无法连接或者使用网络。
二、WLAN的加密技术为了解决WLAN的安全性问题,需要使用合适的加密技术来保护无线网络的安全。
2.1 WEP(有线等效隐私)加密WEP是最早期广泛使用的WLAN加密技术之一。
它使用64位或128位密钥对数据进行加密。
然而,WEP有着严重的安全弱点,易受到已知明文攻击和动态密钥攻击。
因此,现在已经不推荐使用WEP加密。
2.2 WPA(Wi-Fi保护访问)加密WPA是WEP的一个改进版本,提供更高的安全性。
WPA使用了预共享密钥(PSK)来加密数据传输,并采用临时密钥对数据进行动态加密。
WPA还使用了消息完整性校验(MIC),防止数据篡改。
尽管WPA比WEP更加安全,但仍然存在一些安全漏洞。
2.3 WPA2(Wi-Fi保护访问2)加密WPA2是目前最常用的WLAN加密技术,它是在WPA的基础上进一步改进而来的。
WPA2使用了更强大的加密算法(如AES)和更复杂的密钥管理协议,提供了更高的安全性。
第三章(下) 无线局域网安全
5. 802.11i技术
பைடு நூலகம்
新一代安全标准IEEE 802.11i定义了RSN (Robust Security Network)的概念, 增强了WLAN中的数据加密和认证性能, 并且针对WEP加密机制的各种缺陷做了 多方面的改进。
IEEE 802.11i规定使用802.1x认证和密钥管理 方式,在数据加密方面,定义了TKIP (Temporal Key Integrity Protocol)、CCMP (Counter-Mode/CBC-MAC Protocol)和WRAP (Wireless Robust Authenticated Protocol)三 种加密机制。其中TKIP采用WEP机制里的RC4 作为核心加密算法,可以通过在现有的设备上 升级固件和驱动程序的方法达到提高WLAN安 全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM (Counter-Mode/CBC-MAC)认证方式,使得 WLAN的安全程度大大提高,是实现RSN的强 制性要求。由于AES对硬件要求比较高,因此 CCMP无法通过在现有设备的基础上进行升级 实现。802.11i协议结构如图1所示。
EAP不专属于某一厂商,它能够弥补WEP 的弱点,并且同时能够解决在接入点之 间的移动性问题。EAP还解决了VPN瓶颈 问题,使用户能够以有线网络的速度进 行工作。不过,配置EAP不是一件容易的 事情,这也就是为什么PEAP受到欢迎的 原因。PEAP是由微软,思科和RSA Security共同开发,致力于简化客户端、 服务器端以及目录的端到端整合。
该技术也是用于无线局域网的一种增强性网 络安全解决方案。当无线工作站与AP关联后, 是否可以使用AP的服务要取决于802.1x的认 证结果。如果认证通过,则AP为用户打开这 个逻辑端口,否则不允许用户上网。802.1x 除提供端口访问控制能力之外,还提供基于 用户的认证系统及计费,特别适合于无线接 入解决方案。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
无线局域网的安全技术白皮书作者: 寂静的海, 出处:IT专家网,责任编辑: 张帅,2007-12-04 10:58无线局域网(WLAN)具有安装便捷、使用灵活、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。
但是由于无线局域网信道开放的特点,使得全性成为阻碍WLAN发展的最重要因素……无线局域网的安全无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。
但是由于无线局域网信道开放的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。
虽然一方面对无线局域网需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。
就目前而言,有很多种无线局域网的安全技术,包括物理地址( MAC )过滤、服务区标识符(SSID)匹配、有线对等保密(WEP)、端口访问控制技术(IEEE802.1x)、WPA (Wi-Fi Protected Access)、IEEE 802.11i等。
面对如此多的安全技术,应该选择哪些技术来解决无线局域网的安全问题,才能满足用户对安全性的要求。
1、无线局域网的安全威胁利用WLAN进行通信必须具有较高的通信保密能力。
对于现有的WLAN产品,它的安全隐患主要有以下几点:未经授权使用网络服务由于无线局域网的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低合法用户的服务质量,而且未经授权的用户没有遵守运营商提出的服务条款,甚至可能导致法律纠纷。
地址欺骗和会话拦截(中间人攻击)在无线环境中,非法用户通过侦听等手段获得网络中合法站点的MAC地址比有线环境中要容易得多,这些合法的MAC地址可以被用来进行恶意攻击。
另外,由于IEEE802.11没有对AP身份进行认证,非法用户很容易装扮成AP进入网络,并进一步获取合法用户的鉴别身份信息,通过会话拦截实现网络入侵。
高级入侵(企业网)一旦攻击者进入无线网络,它将成为进一步入侵其他系统的起点。
多数企业部署的WLAN都在防火墙之后,这样WLAN的安全隐患就会成为整个安全系统的漏洞,只要攻破无线网络,就会使整个网络暴露在非法用户面前。
2、基本的无线局域网安全技术通常网络的安全性主要体现在访问控制和数据加密两个方面。
访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发送的数据只能被所期望的用户所接收和理解。
下面对在无线局域网中常用的安全技术进行简介。
物理地址( MAC )过滤每个无线客户端网卡都由唯一的48位物理地址(MAC)标识,可在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。
这种方法的效率会随着终端数目的增加而降低,而且非法用户通过网络侦听就可获得合法的MAC地址表,而MAC地址并不难修改,因而非法用户完全可以盗用合法用户的MAC地址来非法接入。
图1 MAC地址过滤服务区标识符( SSID ) 匹配无线客户端必需设置与无线访问点AP相同的SSID ,才能访问AP;如果出示的SSID 与AP的SSID不同,那么AP将拒绝它通过本服务区上网。
利用SSID设置,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。
可以通过设置隐藏接入点(AP)及SSID区域的划分和权限控制来达到保密的目的,因此可以认为SSID是一个简单的口令,通过提供口令认证机制,实现一定的安全。
图2 服务区标识匹配有线对等保密(WEP)在IEEE802.11中,定义了WEP来对无线传送的数据进行加密,WEP的核心是采用的RC4算法。
在标准中,加密密钥长度有64位和128位两种。
其中有24Bit的IV是由系统产生的,需要在AP和Station上配置的密钥就只有40位或104位。
WEP加密原理图如下:图3 WEP加密原理图1、AP先产生一个IV,将其同密钥串接(IV在前)作为WEP Seed,采用RC4算法生成和待加密数据等长(长度为MPDU长度加上ICV的长度)的密钥序列;2、计算待加密的MPDU数据校验值ICV,将其串接在MPDU之后;3、将上述两步的结果按位异或生成加密数据;4、加密数据前面有四个字节,存放IV和Key ID,IV占前三个字节,Key ID在第四字节的高两位,其余的位置0;如果使用Key-mapping Key,则Key ID为0,如果使用Default Key,则Key ID为密钥索引(0-3其中之一)。
加密后的输出如下图所示。
图4 WEP加密后的MPDU格式加密前的数据帧格式示意如下:加密后的数据帧格式示意如下:WEP解密原理图如下:图5 WEP解密原理图1、找到解密密钥;2、将密钥和IV串接(IV在前)作为RC4算法的输入生成和待解密数据等长的密钥序列;3、将密钥序列和待解密数据按位异或,最后4个字节是ICV,前面是数据明文;4、对数据明文计算校验值ICV',并和ICV比较,如果相同则解密成功,否则丢弃该数据。
连线对等保密WEP协议是IEEE802.11标准中提出的认证加密方法。
它使用RC4流密码来保证数据的保密性,通过共享密钥来实现认证,理论上增加了网络侦听,会话截获等的攻击难度。
由于其使用固定的加密密钥和过短的初始向量,加上无线局域网的通信速度非常高,该方法已被证实存在严重的安全漏洞,在15分钟内就可被攻破。
现在已有专门的自由攻击软件(如airsnort)。
而且这些安全漏洞和WEP对加密算法的使用机制有关,即使增加密钥长度也不可能增加安全性。
另外,WEP缺少密钥管理。
用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。
WEP中没有规定共享密钥的管理方案,通常是手工进行配置与维护。
由于同时更换密钥的费时与困难,所以密钥通常很少更换,倘若一个用户丢失密钥,则会殃及到整个网络的安全。
ICV算法不合适。
WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。
CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV。
同时WEP还可以作为一种认证方法,认证过程如下:1.在无线接入点AP和工作站STA关联后,无线接入点AP随机产生一个挑战包,也就是一个字符串,并将挑战包发送给工作站STA。
2.工作站STA接收到挑战包后,用密钥加密挑战包,然后将加密后的密文,发送回无线接入点AP。
3.无线接入点也用密钥将挑战包加密,然后将自己加密后的密文与工作站STA加密后的密文进行比较,如果相同,则认为工作站STA合法,允许工作站STA利用网络资源;否则,拒绝工作站STA利用网络资源。
端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)IEEE802.1x 并不是专为WLAN设计的。
它是一种基于端口的访问控制技术。
该技术也是用于无线局域网的一种增强网络安全解决方案。
当无线工作站STA与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。
如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户连接网络。
IEEE802.1x 提供无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失;无线接入点AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,存在一定的安全隐患。
802.1x协议仅仅关注端口的打开与关闭,对于合法用户(根据帐号和密码)接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。
认证的结果在于端口状态的改变,而不涉及通常认证技术必须考虑的IP地址协商和分配问题,是各种认证技术中最简化的实现方案。
图6 802.1x端口控制在802.1x协议中,只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。
客户端:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
认证系统:在无线网络中就是无线接入点AP或者具有无线接入点AP功能的通信设备。
其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
认证服务器:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的服务,并根据认证结果向认证系统发出打开或保持端口关闭的状态。
在具有802.1x认证功能的无线网络系统中,当一个WLAN用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
1.当用户有网络连接需求时打开802.1x客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。
此时,客户端程序将发出请求认证的报文给AP,开始启动一次认证过程。
2.AP收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
3.客户端程序响应AP发出的请求,将用户名信息通过数据帧送给AP。
AP将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
4.认证服务器收到AP转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给AP,由AP传给客户端程序。
5.客户端程序收到由AP传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过AP传给认证服务器。
6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向AP发出打开端口的指令,允许用户的业务流通过端口访问网络。
否则,反馈认证失败的消息,并保持AP端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
这里要提出的一个值得注意的地方是: 在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
图7 802.1x认证过程WPA (Wi-Fi Protected Access)WPA = 802.1x + EAP + TKIP + MIC在IEEE 802.11i 标准最终确定前,WPA标准是代替WEP的无线安全标准协议,为IEEE 802.11无线局域网提供更强大的安全性能。
WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。