|
無線局域網(wǎng)安全技術(shù)白皮書
資源天下 2019/8/28 18:57:35
(接上頁)技術(shù)必須考慮的IP地址協(xié)商和分配問題�,是各種認(rèn)證技術(shù)中最簡化的實(shí)現(xiàn)方案��。
圖2.6 802.1x端口控制
在802.1x協(xié)議中,只有具備了以下三個(gè)元素才能夠完成基于端口的訪問控制的用戶認(rèn)證和授權(quán)���。
客戶端:一般安裝在用戶的工作站上��,當(dāng)用戶有上網(wǎng)需求時(shí)����,激活客戶端程序��,輸入必要的用戶名和口令,客戶端程序?qū)?huì)送出連接請求。
認(rèn)證系統(tǒng):在無線網(wǎng)絡(luò)中就是無線接入點(diǎn)AP或者具有無線接入點(diǎn)AP功能的通信設(shè)備����。其主要作用是完成用戶認(rèn)證信息的上傳��、下達(dá)工作����,并根據(jù)認(rèn)證的結(jié)果打開或關(guān)閉端口�����。
認(rèn)證服務(wù)器:通過檢驗(yàn)客戶端發(fā)送來的身份標(biāo)識(shí)(用戶名和口令)來判別用戶是否有權(quán)使用網(wǎng)絡(luò)系統(tǒng)提供的服務(wù)�,并根據(jù)認(rèn)證結(jié)果向認(rèn)證系統(tǒng)發(fā)出打開或保持端口關(guān)閉的狀態(tài)�。
在具有802.1x認(rèn)證功能的無線網(wǎng)絡(luò)系統(tǒng)中,當(dāng)一個(gè)WLAN用戶需要對網(wǎng)絡(luò)資源進(jìn)行訪問之前必須先要完成以下的認(rèn)證過程��。
(1)當(dāng)用戶有網(wǎng)絡(luò)連接需求時(shí)打開802.1x客戶端程序,輸入已經(jīng)申請���、登記過的用戶名和口令����,發(fā)起連接請求��。此時(shí)�����,客戶端程序?qū)l(fā)出請求認(rèn)證的報(bào)文給AP����,開始啟動(dòng)一次認(rèn)證過程��。
(2)AP收到請求認(rèn)證的數(shù)據(jù)幀后�����,將發(fā)出一個(gè)請求幀要求用戶的客戶端程序?qū)⑤斎氲挠脩裘蜕蟻怼?
(3)客戶端程序響應(yīng)AP發(fā)出的請求,將用戶名信息通過數(shù)據(jù)幀送給AP���。AP將客戶端送上來的數(shù)據(jù)幀經(jīng)過封包處理后送給認(rèn)證服務(wù)器進(jìn)行處理。
(4)認(rèn)證服務(wù)器收到AP轉(zhuǎn)發(fā)上來的用戶名信息后,將該信息與數(shù)據(jù)庫中的用戶名表相比對�,找到該用戶名對應(yīng)的口令信息��,用隨機(jī)生成的一個(gè)加密字對它進(jìn)行加密處理,同時(shí)也將此加密字傳送給AP�����,由AP傳給客戶端程序。
(5)客戶端程序收到由AP傳來的加密字后��,用該加密字對口令部分進(jìn)行加密處理(此種加密算法通常是不可逆的),并通過AP傳給認(rèn)證服務(wù)器����。
(6)認(rèn)證服務(wù)器將送上來的加密后的口令信息和其自己經(jīng)過加密運(yùn)算后的口令信息進(jìn)行對比��,如果相同���,則認(rèn)為該用戶為合法用戶��,反饋認(rèn)證通過的消息�����,并向AP發(fā)出打開端口的指令����,允許用戶的業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)���。否則,反饋認(rèn)證失敗的消息��,并保持AP端口的關(guān)閉狀態(tài),只允許認(rèn)證信息數(shù)據(jù)通過而不允許業(yè)務(wù)數(shù)據(jù)通過�����。
這里要提出的一個(gè)值得注意的地方是: 在客戶端與認(rèn)證服務(wù)器交換口令信息的時(shí)候�����,沒有將口令以明文直接送到網(wǎng)絡(luò)上進(jìn)行傳輸�,而是對口令信息進(jìn)行了不可逆的加密算法處理�����,使在網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒂辛烁叩陌踩U�����,杜絕了由于下級(jí)接入設(shè)備所具有的廣播特性而導(dǎo)致敏感信息泄漏的問題。
圖2.7 802.1x認(rèn)證過程
2.5 WPA(Wi-Fi Protected Access)
WPA = 802.1x + EAP + TKIP + MIC
在IEEE 802.11i 標(biāo)準(zhǔn)最終確定前, WPA標(biāo)準(zhǔn)是代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議,為 IEEE 802.11無線局域網(wǎng)提供更強(qiáng)大的安全性能����。WPA是IEEE802.11i的一個(gè)子集���,其核心就是IEEE802.1x和TKIP��。
認(rèn) 證 在802.11中幾乎形同虛設(shè)的認(rèn)證階段,到了WPA中變得尤為重要起來���,它要求用戶必須提供某種形式的證據(jù)來證明它是合法用戶�����,并擁有對某些網(wǎng)絡(luò)資源的訪問權(quán)����,并且是強(qiáng)制性的����。
WPA的認(rèn)證分為兩種:第一種采用802.1x+EAP的方式��,用戶提供認(rèn)證所需的憑證����,如用戶名密碼,通過特定的用戶認(rèn)證服務(wù)器(一般是RADIUS服務(wù)器)來實(shí)現(xiàn)。在大型企業(yè)網(wǎng)絡(luò)中����,通常采用這種方式���。但是對于一些中小型的企業(yè)網(wǎng)絡(luò)或者家庭用戶����,架設(shè)一臺(tái)專用的認(rèn)證服務(wù)器未免代價(jià)過于昂貴��,維護(hù)也很復(fù)雜����,因此WPA也提供一種簡化的模式�����,它不需要專門的認(rèn)證服務(wù)器,這種模式叫做WPA預(yù)共享密鑰(WPA-PSK)�����,僅要求在每個(gè)WLAN節(jié)點(diǎn)(AP���、無線路由器�、網(wǎng)卡等)預(yù)先輸入一個(gè)密鑰即可實(shí)現(xiàn)�����。只要密鑰吻合,客戶就可以獲得WLAN的訪問權(quán)。由于這個(gè)密鑰僅僅用于認(rèn)證過程����,而不用于加密過程�����,因此不會(huì)導(dǎo)致諸如使用WEP密鑰來進(jìn)行802.11共享認(rèn)證那樣嚴(yán)重的安全問題�����。
加密 WPA采用TKIP為加密引入了新的機(jī)制�����,它使用一種密鑰構(gòu)架和管理方法���,通過由認(rèn)證服務(wù)器動(dòng)態(tài)生成分發(fā)的密鑰來取代單個(gè)靜態(tài)密鑰��、把密鑰首部長度從24位增加到48位等方法增強(qiáng)安全性。而且,TKIP利用了802.(未完����,下一頁)
|