无线网络的安全性由认证和加密来保证。

认证允许只有被许可的用户才能连接到无线网络;

加密的目的是提供数据的保密性和完整性(数据在传输过程中不会被篡改)。

802.11标准最初只定义了两种认证方法:

l  开放系统认证(Open System Authentication

l  共享密钥认证(Shared Key Authentication

以及一种加密方法:

l  有线等效保密(Wired Equivalent Privacy – WEP

对于开放系统认证,在设置时也可以启用WEP,此时,WEP用于在传输数据时加密,对认证没有任何作用。

对于共享密钥认证,必须启用WEPWEP不仅用于认证,也用于在传输数据时加密。

WEP使用对称加密算法(即发送方和接收方的密钥是一致的),WEP使用40位或104位密钥和24位初始化向量(Initialization Vector – IV,随机数)来加密数据。

注:使用初始化变量(IV)的目的是避免在加密的信息中出现相同的数据。例如:在数据传输中,源地址总是相同的,如果只是单纯的加密(WEP使用静态密码),这样在加密的信息中会出现相同的数据,有可能被恶意地破解。由于初始化变量(IV)是随机数,可以避免这种情况的出现。

在配置无线网络的安全性时,一般将40/104位密钥写成密钥长度:64位(40+24/128位(104+24

由于WEP有一些严重缺陷,如初始化向量的范围有限,而且是使用明文传送……,802.11使用802.1x来进行认证、授权和密钥管理,另外,IEEE开始制订802.11i标准,用于增强无线网络的安全性。

同时,Wi-Fi联盟与IEEE一起开发了Wi-Fi受保护的访问(Wi-Fi Protected Access – WPA)以解决WEP的缺陷

WPA

WPA不同于WEPWPA同时提供认证(基于802.1x可扩展认证协议 – Extensible Authentiation Protocl - EAP的认证)和加密(临时密钥完整性协议 – Temporal Key Integrity Protocol – TKIP)。

WPA的认证 – 80.21x

802.1x最初设计用于有线网络,但对无线网络也适用。802.1x使用认证服务器在无线网卡和无线访问点(AP)之间提供基于端口的访问控制和相互认证。

802.1x体系结构包括下列3部分:

1Supplicant:要访问网络的设备,通常是802.11客户端

2Authenticator:客户端和认证服务器的中间设备,在客户端和认证服务器之间传递信息。对于无线网络来说通常为无线访问点(AP)。

3Authentication Server(认证服务器):对Supplicant进行实际身份验证的设备,通常是远程认证拨号用户服务(Remote Authentication Dial-In User Service - RADIUS)服务器

韩梅梅预约好了去拜访某公司老总,李雷也要去。到了公司门口,保安要求两人出示身份证明,保安通过电话与老总联系后,老总确认后通知可以让韩梅梅进来,李雷不能进去。保安根据老总的指示,对韩梅梅放行,拒绝李雷进入。

韩梅梅和李雷相当于802.1x体系中的supplicant,保安相当于authenticator,只起一个传送信息的作用,而不是进行实际的身份验证,老总相当于authentication server,进行实际的身份验证。

Supplicantauthenticatorauthentication server三者之间需要通信。

Supplicantauthenticator之间使用EAPoL通信,authenticatorEAP封装在其他高层协议(如RADIUS)中与authentciation server通信或authenticatorEAPoL转换为其他认证协议(如RADIUS)传递给authentication server

EAPEAPoL

我对EAPEAPoL的区别一直很模糊。这次好好看了些资料,总结如下:

EAP

可扩展认证协议(EAP)是一个认证框架,而不是一种特定的认证机制,EAP提供一些公共的功能,并且允许协商认证机制(EAP方法)。EAP规定如何传输和使用由EAP方法产生的密钥材料(如密钥、证书等等)和参数。

无线网络中常用的EAP方法(认证机制)包括EAP-TLSEAP-SIMEAP-AKALEAPEAP-TTLS

EAPoLEAP over LAN

EAP只定义了消息格式,每种使用EAP的协议必须定义一种将EAP消息封装到该协议消息中的方法。

802.1x中定义了将EAP消息封装到802中的方法,这种方法称为EAP over LAN – EAPoL。所以EAPoL实际上是一种传送机制。实际的认证方法是EAP方法来指定。

802.1x认证的核心是authenticator上端口的打开与关闭。对于合法用户(认证通过的用户)接入时,端口打开,可以自由访问网络;对于没有用户接入或非法用户(认证未通过的用户)接入时,端口关闭,这样就不能访问网络。

802.1x认证过程中还使用了动态密钥以加密数据。

WPA的加密 – TKIP

临时密钥完整性协议(Temporal Key Integrity Protocol – TKIP)也是对称加密方法,使用RC4算法,TKIP使用128位临时密钥和48位初始化向量(IV

总结

WPA的优点:

1WPA利用802.1x认证提供强力的访问控制;

2TKIP使用动态密钥

WPA缺点:

1)由于TKIP使用RC4算法,安全隐患

2)复杂的认证和加密导致性能降低

WPA2

WPA2WPA的第二版本,WPA2的加密使用CCMP方法。

802.11i

802.11i的目的是解决WEP的缺陷。

802.11i规定了认证和加密。

802.11i使用802.1x认证。

802.11i定义了临时密钥完整性协议(TKIP)、计数器模式密码块链消息认证码协议(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol – CCMP)、Wireless Robust Authentication Protocol – WRAP三种加密方式。另外还有一种AES-CCMP加密方式,AES表示Advanced encryption standard(高级加密标准),使用AES加密算法代替过时的DESData Encryption Standard – 数据加密标准)加密算法能够提供更高的安全性,但由于AES-CCMP需要硬件,提高了成本。

WAPI

无线局域网认证和保密基础结构(WLAN Authentication and Privacy Infrastructure)是我国提出的无线局域网安全标准。WAPI包括无线局域网认证基础结构(WLAN Authentication Infrastructure - WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure - WPI)。WAI提供认证功能,WPI提供加密功能。

总结

WPA是一个中间过渡标准,最终的安全解决标准是802.11iWAP的认证方式是802.1x;加密方法是WEPTKIPWAP2的认证方式是802.1x;加密方法是WEPTKIPCCMP

WPA=802.11i草案3=802.1x/EAP+WEP(可选)/TKIP

WPA2=802.11i=802.1x/EAP+WEP(可选)/TKIP/CCMPAES-CCMP

WAPI是中国无线局域网强制性标准中的安全机制,已获得ISO认可,将成为国际标准。实际上WAPI802.11i物理层是一样的,只是协议和MAC层不一样,因此很容易在一个芯片上支持两种标准。

问题

前面所述WPAWPA2802.11i802.1x/EAP认证都要使用authentication server(认证服务器),对于大型企业环境来说,构建一台认证服务器没有问题,但对于家庭环境和小型办公室环境来说,构建一台认证服务器不太现实,那怎么办呢?难道不管家庭/小型办公室环境下的无线网络安全性了吗?

为了解决这个问题,802.11i提供了一种简单的认证方法:

使用预共享密钥(Pres-shared key – PSK)。

预共享密钥(PSK)需要事先在无线访问点(AP)和所有要访问无线网络的电脑上手动输入一相同的passphrase(这个词我不知道如何翻译,有些地方翻译为密码/口令,我觉得不太恰当),使用一种算法将passphrase转换为认证时使用的Pairwise Master KeyPMK),另外,在验证过程中,还要产生用于加密的动态密钥。

这种进行认证(不使用认证服务器)/加密的方法称为WPA/WPA2-PersonalWPA/WPA2 Pre-Shared KeyWPA/WPA2-PSK

使用认证服务器进行认证/加密的方法称为WPA/WPA2-Enterprise

Passphrasepassword的区别

密码(password)是一组字母、数字、符号,表示用户的身份。密码一般比较短8/6/6字符,而且密码的复杂性有要求,如不能出现常见的字、词等等。

Passphrase类似于密码(password),但passphrase并不是直接使用的,而是通过一定的算法将passphrase转换为用于加密的密钥。Passphrase可以很长,通常为20-30个字符,另外,由于不是直接使用passphrase,所以可以使用容易记忆的句子作为passphrase