WLAN安全的發展歷程算法
WLAN認證方式瀏覽器
開放系統認證安全
開放系統認證 Open system authentication 是缺省使用的認證機制,是最簡單的認證算法,即不認證。服務器
認證過程:網絡
客戶端發送一個認證請求給選定的AP架構
該AP發送一個認證成功響應報文給客戶端確認該認證並在AP上註冊客戶端併發
優勢:性能
開放認證是一個基本的驗證機制,能夠使用不支持複雜的認證算法的無線設備,802.11協議中認證是面向鏈接的,對於須要容許設備快速進入網絡的場景,可以使用開方式身份認證。加密
缺點:spa
開放認證沒辦法檢驗客戶端是不是一個有效的客戶端,而不是黑客客戶端,若是使用不帶WEP加密的開放認證,任何知道無線SSID的用戶均可以訪問網絡。
應用場景:
開放系統認證也叫明文接入,既不關心客戶端/用戶認證問題,也不關心無線客戶端與網絡之間所交換數據的加密問題,這種類型的認證方式主要用戶公共區域或熱點區域,如機場酒店,大堂等
服務區標識符SSID匹配
無線客戶端必須設置與無線訪問點AP相同的SSID,才能訪問AP;若是出示的SSID與AP的SSID不一樣,那麼AP將拒絕它經過本服務區上網。利用SSID設置,能夠很好的進行用戶羣體分組,避免任意漫遊帶來的安全問題和訪問性能問題。能夠經過設置隱藏接入點及SSID區域的劃分和權限控制來達到保密的目的,所以能夠認爲SSID是一個簡單的口令,經過口令認證機制,實現必定的安全。
MAC認證
MAC認證是正在設備上預先配置容許訪問的MAC地址列表,若是客戶端的MAC地址不在孕育訪問的MAC地址列表,將被拒絕其接入請求。
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控制的認證方法,不須要用戶安裝任何客戶端軟件。
物理地址過濾控制是採用硬件控制的機制來實現對接入無線終端的試別,因爲無線終端的網卡都具有惟一的MAC地址,所以能夠經過檢查無線中斷數據包的源MAC來試別無線終端的合法性。
因爲許多無線網卡支持從新配置MAC地址,MAC地址很容易被僞造或複製,MAC地址認證更應該是一種訪問控制方式,這種STA身份驗證方法不建議單獨使用。
共享密鑰認證
共享密鑰認證(Shared-Key authentication)必須使用WEP加密方式,要求STA和AP使用相同的共享密鑰,一般被稱爲靜態密鑰
共享密鑰認證是除開放系統認證之外的另一種鏈路認證機制。
認證過程包含4步,後三步包含一個完整的WEP加密/解密過程,對WEP的密鑰進行了驗證,確保網卡在發起關聯時與AP配置了相同的加密密鑰
1:STA向AP發送認證請求
2:AP會隨機產生一個「挑戰短語」發送給STA
3:STA將接收到的「挑戰短語」拷貝到新的消息中,用密鑰加密後,再發送給AP
4:AP接收到該消息後,用密鑰將該消息解密,而後對解密後的字符串和最初給STA的字符串進行比較
* 若是相同,則說明STA擁有與AP相同的共享密鑰,即經過共享密鑰認證
* 若是不一樣,則共享密鑰認證失敗。
缺點:
* 可擴展性不佳,必須在每臺設備上配置一個很長的密鑰字符串
* 不是很安全,靜態密鑰使用時間很是長,知道手工配置新的密鑰爲止,靜態WEP密鑰比較容易被破解
IEEE 802.1X認證簡介
IEEE 802.1X是IEEE制訂的關於用戶接入網絡的認證標準,全稱是:基於端口的網絡接入控制。於2001年標準化,以後爲配合無線網絡的接入修訂改版,於2004年完成。
IEEE 802.1X定義了基於端口的網絡接入控制協議,其中端口能夠是物理端口,也能夠是邏輯端口。對於一個端口,若是認證成功,那麼就「打開」這個端口,容許全部報文經過;若是認證不成功,就保持端口關閉,此時只容許802.1X的認證報文EAPOL(Extensible Authentication Protocol over LANs)經過。
IEEE 802.1X認證三大元素:
客戶端、認證者、認證服務器
使用802.1X的系統爲典型的C/S體系結構,包括三個實體:Supplication System接入系統、Authenticator System認證系統、Authentication Server System 認證服務器系統
802.1X是理想的高安全、低成本的無線認證解決方案,適用於不一樣規模的企業無線網絡環境中。
EAP協議
802.1X體系自己不是一個完整的認證機制,而是一個通用架構。802.1X使用EAP (Extensible Authentication Protocol)認證協議。EAP是一種簡單的封裝方式,能夠運行與任何的鏈路層,不過在ppp鏈路上並未普遍使用。
EAP封包格式:
Code 類型碼:封包的第一個字段是Code,其長度爲1字節,表明EAP封包類型。封包的DATA數據字段必須經過此字段解析
Identifier 標識符:Identifier字段的長度爲1字節,其內容爲1個無符號整數,用於請求和響應
Length 長度:length字段佔2個字節,記載整個封包的總字數
Data 數據:長度不一,取決於封包類型
EAP類型
** EAP-MD5:最先的認證類型,基於用戶名、密碼認證,認證過程與CHAP認證過程基本相同
** EAP-TLS:基於證書的認證方式,對用戶端和認證服務器端進行雙向證書認證的認證方式
** EAP-TTLS:目前是IETF的開放標準草案,可跨平臺支持,提供很是優秀的安全認證,而且在認證服務器上使用PKI證書
** EAP-PEAP:基於證書的認證方式,服務器側採用證書認證,客戶端側採用用戶名密碼認證
PSK認證
預共用密鑰模式(Pre-shared key)PSK是設計給負擔不起802.1X驗證服務器的成本和複雜度的家庭和小型公司網絡用的。每個使用者必須輸入密語來獲取網絡,而密語能夠是8到63個ASCII字符、或是64個16進制數字。使用者能夠自行選擇要不要把密語存在電腦裏以省去重複鍵入的麻煩,但密語必定要存在AP裏。
PSK認證須要是如今無線客戶端和設備端配置相同的預共享密鑰,能夠經過是否可以對協商的消息成功解密來肯定兩端的預共享密鑰是否相同,從而完成服務器和客戶端的互相認證。
對於沒有什麼重要數據的小型網絡而言,能夠適應WPA-PSK的預設共享密鑰模式。主要把預設共享密鑰當時的WPA-PSK應用於小型、風險低的網絡以及不須要太多保護的網絡用戶。
Portal認證
Portal認證也稱Web認證,客戶端使用標準的Web瀏覽器,填入用戶名、密碼信息,頁面提交後,由Web服務器和設備配合完成認證。
用戶主動訪問位於Web服務器上的認證頁面,主動認證
用戶試圖經過HTTP訪問外網被WLAN服務器強制重定向到Web認證頁面,強制認證
Portal認證體系架構
Portal認證
Portal認證過程
IP報文觸發用戶上線的流程如圖:
* WLAN客戶端經過DHCP或靜態配置獲取IP地址
* WLAN客戶經過HTTP訪問Web頁面,發出http請求給WLAN服務器
* WLAN服務器將http請求的地址重定向到Web認證頁面,返回給用戶
* WLAN客戶在Web認證頁面中輸入帳號和密碼並提交給Portal服務器
* Protal服務器獲取用戶帳號信息後,使用從WLAN服務器獲取到的挑戰短語對密碼進行加密,而後發送認證請求報文給WLAN服務器,其中報文攜帶用戶的帳號、IP等信息
* WLAN服務器與Radius服務器交互,完成認證過程。認證成功後,爲用戶分配資源,下發轉發表項,開始在線探測,併發送認證迴應報文通知Portal服務器認證結果
* Portal服務器通知WLAN客戶認證結果,而後迴應WLAN服務端表示已收到認證迴應報文。