WLAN安全的发展历程算法
WLAN认证方式浏览器
开放系统认证安全
开放系统认证 Open system authentication 是缺省使用的认证机制,是最简单的认证算法,即不认证。服务器
认证过程:网络
客户端发送一个认证请求给选定的AP架构
该AP发送一个认证成功响应报文给客户端确认该认证并在AP上注册客户端并发
优势:性能
开放认证是一个基本的验证机制,能够使用不支持复杂的认证算法的无线设备,802.11协议中认证是面向链接的,对于须要容许设备快速进入网络的场景,可以使用开方式身份认证。加密
缺点:spa
开放认证没办法检验客户端是不是一个有效的客户端,而不是黑客客户端,若是使用不带WEP加密的开放认证,任何知道无线SSID的用户均可以访问网络。
应用场景:
开放系统认证也叫明文接入,既不关心客户端/用户认证问题,也不关心无线客户端与网络之间所交换数据的加密问题,这种类型的认证方式主要用户公共区域或热点区域,如机场酒店,大堂等
服务区标识符SSID匹配
无线客户端必须设置与无线访问点AP相同的SSID,才能访问AP;若是出示的SSID与AP的SSID不一样,那么AP将拒绝它经过本服务区上网。利用SSID设置,能够很好的进行用户群体分组,避免任意漫游带来的安全问题和访问性能问题。能够经过设置隐藏接入点及SSID区域的划分和权限控制来达到保密的目的,所以能够认为SSID是一个简单的口令,经过口令认证机制,实现必定的安全。
MAC认证
MAC认证是正在设备上预先配置容许访问的MAC地址列表,若是客户端的MAC地址不在孕育访问的MAC地址列表,将被拒绝其接入请求。
MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法,不须要用户安装任何客户端软件。
物理地址过滤控制是采用硬件控制的机制来实现对接入无线终端的试别,因为无线终端的网卡都具有惟一的MAC地址,所以能够经过检查无线中断数据包的源MAC来试别无线终端的合法性。
因为许多无线网卡支持从新配置MAC地址,MAC地址很容易被伪造或复制,MAC地址认证更应该是一种访问控制方式,这种STA身份验证方法不建议单独使用。
共享密钥认证
共享密钥认证(Shared-Key authentication)必须使用WEP加密方式,要求STA和AP使用相同的共享密钥,一般被称为静态密钥
共享密钥认证是除开放系统认证之外的另一种链路认证机制。
认证过程包含4步,后三步包含一个完整的WEP加密/解密过程,对WEP的密钥进行了验证,确保网卡在发起关联时与AP配置了相同的加密密钥
1:STA向AP发送认证请求
2:AP会随机产生一个“挑战短语”发送给STA
3:STA将接收到的“挑战短语”拷贝到新的消息中,用密钥加密后,再发送给AP
4:AP接收到该消息后,用密钥将该消息解密,而后对解密后的字符串和最初给STA的字符串进行比较
* 若是相同,则说明STA拥有与AP相同的共享密钥,即经过共享密钥认证
* 若是不一样,则共享密钥认证失败。
缺点:
* 可扩展性不佳,必须在每台设备上配置一个很长的密钥字符串
* 不是很安全,静态密钥使用时间很是长,知道手工配置新的密钥为止,静态WEP密钥比较容易被破解
IEEE 802.1X认证简介
IEEE 802.1X是IEEE制订的关于用户接入网络的认证标准,全称是:基于端口的网络接入控制。于2001年标准化,以后为配合无线网络的接入修订改版,于2004年完成。
IEEE 802.1X定义了基于端口的网络接入控制协议,其中端口能够是物理端口,也能够是逻辑端口。对于一个端口,若是认证成功,那么就“打开”这个端口,容许全部报文经过;若是认证不成功,就保持端口关闭,此时只容许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LANs)经过。
IEEE 802.1X认证三大元素:
客户端、认证者、认证服务器
使用802.1X的系统为典型的C/S体系结构,包括三个实体:Supplication System接入系统、Authenticator System认证系统、Authentication Server System 认证服务器系统
802.1X是理想的高安全、低成本的无线认证解决方案,适用于不一样规模的企业无线网络环境中。
EAP协议
802.1X体系自己不是一个完整的认证机制,而是一个通用架构。802.1X使用EAP (Extensible Authentication Protocol)认证协议。EAP是一种简单的封装方式,能够运行与任何的链路层,不过在ppp链路上并未普遍使用。
EAP封包格式:
Code 类型码:封包的第一个字段是Code,其长度为1字节,表明EAP封包类型。封包的DATA数据字段必须经过此字段解析
Identifier 标识符:Identifier字段的长度为1字节,其内容为1个无符号整数,用于请求和响应
Length 长度:length字段占2个字节,记载整个封包的总字数
Data 数据:长度不一,取决于封包类型
EAP类型
** EAP-MD5:最先的认证类型,基于用户名、密码认证,认证过程与CHAP认证过程基本相同
** EAP-TLS:基于证书的认证方式,对用户端和认证服务器端进行双向证书认证的认证方式
** EAP-TTLS:目前是IETF的开放标准草案,可跨平台支持,提供很是优秀的安全认证,而且在认证服务器上使用PKI证书
** EAP-PEAP:基于证书的认证方式,服务器侧采用证书认证,客户端侧采用用户名密码认证
PSK认证
预共用密钥模式(Pre-shared key)PSK是设计给负担不起802.1X验证服务器的成本和复杂度的家庭和小型公司网络用的。每个使用者必须输入密语来获取网络,而密语能够是8到63个ASCII字符、或是64个16进制数字。使用者能够自行选择要不要把密语存在电脑里以省去重复键入的麻烦,但密语必定要存在AP里。
PSK认证须要是如今无线客户端和设备端配置相同的预共享密钥,能够经过是否可以对协商的消息成功解密来肯定两端的预共享密钥是否相同,从而完成服务器和客户端的互相认证。
对于没有什么重要数据的小型网络而言,能够适应WPA-PSK的预设共享密钥模式。主要把预设共享密钥当时的WPA-PSK应用于小型、风险低的网络以及不须要太多保护的网络用户。
Portal认证
Portal认证也称Web认证,客户端使用标准的Web浏览器,填入用户名、密码信息,页面提交后,由Web服务器和设备配合完成认证。
用户主动访问位于Web服务器上的认证页面,主动认证
用户试图经过HTTP访问外网被WLAN服务器强制重定向到Web认证页面,强制认证
Portal认证体系架构
Portal认证
Portal认证过程
IP报文触发用户上线的流程如图:
* WLAN客户端经过DHCP或静态配置获取IP地址
* WLAN客户经过HTTP访问Web页面,发出http请求给WLAN服务器
* WLAN服务器将http请求的地址重定向到Web认证页面,返回给用户
* WLAN客户在Web认证页面中输入帐号和密码并提交给Portal服务器
* Protal服务器获取用户帐号信息后,使用从WLAN服务器获取到的挑战短语对密码进行加密,而后发送认证请求报文给WLAN服务器,其中报文携带用户的帐号、IP等信息
* WLAN服务器与Radius服务器交互,完成认证过程。认证成功后,为用户分配资源,下发转发表项,开始在线探测,并发送认证回应报文通知Portal服务器认证结果
* Portal服务器通知WLAN客户认证结果,而后回应WLAN服务端表示已收到认证回应报文。