WLAN安全的發展歷程
WLAN認證方式
開放系統認證
開放系統認證 Open system authentication 是缺省使用的認證機制,是最簡單的認證算法,即不認證。
認證過程:
客戶端發送一個認證請求給選定的AP
該AP發送一個認證成功響應報文給客戶端確認該認證並在AP上注冊客戶端
優點:
開放認證是一個基本的驗證機制,可以使用不支持復雜的認證算法的無線設備,802.11協議中認證是面向連接的,對於需要允許設備快速進入網絡的場景,可使用開方式身份認證。
缺點:
開放認證沒辦法檢驗客戶端是否是一個有效的客戶端,而不是黑客客戶端,如果使用不帶WEP加密的開放認證,任何知道無線SSID的用戶都可以訪問網絡。
應用場景:
開放系統認證也叫明文接入,既不關心客戶端/用戶認證問題,也不關心無線客戶端與網絡之間所交換數據的加密問題,這種類型的認證方式主要用戶公共區域或熱點區域,如機場酒店,大堂等
服務區標識符SSID匹配
無線客戶端必須設置與無線訪問點AP相同的SSID,才能訪問AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過本服務區上網。利用SSID設置,可以很好的進行用戶群體分組,避免任意漫游帶來的安全問題和訪問性能問題。可以通過設置隱藏接入點及SSID區域的划分和權限控制來達到保密的目的,因此可以認為SSID是一個簡單的口令,通過口令認證機制,實現一定的安全。
MAC認證
MAC認證是正在設備上預先配置允許訪問的MAC地址列表,如果客戶端的MAC地址不在孕育訪問的MAC地址列表,將被拒絕其接入請求。
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控制的認證方法,不需要用戶安裝任何客戶端軟件。
物理地址過濾控制是采用硬件控制的機制來實現對接入無線終端的試別,由於無線終端的網卡都具備唯一的MAC地址,因此可以通過檢查無線中斷數據包的源MAC來試別無線終端的合法性。
由於許多無線網卡支持重新配置MAC地址,MAC地址很容易被偽造或復制,MAC地址認證更應該是一種訪問控制方式,這種STA身份驗證方法不建議單獨使用。
共享密鑰認證
共享密鑰認證(Shared-Key authentication)必須使用WEP加密方式,要求STA和AP使用相同的共享密鑰,通常被稱為靜態密鑰
共享密鑰認證是除開放系統認證以外的另外一種鏈路認證機制。
認證過程包含4步,后三步包含一個完整的WEP加密/解密過程,對WEP的密鑰進行了驗證,確保網卡在發起關聯時與AP配置了相同的加密密鑰
1:STA向AP發送認證請求
2:AP會隨機產生一個“挑戰短語”發送給STA
3:STA將接收到的“挑戰短語”拷貝到新的消息中,用密鑰加密后,再發送給AP
4:AP接收到該消息后,用密鑰將該消息解密,然后對解密后的字符串和最初給STA的字符串進行比較
* 如果相同,則說明STA擁有與AP相同的共享密鑰,即通過共享密鑰認證
* 如果不同,則共享密鑰認證失敗。
缺點:
* 可擴展性不佳,必須在每台設備上配置一個很長的密鑰字符串
* 不是很安全,靜態密鑰使用時間非常長,知道手工配置新的密鑰為止,靜態WEP密鑰比較容易被破解
IEEE 802.1X認證簡介
IEEE 802.1X是IEEE制訂的關於用戶接入網絡的認證標准,全稱是:基於端口的網絡接入控制。於2001年標准化,之后為配合無線網絡的接入修訂改版,於2004年完成。
IEEE 802.1X定義了基於端口的網絡接入控制協議,其中端口可以是物理端口,也可以是邏輯端口。對於一個端口,如果認證成功,那么就“打開”這個端口,允許所有報文通過;如果認證不成功,就保持端口關閉,此時只允許802.1X的認證報文EAPOL(Extensible Authentication Protocol over LANs)通過。
IEEE 802.1X認證三大元素:
客戶端、認證者、認證服務器
使用802.1X的系統為典型的C/S體系結構,包括三個實體:Supplication System接入系統、Authenticator System認證系統、Authentication Server System 認證服務器系統
802.1X是理想的高安全、低成本的無線認證解決方案,適用於不同規模的企業無線網絡環境中。
EAP協議
802.1X體系本身不是一個完整的認證機制,而是一個通用架構。802.1X使用EAP (Extensible Authentication Protocol)認證協議。EAP是一種簡單的封裝方式,可以運行與任何的鏈路層,不過在ppp鏈路上並未廣泛使用。
EAP封包格式:
Code 類型碼:封包的第一個字段是Code,其長度為1字節,代表EAP封包類型。封包的DATA數據字段必須通過此字段解析
Identifier 標識符:Identifier字段的長度為1字節,其內容為1個無符號整數,用於請求和響應
Length 長度:length字段占2個字節,記載整個封包的總字數
Data 數據:長度不一,取決於封包類型
EAP類型
** EAP-MD5:最早的認證類型,基於用戶名、密碼認證,認證過程與CHAP認證過程基本相同
** EAP-TLS:基於證書的認證方式,對用戶端和認證服務器端進行雙向證書認證的認證方式
** EAP-TTLS:目前是IETF的開放標准草案,可跨平台支持,提供非常優秀的安全認證,並且在認證服務器上使用PKI證書
** EAP-PEAP:基於證書的認證方式,服務器側采用證書認證,客戶端側采用用戶名密碼認證
PSK認證
預共用密鑰模式(Pre-shared key)PSK是設計給負擔不起802.1X驗證服務器的成本和復雜度的家庭和小型公司網絡用的。每一個使用者必須輸入密語來獲取網絡,而密語可以是8到63個ASCII字符、或是64個16進制數字。使用者可以自行選擇要不要把密語存在電腦里以省去重復鍵入的麻煩,但密語一定要存在AP里。
PSK認證需要是現在無線客戶端和設備端配置相同的預共享密鑰,可以通過是否能夠對協商的消息成功解密來確定兩端的預共享密鑰是否相同,從而完成服務器和客戶端的互相認證。
對於沒有什么重要數據的小型網絡而言,可以適應WPA-PSK的預設共享密鑰模式。主要把預設共享密鑰當時的WPA-PSK應用於小型、風險低的網絡以及不需要太多保護的網絡用戶。
Portal認證
Portal認證也稱Web認證,客戶端使用標准的Web瀏覽器,填入用戶名、密碼信息,頁面提交后,由Web服務器和設備配合完成認證。
用戶主動訪問位於Web服務器上的認證頁面,主動認證
用戶試圖通過HTTP訪問外網被WLAN服務器強制重定向到Web認證頁面,強制認證
Portal認證體系架構
Portal認證
Portal認證過程
IP報文觸發用戶上線的流程如圖:
* WLAN客戶端通過DHCP或靜態配置獲取IP地址
* WLAN客戶通過HTTP訪問Web頁面,發出http請求給WLAN服務器
* WLAN服務器將http請求的地址重定向到Web認證頁面,返回給用戶
* WLAN客戶在Web認證頁面中輸入賬號和密碼並提交給Portal服務器
* Protal服務器獲取用戶賬號信息后,使用從WLAN服務器獲取到的挑戰短語對密碼進行加密,然后發送認證請求報文給WLAN服務器,其中報文攜帶用戶的賬號、IP等信息
* WLAN服務器與Radius服務器交互,完成認證過程。認證成功后,為用戶分配資源,下發轉發表項,開始在線探測,並發送認證回應報文通知Portal服務器認證結果
* Portal服務器通知WLAN客戶認證結果,然后回應WLAN服務端表示已收到認證回應報文。