理解WLAN的不同认证类型 自 从1999年802.11b标准的批准通过,WLAN比以往更加普及。从而在安全性方面带来了新的挑战,因为相对而言WLAN不像有线以太网络那么简单。基于802.11的WLAN在空中接口采用广播的方式传输射频数据信号,这意味着新的、复杂的安全问题需要在802.11的网络上得以解决。本文将讨论802.11标准的安全认证方式,并简要讨论它们的不足。在802.11安全机制的基础上,为保证WLAN网络系统最大程度上的安全性,终端设备与网络间也可以采用基于MAC地址或者基于802.1x EAP认证机制,具体的认证类型将基于网络的认证服务器。 1 802.11 规范的认证方式及其不足 WLAN由于自身广播的特点,需要额外的机制去保证合法用户的接入和数据正常传输的完整及私密性。针对无线终端用户,802.11规范规定了两种机制:开放认证方式和共享密匙认证方式。还有其它两种机制,使用SSID和基于MAC地址的认证也是被广泛采用的,同时使用WEP密匙也可被作为一种接入控制手段。 通过SSID(Service Set Identifier)可以实现WLAN的逻辑隔离。一般而言,一个无线终端必须配置正确SSID以便获许接入到WLAN的网络中来。SSID没有提供任何的数据私密性功能,也没有真正的对无线终端进行认证。 802.11规范的认证是面向无线终端设备的认证,而不是针对使用设备的用户。在一个无线终端经过AP与网络通信之前,它必须使用Open或Share-Key的方式与AP实现相互认证。 802.11终端认证流程由以下步骤组成: a) 无线终端在所有无线信道上广播探测请求帧; b) 在无线范围内的AP发回探测响应帧; c) 无线终端将选择最理想的AP,并发出认证请求; d) AP发回认证响应; e) 在认证成功后,无线终端将发出关连请求帧到AP; f) AP将发回关连响应帧,然后终端将被允许通过这个AP发送数据。 Figure 1 – Association overview 开放认证方式 开放认证方式允许任何的终端设备与AP进行认证并尝试发生通信。开放认证方式没有采用认证算法,AP可准许任何认证请求。使用开放认证方式,任何无线终端可以与AP进行认证,但是仅在无线终端的WEP密匙与AP 上的WEP密匙匹配的情况下才能发生通信(发送数据)。开放认证方式并不依赖于网络的RADIUS服务器。如果没有在AP上采用加密,任何配置对应SSID的无线终端均可获许接入到网络中来。当在AP上采用了WEP加密方式,WEP密匙本质上成为一种接入控制方式。如果无线终端设备没有正确的WEP密匙,即使认证通过认证,无线终端也无法通过AP发送数据到其它的网络设备,或者将从AP 来的数据包解密。 图一:开放认证方式下不同密匙的情况 共享密匙认证方式 共享密匙认证方式是802.11规范定义的第二种认证方式。共享密匙认证方式要求无线终端具备静态WEP密匙的配置。下图描述共享密匙认证方式的操作过程: a) 无线终端发送共享密匙认证方式的认证请求报文; b) AP发回响应认证请求的报文,并包含挑战(Challenge)的正文串; c) 无线终端采用本地配置的共享密匙去加密收到的挑战正文串,并发回顺序的认证请求报文; 1 理解WLAN的不同认证类型 d) AP用配置的WEP共享密匙进行解密,如果恢复原始挑战正文串,则认证成功并发回成功的响应报文。 图二:共享密匙认证流程 由于共享密匙认证方式存在严重的安全缺陷,我们也不推荐使用。因为在共享密匙认证操作期间,AP发送的认证响应的报文并没有对挑战正文串进行加密,而无线终端直接将加密后的报文发回,所有的报文均可以被监听。入侵者可以利用这两个报文计算出WEP密匙,从而可正式连接到网络中。因为这个缺陷,共享密匙认证方式比开发认证方式更不安全。同样,共享密匙认证方式也不依赖于网络的RADIUS服务器。 MAC地址认证方式 MAC地址认证方式并没有在802.11 规范中定义。但MAC地址认证方式却被很多厂商所支持。MAC地址认证方式通过配置在AP本地或外部服务器的MAC地址表,检查无线终端的MAC地址是否被允许接入到网络中来。MAC地址认证方式被用来增强802.11规范中定义的两种认证方式,更进一步的减少未经授权用户接入到网络的可能性。但由于MAC地址被作为明文发送,所以入侵者也很容易截获并假冒有效的无线终端。 图三:MAC地址认证流程 2 建设安全的802.11无线局域网 Cisco认识到在802.11网络认证和数据私密性的弱点,为了给用户提供可扩展的、可管理并且可靠的WLAN网络,Cisco 采用准标准的方法去增强802.11网络的认证和加密。实际上,无线网络的安全可以由三个部分组成:即 认证的体系框架,认证的算法,数据私密加密算法。 Cisco 无线网络安全套件由以下部分组成: ü 802.1x认证体系: IEEE802.1x标准提供了可被多种认证方式使用的通用架构 ü Cisoc LEAP 认证算法: EAP-Cisco 认证类型支持集中式的,基于用户,并具备动态生成WEP密匙的认证方式。 ü 临时密匙完整性协议(TKIP) :Cisco 包含两种方式去增强WEP的功能,即MIC和PPK。 ü 采用报文完整性检测 (MIC) 功能有效的提供数据帧的真实性,以减少网络入侵者的攻击。 ü Per Packet Keying: 基于每个用户帧的加密最大程度上减少入侵者重生成WEP的攻击。 2.1 Cisco 无线网络安全套件的组成 2.1.1 802.1X 认证架构 802.1X 认证架构 已经被采用在IEEE 802.11工作组 I (TGi)中作为802.11 MAC层安全的增强的手段。801。1X的网络层次如下所示: 完成802.1X认证需要三个实体: 1. 请求者– 这个实体驻留在WLAN终端内; 2. 认证点– 这个实体驻留在AP内; 3. 认证服务器- 这个实体驻留在Radius服务器内。 8021.X各组件间的操作流程如下: a) 启动请求者软件后,无线终端将向AP发起EAP-Start连接请求, 认证点–AP将检测无线终端连接请求并激活相应请求者的端口;该端口将被强制到未授权的状态,仅802.1X业务流被发送。无线终端可发起EAP-Start请求报文,尽管无线终端发起不是必须的。 b) 认证点–AP将发回EAP-Request 识别/挑战报文请求获取无线终端身份识别。 c) 请求者–无线终端发回EAP-Response识别报文,包含无线终端身份识别信息,AP将发送Access-Request到认证服务器。 2 理解WLAN的不同认证类型 d) 认证服务器被配置采用特定的认证算法来认证无线终端。这个步骤可以使用数字证书和其它的EAP认证类型; e) 作为Access-Request的响应,认证服务器发回Access-Challenge报文到AP,并有AP 转换成EAP-Request发到无线终端; f) 无线终端将发送EAP-Response报文保护它的信用证明(具体基于不同认证算法)到AP, AP将转换成Access-Request并发送到认证服务器; g) 认证服务器将使用数据库内的用户信息,计算结果并与无线终端的响应结果相比较, 最终的结果是认证服务器接受或拒绝用户请求。 h) 当最终认证成功,认证服务器发送接受请求。认证点–AP将把对应无线终端的端口设定到已授权的状态,后续的数据流将被AP发送到网络。 整个认证流程如下图所示: 由于802.1X是可扩展的,它允许在其上有多种认证算法。当前,为802.11所使用的802.1X没有规定使用某一种特定的算法。在我们的解决方案中网络采用PEAP-MSCHAPv2结合PKI的数字证书方式认证。 3 本文来源:https://www.wddqw.com/doc/f79620425bfafab069dc5022aaea998fcc2240e5.html