无线网络的安全要求
- 机密性:确保数据不会泄露,防止数据被未经授权的第三者拦截。
帧主体加密机制(frame body encryption):主要用来提供机密性。 - 完整性:确保数据在传输过程中不被修改了。
完整性检验机制(integrity checksequence):在传送过程中保护数据,让接收者可以验证所收到的数据未被改动过。 - 真实性:包括身份认证,授权,访问控制。
无线网络安全技术
| 安全技术 | 说明 |
|---|---|
| 物理地址过滤 | 在AP中维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤 |
| 服务区标识符匹配 | STA出示的SSID必须与AP的SSID相同,才能访问AP AP隐藏SSID后,STA必须主动提供正确的SSID才能与AP进行关联 |
| WEP(Wired Equivalent Privacy) | 有线等效保密协议,一种加密认证协议 |
| WPA(Wi-FiProtected Access) | 网络安全存取技术,一种加密认证协议 |
| WAPI(WLAN Authentication and Privacy Infrastructure) | 无线局域网络鉴别与私密基础结构的安全系统,中国开发的加密认证协议 |
认证
开放系统身份验证(Open System Authentication)
-
一种不对STA的身份进行认证的认证方式。STA向AP发出认证请求,仅仅是一个请求,不含任何用户名、口令等信息,就可以获得认证。
-
开放系统认证的功能:让STA和AP互相感知对方的存在,以便进一步建立通信关系来建立关联。
-
开放系统认证流程
- STA发送认证申请给AP
- AP响应认证申请
- 如果想使用更先进的身份验证(如RSNA),则STA在发起Authentication请求时,必须使用开放系统身份验证。STA在认证成功后,通过Association请求开展RSNA验证。
共享密钥身份认证(Shared Key Authentication)
-
通过判决对方是否掌握相同的密钥来确定对方身份是否合法。
-
共享密钥:密钥是网络上所有合法用户共有的,连接的用户通过其他方式提前获取了密钥。
-
密钥对应的加密方法是有线等效保密(Wired Equivalent Privacy, WEP),用以防止非法用户窃听或侵入无线网络。
-
共享密钥身份认证流程
- STA发送认证需求 (Authentication Request) 给AP。
- AP把质询明文(Challenge text)放到响应帧 (Authentication Response) 里。
- STA取出Challenge Text,利用WEP加密方法对Challenge Text进行加密,然后发送给AP。
- AP收到第二次Authentication Request后,对数据进行解密;如果ICV正确,并且解密后的译文等于发送的质询明文,则通过身份认证。
- AP返回验证结果给STA,如果验证成功,STA将通过Association请求加入无线网络。
访问控制
- 基于MAC地址的访问控制
- 基于Radius的访问控制
- 基于证书的访问控制
- 基于WEB认证的访问控制
- 基于STA性能的访问控制
- 基于SIM的访问控制
- 基于位置的访问控制
Wi-Fi 网络用户认证的安全
-
Wi-Fi 网络通过识别用户身份进行相应授权,在认证过程中保护用户认证信息安全,不被窃取。
-
目前用户身份认证方式主要有以下三种:PPPoE、Web、802.1x。这三种认证协议的过程都应该经过加密的。
-
加密机制:
- PPPoE中采用CHAP认证,可通过MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全;
- WEB认证中用户密码可采用HTTPS加密传送,保证认证信息的安全;
- 在802.1x认证中,EAP-MD5认证可采用MD5算法,用户密码不以明文方式在网上传输,保证认证信息的安全。
EAP-SIM认证可采用A3/A8加密算法保证安全性。可以实现双向认证和动态密钥下发。
EAP-TTLS、EAP-TLS、PEAP可通过SSL/TLS实现双向认证和动态密钥下发。
