网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > 无线安全 > 文章  
Wi-Fi及无线网状网(Mesh)的安全
文章来源: 通信世界网 文章作者: 通信世界网 发布时间: 2007-03-13   字体: [ ]
 

  WPA虽然不是IEEE的标准,但也并非空穴来风。它的制订是基于802.11i协议的一个初稿(Draft)。所以它与后来的802.11i终稿在结构以及其它一些方面很相似。其中之一是使用基于802.1X的认证机制。WPA还采用了一套叫TKIP (TemporalKeyIntegrityProtocol)的加密协议。TKIP仍然使用RC4算法,所以当时的已有硬件平台可以在只做软件升级的情况下就支持它。但同时设计者又考虑了WEP的教训,使用了较长的IV,密钥,和动态变化的密钥机制,所以TKIP的安全性较之WEP加密大大提高。WPA 同时也加入了对重传攻击的防范,并对校验机制等做了重大改进。这些改进加上Wi-Fi联盟的影响力使WPA推出之后得到了广泛的采用。

  802.11i/WPA2

  2004年6月,IEEE终于通过了802.11i协议。Wi-Fi联盟则把其802.11i实现取名WPA2,通常这二者被认为是同一件事。

  相对于已出台的WPA,802.11i使用的的加密协议是AES(AdvancedEncryptionStandard)而非TKIP。AES被认为是一个更强的加密系统,它一般需要专门的硬件支持。今天的Wi-Fi产品应该都已支持AES加密。

  在安全性的其它方面,802.11i也象WPA一样提供很全面甚至更强的支持。在认证发面,802.1X的体系结构被采用。在密钥使用上,802.11i 有一整套密钥等级划分和密钥动态产生及更新机制。802.11i对重传攻击的防范,信息校验等自然也都考虑的非常全面。总而言之,802.11i是一整套非常全面,同时也非常复杂的安全协议系统,代表了当前Wi-Fi安全的最高级支持。由于其复杂性,细节不可能在本文中一一介绍。下面只就其中

  采用的802.1X认证体系结构作一个简单介绍。

  802.1X

  802.1X是IEEE关于局域网络访问控制的标准,它是一个基于端口概念的标准。它可以用来决定是否给予一个用户访问一个网路端口的权限。这里”端口”是指逻辑上的端口.具体到Wi-Fi中,一个客户端与AP的连接(association)就可视为一个端口。

  802.1X是一个标准,它使用的主要协议则是基于一个IETF定义的叫EAP的协议。EAP是”可扩展认证协议”的意思(ExtensibleAuthentication

  Protocol)。顾名思义,EAP是一个可扩展的协议框架。具体的EAP协议则可以有很多种,例如EAP-TLS,EAP-TTLS,PEAP等等。EAP最初并非为局域网(LAN)设计,所以EAP在局域网上的实现有一个自己的名字:EAPOL,

  是EAPoverLAN的意思。EAPOL就是802.1X的核心部分。

  802.1X和EAP都并非为Wi-Fi而设计,但却在Wi-Fi上找到了广泛的应用。在802.1X的典型体系结构中,有以下三个参与信息交互的角色:

  英文中分别叫Supplicant,Authenticator和Authentication Server。

  所谓Supplicant就是认证的客户端,在Wi-Fi中通常就是要求连接的无线客户端上的认证软件。AuthenticationServer就是认证服务器。在Wi-Fi中,通常是AP来充当Authenticator的角色。当进行802.1X/EAP认证时,在客户端和AP间运行的就是 EAPOL协议,而在AP和认证服务器之间运行的通常是一个叫RADIUS(RemoteAuthenticationDialIn User

  Service)。其实802.1X并不指定AP和认证服务器之间运行什么协议,RADIUS只是一个事实上的标准,绝大部分的应用都是用的RADIUS协议。同样原因,通常的认证服务器就是一个RADIUS服务器。

  一个典型的802.1X认证过程通常是这样的:

  无线客户端向AP发一个EAPOL-Start的包提出认证请求,AP收到后会向无线客户端作出回应(EAPRequest/Identity包),之后两者之间就会开始更多的EAP交互。但在这个过程中AP基本上是一个透明的转发者。它把从

  无线客户端收到的EAP包,翻译并封装成RADIUS包转发给RADIUS服务器。RADIUS服务器回的包同样也会被翻译回EAP的包送给客户端。整个交互完成后,AP会最终从RADIUS学到认证是否成功,从而决定是否给予无线客户端以访问权限。

 
推荐文章
·无线网攻击工具进攻方法及防范技
·WPA的家庭应用
·浅谈:安全问题将限制RFID的发展
·笔记本无线上网基本知识
·“视安全为第一”,调查显示WLAN
·无线网络安全八大技术利弊剖析
·技术概览:可运营WLAN网络安全问
·秘笈揭露 Ubuntu破解WEP密钥一点
·无线局域网WLAN安全技术谈
·WLAN安全五步曲
·消除无线网络的安全风险(1)
·用Hash锁方法解决RFID的安全与隐
 

 
共3页: 上一页 [1] 2 [3] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·笔记本无线上网基本知识
·使用OmniPeek实现无线监
·秘笈揭露 Ubuntu破解WEP
·无线网攻击工具进攻方法
·WPA完全解析:无线网络
·WPA的家庭应用
·GPS、手机定位和RFID 日
·无线局域网的安全技术与
相关分类
相关文章
·保护无线路由器 消灭来
·RFID芯片的攻击技术分析
·Wi-Fi网络安全探讨
·如何结合VPN与无线AP增
·Wi-Fi网络安全又有新突
·组建家庭无线网络 保证
·WPA叫人不放心
·WPA安全守护WLAN
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $