《无线加密的多种方法及其区别(WEP WPA TKIP EAP)》由会员分享,可在线阅读,更多相关《无线加密的多种方法及其区别(WEP WPA TKIP EAP)(7页珍藏版)》请在金锄头文库上搜索。
1、无线加密的多种方法及其区别( WEP WPA TKIP EAP)无线网络的安全性由认证和加密来保证。认证允许只有被许可的用户才能连接到无线网络;加密的目的是提供数据的保密性和完整性(数据在传输过程中不会被篡改)。802.11 标准最初只定义了两种认证方法: 开放系统认证( Open System Authentication) 共享密钥认证( Shared Key Authentication)以及一种加密方法: 有线等效保密( Wired Equivalent Privacy WEP)对于开放系统认证,在设置时也可以启用 WEP,此时,WEP 用于在传输数据时加密,对认证没有任何作用。对于共
2、享密钥认证,必须启用 WEP,WEP 不仅用于认证,也用于在传输数据时加密。WEP 使用对称加密算法(即发送方和接收方的密钥是一致的),WEP 使用 40 位或 104 位密钥和 24 位初始化向量(Initialization Vector IV,随机数)来加密数据。注:使用初始化变量( IV)的目的是避免在加密的信息中出现相同的数据。例如:在数据传输中,源地址总是相同的,如果只是单纯的加密( WEP 使用静态密码),这样在加密的信息中会出现相同的数据,有可能被恶意地破解。由于初始化变量( IV)是随机数,可以避免这种情况的出现。在配置无线网络的安全性时,一般将 40 位/104 位密钥写成
3、密钥长度:64 位(40+24)/128 位(104+24)由于 WEP 有一些严重缺陷,如初始化向量的范围有限,而且是使用明文传送,802.11 使用 802.1x 来进行认证、授权和密钥管理,另外,IEEE 开始制订 802.11i 标准,用于增强无线网络的安全性。同时,Wi-Fi 联盟与 IEEE 一起开发了 Wi-Fi 受保护的访问(Wi-Fi Protected Access WPA)以解决 WEP 的缺陷WPAWPA 不同于 WEP,WPA 同时提供认证(基于 802.1x 可扩展认证协议 Extensible Authentiation Protocl - EAP 的认证)和加密
4、(临时密钥完整性协议 Temporal Key Integrity Protocol TKIP)。WPA 的认证 802.1x802.1x 最初设计用于有线网络,但对无线网络也适用。802.1x使用认证服务器在无线网卡和无线访问点(AP)之间提供基于端口的访问控制和相互认证。802.1x 体系结构包括下列 3 部分:(1)Supplicant:要访问网络的设备,通常是 802.11 客户端(2)Authenticator:客户端和认证服务器的中间设备,在客户端和认证服务器之间传递信息。对于无线网络来说通常为无线访问点(AP)。(3)Authentication Server(认证服务器):对
5、Supplicant进行实际身份验证的设备,通常是远程认证拨号用户服务(Remote Authentication Dial-In User Service - RADIUS)服务器韩梅梅预约好了去拜访某公司老总,李雷也要去。到了公司门口,保安要求两人出示身份证明,保安通过电话与老总联系后,老总确认后通知可以让韩梅梅进来,李雷不能进去。保安根据老总的指示,对韩梅梅放行,拒绝李雷进入。韩梅梅和李雷相当于 802.1x 体系中的 supplicant,保安相当于 authenticator,只起一个传送信息的作用,而不是进行实际的身份验证,老总相当于 authentication server,进
6、行实际的身份验证。Supplicant、authenticator、authentication server 三者之间需要通信。Supplicant 和 authenticator 之间使用 EAPoL 通信,authenticator 将 EAP 封装在其他高层协议(如 RADIUS)中与authentciation server 通信或 authenticator 将 EAPoL 转换为其他认证协议(如 RADIUS)传递给 authentication server。EAP 和 EAPoL我对 EAP 和 EAPoL 的区别一直很模糊。这次好好看了些资料,总结如下:EAP可扩展认证协议
7、(EAP)是一个认证框架,而不是一种特定的认证机制,EAP 提供一些公共的功能,并且允许协商认证机制(EAP 方法)。EAP 规定如何传输和使用由 EAP 方法产生的密钥材料(如密钥、证书等等)和参数。无线网络中常用的 EAP 方法(认证机制)包括 EAP-TLS、EAP-SIM、EAP-AKA、LEAP 和 EAP-TTLS。EAPoL(EAP over LAN)EAP 只定义了消息格式,每种使用 EAP 的协议必须定义一种将EAP 消息封装到该协议消息中的方法。802.1x 中定义了将 EAP 消息封装到 802 中的方法,这种方法称为 EAP over LAN EAPoL。所以 EAPo
8、L 实际上是一种传送机制。实际的认证方法是 EAP 方法来指定。802.1x 认证的核心是 authenticator 上端口的打开与关闭。对于合法用户(认证通过的用户)接入时,端口打开,可以自由访问网络;对于没有用户接入或非法用户(认证未通过的用户)接入时,端口关闭,这样就不能访问网络。802.1x 认证过程中还使用了动态密钥以加密数据。WPA 的加密 TKIP临时密钥完整性协议(Temporal Key Integrity Protocol TKIP)也是对称加密方法,使用 RC4 算法,TKIP 使用 128 位临时密钥和 48 位初始化向量(IV)总结WPA 的优点:(1)WPA 利用
9、 802.1x 认证提供强力的访问控制;(2)TKIP 使用动态密钥WPA 缺点:(1)由于 TKIP 使用 RC4 算法,安全隐患(2)复杂的认证和加密导致性能降低WPA2WPA2 是 WPA 的第二版本,WPA2 的加密使用 CCMP 方法。802.11i802.11i 的目的是解决 WEP 的缺陷。802.11i 规定了认证和加密。802.11i 使用 802.1x 认证。802.11i 定义了临时密钥完整性协议(TKIP)、计数器模式密码块链消息认证码协议(Counter Mode with Cipher Block Chaining Message Authentication Co
10、de Protocol CCMP)、Wireless Robust Authentication Protocol WRAP 三种加密方式。另外还有一种 AES-CCMP 加密方式,AES 表示 Advanced encryption standard(高级加密标准),使用 AES 加密算法代替过时的 DES(Data Encryption Standard 数据加密标准)加密算法能够提供更高的安全性,但由于 AES-CCMP 需要硬件,提高了成本。WAPI无线局域网认证和保密基础结构(WLAN Authentication and Privacy Infrastructure)是我国提出的无
11、线局域网安全标准。WAPI 包括无线局域网认证基础结构(WLAN Authentication Infrastructure - WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure - WPI)。WAI 提供认证功能,WPI 提供加密功能。总结WPA 是一个中间过渡标准,最终的安全解决标准是802.11i,WAP 的认证方式是 802.1x;加密方法是 WEP、TKIP;WAP2的认证方式是 802.1x;加密方法是 WEP、TKIP 和 CCMP。即WPA=802.11i 草案 3=802.1x/EAP+WEP(可选)/TKIPWPA2=802.11i=
12、802.1x/EAP+WEP(可选)/TKIP/CCMP(AES-CCMP)WAPI 是中国无线局域网强制性标准中的安全机制,已获得 ISO认可,将成为国际标准。实际上 WAPI 和 802.11i 物理层是一样的,只是协议和 MAC 层不一样,因此很容易在一个芯片上支持两种标准。问题前面所述 WPA、WPA2、802.11i 的 802.1x/EAP 认证都要使用authentication server(认证服务器),对于大型企业环境来说,构建一台认证服务器没有问题,但对于家庭环境和小型办公室环境来说,构建一台认证服务器不太现实,那怎么办呢?难道不管家庭/小型办公室环境下的无线网络安全性了
13、吗?为了解决这个问题,802.11i 提供了一种简单的认证方法:使用预共享密钥(Pres-shared key PSK)。预共享密钥(PSK)需要事先在无线访问点(AP)和所有要访问无线网络的电脑上手动输入一相同的 passphrase(这个词我不知道如何翻译,有些地方翻译为密码/口令,我觉得不太恰当),使用一种算法将 passphrase 转换为认证时使用的 Pairwise Master Key(PMK),另外,在验证过程中,还要产生用于加密的动态密钥。这种进行认证(不使用认证服务器)/加密的方法称为 WPA/WPA2-Personal 或 WPA/WPA2 Pre-Shared Key
14、或 WPA/WPA2-PSK使用认证服务器进行认证/加密的方法称为 WPA/WPA2-Enterprise。Passphrase 和 password 的区别密码(password)是一组字母、数字、符号,表示用户的身份。密码一般比较短 8/6/6 字符,而且密码的复杂性有要求,如不能出现常见的字、词等等。Passphrase 类似于密码(password),但 passphrase 并不是直接使用的,而是通过一定的算法将 passphrase 转换为用于加密的密钥。Passphrase 可以很长,通常为 20-30 个字符,另外,由于不是直接使用 passphrase,所以可以使用容易记忆的
15、句子作为passphrase你肯定不会设计一个没有防火墙的互联网接入的网络。因此,你怎么会架设一个没有加密的无线网络?理解无线加密对于部署一个安全的无线网络是非常重要的。无线传输的安全类似于一个书面信息。有各种各样的方法来发送一个书面信息。每一种方法都提供一种增强水平的安全和保护这个信息的完整性。你可以发送一张明信片,这样,这个信息对于看到它的每一个人都是公开的。你可以把这个信息放在信封里,防止有人随意看到它。如果你确实要保证只有收件人能够看到这个信息,你就需要给这个信息加密并且保证收件人知道这个信息的解码方式。无线数据传输也是如此。没有加密的无线数据是在空中传输的,任何在附近的无线设备都有可
16、能截获这些数据。使用有线等效协议(WEP)加密你的无线网络可提供最低限度的安全,因为这种加密是很容易破解的。如果你确实要保护你的无线数据,你需要使用 WPA(Wi-Fi保护接入)等更安全的加密方式。为了帮助你了解这些选择,这里简要介绍一些现有的无线加密和安全技术:Open System: 完全不认证也不加密,任何拥有无线网卡的人都可以连到无线接入点。有线等效协议(WEP)有线等效协议是厂商作为一种伪标准匆忙推出的一种加密方式。厂商要在这个协议标准最后确定下来之前匆忙开始生产无线设备。因此,这个协议后来发现存在一些漏洞。甚至一个初入道的攻击者也能够利用这个协议中的安全漏洞。Wi-Fi 保护接入(WPA) 无线接入点设定有 WEP 密钥(WEP Key),无线网卡在要接入到无线网络是必须要设定相同的 WEP Key,否则无法连接到无线网络。WEP 可以用在认证或是加密,例如认证使用 Open System,而加密使用 WEP;或者认证和加密都使用WEP。WEP 加密现在已经有软件
