IEEE 802.1X 认证是由认证客户端、接入设备、认证服务器三部分组成。请求认证的终端叫做认证客户端,和终端连接的 AP 、交换机及其它网络设备叫做接入设备。认证方式使用 EAP ,客户端发起认证请求,接入设备会把收到的 EAP 消息封装成 RADIUS 数据帧,转发给认证服务器,当认证服务器完成认证后,接入设备会通知客户端并把客户端作为认证成功的客户端,之后客户端发送的数据帧都会转发到局域网或互联网上。
认证信息是使用用户名、口令、数字证书等其中一种方式即可,对应的认证协议有 EAP-MD5 、EAP-TLS 、EAP-TTLS 等各种类型。
11、无线网络有哪些加密功能?空气中传输的无线电波,只要是在覆盖范围内,就能被任何人收到,再加上 WLAN 数据解析工具,恶意用户就能够窃听无线网络的通信内容。
为了防止无线通信被窃听和篡改,要在无线通信过程中,对信息进行加密。WLAN 加密有 WEP 、WPA 、WPA2 、WPA3 等标准。
WEPWEP ,全称 Wired Equivalent Privacy ,即有线等效保密。WEP 加密是最早在无线加密中使用的技术,基于 RC4 算法的密钥对数据进行加密,这个密钥叫做 WEP key 。
WEP 一共有三种加密方式:40 bit 长度的密钥和 24 bit 长度的初始向量值组成 64 bit 长的加密方式,104 bit 长度的密钥和 24 bit 长度的初始向量值组成 128 bit 长的加密方式,128 bit 长度的密钥和 24 bit 长度的初始向量值组成 152 bit 长的加密方式。密钥长度越短,破解时间也越短,现在已经不怎么使用了。
WEP 实在太脆弱了,于是就制定了 WPA ,全称 WiFi Protected Access ,即 WiFi 保护接入。
WPA 把 SSID 和 WEP 密钥一起加密,并且能定期自动更新用户认证功能和密钥的 TKIP 。
WPA 有两种模式:个人模式和企业模式。
个人模式的 WPA 主要是家庭和个人使用,也叫做 WPA-PSK ,AP 和 STA 使用相同的预共享密钥( PSK )。
企业模式的 WPA 主要用于企业,增加了 IEEE 802.1X 认证服务器,不同的用户使用不同的用户名和密码连接无线网络。
WPA2 是新一代 WPA 标准,采用 AES 加密算法。AES 常用于 IPsec 和 SSL 等协议中,比 RC4 的安全性更高。AES 支持长度是 128 bit 、196 bit 、256 bit 的密钥,WPA2 使用其中的 128 bit 长度类型。WPA2 兼容上一代 WPA ,支持 WPA2 的设备和只支持 WPA 的设备也能通信。AES 采用了类似 TKIP 的协议 CCMP ,其中 CBC-MAC 是密码段连接/消息认证码的意思。
AP 的加密设置可以选择 WPA-PSK( TKIP )、WPA-PSK( AES )、WPA2-PSK( TKIP )或 WPA2-PSK( AES )。
WPA32017 年 10 月,802.11 协议中沿用 13 年的 WPA2 加密被完全破解。2018 年 6 月 26 日,WiFi 联盟宣布 WPA3 协议已最终完成,这是 WiFi 连接的新标准。
WPA3 在 WPA2 的基础上增加了新的功能,以简化 WiFi 安全保障方法、实现更可靠的身份验证,提高数据加密强度。所有的 WPA3 网络都必须进行管理帧保护 PMF ,保证数据的安全性。
根据 WiFi 网络的用途和安全需求的不同,WPA3 又分为 WPA3 个人版、WPA3 企业版,即 WPA3-SAE 和 WPA3-802.1X 。WPA3 为不同网络提供了额外功能:WPA3 个人版增强了对密码安全的保护,而 WPA3 企业版的用户可以选择更高级的安全协议,保护敏感数据。
- WPA3 个人版
对比 WPA2 个人版,WPA3 个人版能提供更可靠的基于密码的身份验证。这是由于 WPA3 个人版使用了更安全的协议:对等实体同时验证 SAE( Simultaneous Authentication of Equals )。SAE 取代了 WPA2 个人版的 PSK 认证方式,可以有效地抵御离线字典攻击,增加暴力破解的难度。SAE 能够提供前向保密,即使攻击者知道了网络中的密码,也不能解密获取到的流量,大大提升了 WPA3 个人网络的安全。WPA3 个人版只支持 AES 加密方式。
SAE 在 WPA/WPA2-PSK 原有的四次握手前增加了 SAE 握手,实质上是为了动态协商成对主密钥 PMK 。WPA/WPA2-PSK 的 PMK 只与 SSID 和预共享密钥有关,而 SAE 引入了动态随机变量,每次协商的 PMK 都是不同的,提升了安全性。
- WPA3 企业版
企业、政府和金融机构为了更高的安全性可以采用 WPA3 企业版。WPA3 企业版基于 WPA2 企业版,提供一种可选模式:WPA3-Enterprise 192bit ,这个模式的优点有:
数据保护:使用 192 位的 Suite-B 安全套件,增加密钥的长度。
密钥保护:使用 HMAC-SHA-384 在 4 次握手阶段导出密钥。
流量保护:使用伽罗瓦计数器模式协议 GCMP-256( Galois Counter Mode Protocol )保护用户上线后的无线流量。
管理帧保护:使用 GMAC-256( GCMP 的伽罗瓦消息认证码,Galois Message Authentication Code )保护组播管理帧。
WPA2 企业版支持多种 EAP 方式的身份验证,但是 WPA3 企业版仅支持 EAP-TLS 的方式。
