802.11结合802.1x、RADIUS提升WLAN安全性

最新推荐文章于 2023-03-10 11:13:19 发布
最新推荐文章于 2023-03-10 11:13:19 发布
阅读量3.7k 收藏 3
点赞数
分类专栏: 网络协议

转载:http://www.doxing.com/list.asp?id=187


虽然眼下很多人都在谈论着无线局域网,而且据悉在美国已经有不少公共场合开始为公众提供无线接入服务,国内也有越来越多的公司、企业在组建局域网时开始考虑无线方案,但无线局域网的安全始终是个令人头痛的问题。802.11规范确实提供了认证和加密服务,但它却没有定义或提供WEP密钥管理协议,这是IEEE 802.11安全服务的一大不足之处。在拥有较多STA的大型无线infrastructure模式中,这一局限性所带来的安全缺陷尤为明显。对于无何提高WLAN安全性能,几家大公司如RSA、IBM和微软各有招数。本文介绍微软在Windows XP中所采用的方法,即在802.11中结合802.1x、RADIUS来改善WLAN安全服务。  
 
802.1x  
802.1x是针对以太网而提出的基于端口进行网络访问控制的安全性标准草案。基于端口的网络访问控制利用物理层特性对连接到LAN端口的设备进行身份认证。如果认证失败,则禁止该设备访问LAN资源。尽管802.1x标准最初是为有线以太网设计制定的,但它也适用于符合802.11标准的无线局域网,且被视为是WLAN的一种增强性网络安全解决方案。  
 
802.1x体系结构包括三个主要的组件:  
● 请求方(Supplicant): 提出认证申请的用户接入设备,在WLAN中,通常指待入网的无线站点STA。  
 
● 认证方(Authenticator):允许客户机进行网络访问的实体,在WLAN中,通常指访问接入点AP。  
 
● 认证服务器(Authentication Sever):为认证方提供认证服务的实体。认证服务器对请求方进行鉴权,然后告知认证方该请求者是否为授权用户。认证服务器可以是某个单独的服务器实体,也可以不是,后一种情况通常是将认证功能集成在认证方Authenticator中。  
 
802.1x草案为认证方定义了两种端口访问控制方法:"受控的"端口访问法和"非受控的"端口访问法。"受控端口"分配给那些已经成功通过认证的实体进行网络访问;而在认证尚未完成之前,所有的通信数据流从"非受控端口"进出。一旦认证成功通过,请求方就可以通过"受控端口"访问LAN资源和服务。  
802.1x认证过程如下图所示:  
<IMG SRC="http://www.doxing.com/image/02_3_11_2.gif" border=0>  
 
 
802.1x的认证协议——PPP EAP(可扩展认证协议)  
PPP协议本身并不要求认证,但它提供了一个可选的认证过程。EAP(Extensible Authentication Protocol,可扩展认证协议)是由IETF提出的PPP协议的扩展,允许使用任意方式对一条PPP连接的有效性进行验证。802.1x草案选用了EAP来提供请求方和认证服务器两者之间的认证服务。最常用的EAP认证方法有MD5-Challenge和TLS。  
 
● EAP-TLS(传输层安全协议) EAP-TLS使用在基于证书的安全环境中,是一个安全信道的认证和加密协议,采用公钥证书加密体系在两个端点之间提供双向认证,加密协商,密钥交换等服务。  
 
● EAP-MD5(消息摘要5) EAP-MD5使用的挑战-握手协议与基于PPP的CHAP相同,但挑战和应答均以EAP消息形式发送。EAP-MD5主要用在软件原型的构建和测试中。  
 
802.1x、RADIUS和802.11的结合  
目前无线网络技术在为用户提供了便利的同时,也存在着不少安全方面的隐忧和风险:  
● 任何人只要有无线网卡,就可以轻易获得WLAN的访问权。  
 
● 无线网络使用射频收发信息,任何人只要在AP覆盖范围内,都可以侦听并接收所有来自或发送至AP的数据信息。  
 
为了防范第一类安全风险,一种行之有效的措施就是要求AP对企图入网的无线站点进行身份认证,并在允许STA收发数据前先对它进行授权。可是如果要提供安全的认证和授权,AP就必须有一个能提供每个用户信息和一套授权规则的用户帐号数据库,但这又会给AP带来额外开销和管理上的难度,为了解决这个矛盾,Windows XP的做法是结合802.1x标准,引入RADIUS机制,也就是将RADIUS作为上述802.1x体系结构中的第三方认证中心。  
 
在这种情况下,用户帐号数据库是建立在RADIUS服务器端,而非AP端。AP一方面作为RADIUS服务器(认证服务器)的客户机,另一方面则充当请求方STA的认证方。它在接收到STA的认证请求后,将用户信任状和连接请求参数等作为一系列请求消息流发送至RADIUS服务器。RADIUS服务器收到消息后,处理AP的连接请求,查询用户帐号数据库,完成用户身份鉴定,并根据授权规则对通过认证的用户进行授权(整个认证流程参见上图)。  
 
使用RADIUS服务器还有一个好处在于,RADIUS服务器上还常备有一个记录用户其他特性的数据库。这样,对于认证请求,RADIUS除了可以作出是与否的判断外,还可提供该用户的其他连接参数,诸如允许的最大连接时间和静态IP地址等等。  
 
在WLAN中使用802.1x标准,为了能获得最佳的认证安全度,最好是选用EAP-TLS认证协议,因为EAP-TLS能提供双向认证,且在认证过程中动态进行密钥交换和生成密钥,所生成的密钥只能被申请认证的STA与AP两者读取,从而可以在最大限度上保证认证过程的安全性。  
 
防范上述第二类安全风险的最有效的措施就是对STA与AP之间的数据通信进行加密处理。将802.11与RADIUS服务器和802.1x标准相结合,除了可以为WLAN提供认证和加密这两项安全措施外,还可提供密钥管理功能,而这正是802.11标准所缺乏的。  
 
结束语  
尽管802.11结合802.1x和RADIUS,可以在一定程度上提升WLAN的安全性,但其实这还是远远不够的。目前正在制定中的新的802.11i标准"许诺"会在WLAN的安全方面做较大的改进。但不论802.11i何时出台,相信无线局域网都还将要走过很长一段"安全之路"。

zhangxinrun_业余erlang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
802.1X 基于 Windows server 2008 AD RADIUS 认证
09-16
802.1X 基于 Windows server 2008 AD RADIUS 认证 网实施的项目,供大家参考
Windows电脑上搭建Radius 服务器并实现802.1X认证
热门推荐
leideleide的博客
05-26 2万+
Windows电脑上搭建Radius 服务器并实现802.1X认证 测试环境: 服务器端:Windows 10 电脑,作为Radius服务器 接入设备端:华为交换机,型号S1730S-S24T4S-A 客户端:Win7 电脑,开启802.1X认证 服务器端配置 将Radius 服务器和交换机设置在同一局域网内。Win10 PC机器IP地址 安装WinRadius ,该软件是免安装版本 获取win10电脑上Radius的配置,其中秘钥:Trus...
关于势头正旺的802.1X准入认证,不可不知的那些事
leagsoft_1003的博客
03-10 553
目前,联软科技已为金融、制造业、运营商、政府、医疗、能源等行业客户实施部署了基于802.1X强准入认证技术的UniNAC网络准入控制系统,联软的ESPP各子系统以及以全网零信任安全管理为代表的系列解决方案,已经为3000多家行业企业提供持续创新的网络安全解决方案和技术服务。:实现一个客户端,一个平台,可以做到网络准入控制、桌面安全管理、 信息防泄露等领域,包含网络准入控制、主机监控审计、桌面管理、补丁管理、安全管理、终端行为管理等功能的一体化、全方位的终端安全解决方案。如何正确处理用户终端安全接入的问题?
k8s v1.15.x部署_在家中部署802.1X的借口
weixin_26722031的博客
08-01 246
k8s v1.15.x部署This week I’ve had the pleasure of dealing with lots of wireless (WLAN) de-authentication attacks on my Wireless AP’s (WAPs) with attempts to crack my WPA2 key. The reason why I found it ...
ieee802.1X
suyuzhe的专栏
02-10 675
http://standards.ieee.org/getieee802/download/802.1X-2004.pdf
802.1x认证,RADIUS认证
asufeiya的博客
07-15 6253
IEEE 802.1X IEEE 802.1X是IEEE制定关于用户接入网络的认证标准(注意:此处X是大写[1]),全称是“基于端口的网络接入控制”,属于IEEE 802.1网络协议组的一部分。于2001年标准化,之后为了配合无线网络的接入进行修订改版,于2004年完成。它为想要连接到LAN或WLAN的设备提供了一种认证机制。 IEEE 802.1X协议在用户接入网络(可以是以太网/802.3或者WLAN网)之前运行,运行于网络中的数据链路层,EAP协议RADIUS协议。 IEEE 802.1X定义了
RADIUS概述和802.1x协议
qq_44845384的博客
11-26 1125
RADIUS概述和802.1x协议
802.1x技术介绍
求索
09-07 3300
802.1x技术介绍 目  录 802.1X. 1 802.1X的体系结构.. 1 802.1X的认证方式.. 1 802.1X的基本概念.. 2 EAPOL消息的封装.. 3 EAP属性的封装.. 4 802.1X的认证触发方式.. 5 802.1X的认证过程.. 5 802.1X的接入控制方式.. 8 802.1X的定时器.. 8 和80
802.1X的体系结构
weixin_30492601的博客
07-08 240
转载于:https://www.cnblogs.com/fanweisheng/p/11153496.html
802.1x+RADIUS认证计费超详细配置有图.pdf
06-21
安装AD活动目录; 默认域安全设置; 配置AD用户和计算机; 配置自动申请证书; 配置internet难服务(IAS); 配置IIS(internet信息服务管理器); 查看记录; 认证者端配置; 无线客户端配置;
基于LDAP与802.1x的无线接入统一身份认证研究
07-04
对基于LDAP统一身份认证架构下的802.1x的无线接入认证整合进行研究。提出并建立了一套保障信息安全的全局身份认证管理系统,在采用RC4安全加密技术的基础上,实现了基于RADIUS的无线802.1x/EAP接入认证和基于LDAP的认证服务的整合。实现接入用户认证管理和应用层统一身份认证用户的全局统一管理。
802.1x协议设备端实现代码
08-23
与客户端进行EAPOL报文交换,与认证服务端进行Radius报文交互
802.1x环境搭建
12-10
802.1X 服务器搭建和交换机配置。 802.1X协议作为局域网一种普遍的端口接入控制机制在以太网中被广泛应用,主要用以解决网络的认证问题。802.1X 认证的最终目的就是确定一个端口是否可用。对于一个端口,如果认证...
CISCO交换机配置AAA、802.1X以及VACL
01-02
一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。现在已经开始被应用于一般的有线LAN的接入。为了对端口加以控制,以实现用户级的接入...
802.1X测试指导.docx
08-07
radius服务器, freeradius-3.0.15版本 负责进行认证、计费的审核以及 证书的颁发
node-v16.12.0-darwin-x64.tar.xz
最新发布
04-23
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
试用Dev Containers的示例项目-Go
04-23
计算机技术是指评价计算机系统的各种知识和技能的总称。它涵盖了计算机硬件、软件、网络和信息安全等方面。计算机技术的发展使我们能够进行高效的数据处理、信息存储和传输。现代计算机技术包括操作系统、数据库管理、编程语言、算法设计等。同时,人工智能、云计算和大数据等新兴技术也在不断推动计算机技术的进步。计算机技术的应用广泛,涵盖了各个领域,如商业、医疗、教育和娱乐等。随着计算机技术的不断革新,我们可以更加高效地实现预期自动化、标准化
NTsky新闻发布v1.0测试版(提供JavaBean).zip
04-23
### 内容概要: 《NTsky新闻发布v1.0测试版》是一款基于 Java 开发的新闻发布系统的测试版本,旨在为新闻机构和媒体提供一个简单易用的新闻发布平台。该系统具有基本的新闻发布和管理功能,包括新闻分类、新闻编辑、新闻发布等核心功能。此外,该版本还提供了 JavaBean,使开发人员能够方便地将系统集成到自己的项目中,快速实现新闻发布的功能。 ### 适用人群: 本测试版本适用于新闻机构、媒体从业者以及Java开发人员。如果你是一家新闻机构或媒体,希望拥有一个简单易用的新闻发布平台,方便快捷地发布和管理新闻,那么这个测试版本将为你提供一个初步的体验。同时,如果你是一名Java开发人员,希望学习和掌握新闻发布系统的开发技术,并且对新闻行业有一定的了解,那么通过这个测试版本,你可以获取到一些JavaBean,并且可以参考系统的设计和实现,为你的项目开发提供参考和借鉴。无论是从业务需求还是技术学习的角度,该测试版本都将为你提供一定的帮助和支持。
802.1x radius
01-06
802.1x是一种网络访问控制协议,它提供了一种机制,用于在局域网中对用户进行身份验证和授权。RADIUS(远程身份验证拨号用户服务)是一种常用的认证和授权协议,用于管理网络用户的访问权限。 以下是一个关于802.1x和RADIUS的示例: ```shell Sep 20 10:20:21.598: RADIUS: User-Name [1] 7 "8021x" ``` 这是一个RADIUS服务器日志条目,其中包含了一个名为"8021x"的用户。 ```shell Sep 20 10:20:17.694: RADIUS: User-Name [1] 7 "8021x" ``` 这是另一个RADIUS服务器日志条目,也包含了一个名为"8021x"的用户。 通过这些日志条目,我们可以看到有两个用户使用802.1x协议进行身份验证和授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值