802.11无线网络概述
IEEE 802.1X
IEEE 802.1X 标准定义了基于端口的网络访问控制,用于为以太网提供经过身份验证的网络访问。这种基于端口的网络访问控制使用交换式局域网基础结构的物理特性对连接到局域网端口的设备进行身份验证。如果身份验证过程失败,则拒绝它们访问该端口。尽管此标准是为有线以太网设计的,不过它已经得到了修改,可以在 802.11 无线局域网上使用。
IEEE 802.1X 定义了以下术语:
• |
端口访问实体 |
• |
身份验证者 |
• |
申请者 |
• |
身份验证服务器 |
图 4 显示了无线局域网的这些组件。
![](http://hi.csdn.net/attachment/201009/11/0_12841905371xDS.gif)
图 4 IEEE 802.1X 身份验证的组件
端口访问实体
局域网端口又称端口访问实体 (PAE),是支持与端口关联的 IEEE 802.1X 协议的逻辑实体。PAE 可以是身份验证者角色、申请者角色或者同时是这两种角色。
身份验证者
身份验证者是一个局域网端口,该端口在允许访问可通过此端口访问的服务前强制执行身份验证。对于无线连接,身份验证者是无线 AP 上的逻辑局域网端口,基础结构模式中的无线客户端通过此端口获得对其他无线客户端和有线网络的访问。
申请者
申请者也是一个局域网端口,此端口请求访问可通过身份验证者访问的服务。对于无线连接,申请者是无线局域网适配器上的逻辑局域网端口,该端口通过将自身与身份验证者关联并向身份验证者验证它自身来请求对其他无线客户端和有线网络的访问。
无论对于无线连接还是有线以太网连接,申请者和身份验证者都通过逻辑或物理的点到点局域网段进行连接。
身份验证服务器
为验证申请者的凭据,身份验证者使用了身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭据,然后对身份验证者做出响应,指示是否授权申请者访问身份验证者的服务。身份验证服务器可以是:
• |
访问点的一个组件 在此情况下,访问点必须配置几组与要尝试连接的无线客户端相对应的用户凭据。无线 AP 中通常不使用这种方法。 |
• |
独立实体 在此情况下,访问点将无线连接尝试的凭据转发给独立的身份验证服务器。通常,无线 AP 使用远程身份验证拨号用户服务 (RADIUS) 协议将连接尝试参数发送给 RADIUS 服务器。 |
受控端口和非受控端口
身份验证者基于端口的访问控制定义了以下不同类型的逻辑端口,这些端口通过单个物理局域网端口访问有线局域网:
• |
非受控端口 非受控端口允许身份验证者(无线 AP)与有线网络上的其他联网设备之间进行不受控制的交换,无论无线客户端的授权状态如何。无线客户端发送的帧从不使用非受控端口发送。 |
• |
受控端口 只有在无线客户端得到 802.1X 的授权时,受控端口才允许在无线客户端和有线网络之间发送数据。在进行身份验证之前,交换机打开,并且无线客户端和有线网络之间不会转发任何帧。在使用 IEEE 802.1X 成功验证无线客户端后,交换机关闭,并且可以在无线客户端和有线网络上的节点之间发送帧。 |
图 5 显示了不同类型的端口。
图 5 IEEE 802.1X 的受控端口和非受控端口
在执行身份验证的以太网交换机上,身份验证一旦完成,有线以太网客户端就可以将以太网帧发送到有线网络。交换机使用以太网客户端连接到的物理端口来识别特定有线以太网客户端的通信。通常,以太网交换机上的一个物理端口仅连接一个以太网客户端。
由于多个无线客户端竞相访问同一信道并使用同一信道发送数据,因此需要扩展基本 IEEE 802.1X 协议,以使无线 AP 能够识别特定无线客户端的安全通信。这由无线客户端和无线 AP 通过相互确定每客户端单播会话密钥来完成。只有经过身份验证的无线客户端知道它们的每客户端单播会话密钥。如果成功的身份验证未能关联有效的单播会话密钥,无线 AP 将丢弃从无线客户端发送的通信。
为了对 IEEE 802.1X 提供一个标准的身份验证机制,我们选择了可扩展身份验证协议 (EAP)。EAP 是一个基于点对点协议 (PPP) 的身份验证机制,它已经得到了修改,可在点对点局域网段上使用。EAP 消息通常作为 PPP 帧的有效负载发送。为了修改 EAP 消息使其能够通过以太网或无线局域网段发送,IEEE 802.1X 标准定义了 EAP over LAN (EAPOL),这是封装 EAP 消息的一种标准方法。
Wi-Fi Protected Access
尽管 802.1X 解决了原来的 802.11 标准中的许多安全问题,但在 WEP 加密强度和数据完整性方法方面仍存在问题。针对这些问题的长期解决方案是 IEEE 802.11i 标准,它是对无线局域网的安全进行了改进的一种新标准。
尽管新的 IEEE 802.11i 标准正在等待批准,无线供应商已同意了一个称为 Wi-Fi Protected Access (WPA) 的可共同使用的过渡标准。WPA 的目标是:
• |
实现安全无线网络 WPA 通过要求 802.1X 身份验证、加密以及单播和全局加密密钥管理来实现安全无线网络。 |
• |
通过软件升级解决 WEP 问题 在 WEP 中实施 RC4 流密码容易受到已知的明文攻击。另外,WEP 提供的数据完整性也相对较弱。WPA 解决了 WEP 中存在的所有安全问题,只需更新无线设备中的固件和无线客户端即可。不需要更换现有的无线设备。 |
• |
为 SOHO 无线用户提供安全的无线网络解决方案 对于 SOHO 一族,没有哪种 RADIUS 服务器能够提供具有 EAP 类型的 802.1X 身份验证。SOHO 无线客户端对单播和多播通信都必须通过单个静态 WEP 密钥来使用共享密钥身份验证(不提倡使用)或开放系统身份验证(建议使用)。WPA 提供一个用于 SOHO 配置的预共享密钥选项。预共享密钥在无线 AP 和每个无线客户端上配置。初始单播加密密钥从身份验证过程中派生,它验证无线客户端和无线 AP 是否具有预共享密钥。 |
• |
向前兼容 IEEE 802.11i 标准 WPA 是 IEEE 802.11i 标准中安全功能的子集。 |
• |
可立即使用 自 2003 年 2 月开始,为无线设备提供的 WPA 升级就已经向无线客户端开放。 |
WPA 增强或取代了以下安全功能:
• |
身份验证 |
• |
加密 |
• |
数据完整性 |
WPA 身份验证