无线网络安全

已于 2023-05-03 11:14:41 修改
阅读量2.1k 收藏 7
点赞数 2
分类专栏: wifi 文章标签: web安全 网络 服务器
于 2023-05-03 11:10:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/htt789/article/details/130466179
版权

这里写目录标题

目的

1.数据的完整性(Integrity):用于检查数据在传输过程中是否被修改。
2.数据的机密性(Confidentiality):用于确保数据不会被泄露。
3.身份验证和访问控制(Authentication and Access Control):用于检查受访者的身份

数据加密

数据加解密由硬件完成

WEP

数据加密:使用流密码对数据加密,所有数据使用同一个wep key加密,采用CRC完整性校验。
身份认证:支持open和share key两种。
open可以在后续使用安全性更高的RSNA
share key即AP发送challenge text,但不能在后续使用安全性更高的RSNA

RSN

支持两种TKIP和CCMP数据加密及完整性校验算法

TKIP加密:每一帧使用不同key(流密码),采用MIC完整性校验。使用MAC地址等的信息进行加密,更加安全

CCMP加密:采用AES安全块协议,使用PN和keyid的CCMP头信息加密,更加安全。

身份认证

EAP

定义在协议RFC3748

组件:

  • Authenticator(验证者):简单点说,Authenticator就是响应认证请求的实体(Entity)。对无线网络来说,Authenticator往往是AP。
  • Supplicant(验证申请者)发起验证请求的实体。对于无线网络来说,Supplicant就是智能手机。
  • BAS(Backend Authentication Server,后端认证服务器):某些情况下(例如企业级应用)Authenticator并不真正处理身份验证,它仅仅将验证请求发给后台认证服务器去处理。正是这种架构设计拓展了EAP的适用范围。
  • AAA(Authentication、Authorization and Accounting,认证、授权和计费):另外一种基于EAP的协议。实现它的实体属于BAS的一种具体形式,AAA包括常用的RADIUS服务器等。在RFC3748中,AAA和BAS的概念可互相替代。
  • EAP Server:表示真正处理身份验证的实体。如果没有BAS,则EAP Server功能就在Authenticator中,否则该功能由BAS实现
    在这里插入图片描述

架构
在这里插入图片描述

  • EAP Method:(算法)属于具体的身份验证算法层。不同的身份验证方法有不同的Method Type。
  • EAP Supplicant/Authenticator Layer:(分发)根据收到EAP数据包中Type字段(见下文介绍)的不同,将其转给不同的EAP Method处理
  • EAP Layer:(收发)用于收发数据,同时处理数据重传及重复(Duplicate)包
  • Lower Layer(LL):传输层

802.1X(EAPOL)

802.1X讨论了EAP在Wired LAN上的实现

定义了受控端口和非受控端口。非受控端口只允许少量类型的数据流通,如EAPOL认证帧;受控端口认证通过前不允许传输任何数据。
在这里插入图片描述

EAPOL数据格式:
0x888e代表EAPOL在802.11帧中的类型。
Key Descriptor Type值为2,表示EAPOL RSN Key。
Descriptor Body的内容就是大括号中所包含的信息。

RSNA

流程
在这里插入图片描述

  • 发现阶段:选择AP。扫面过程中检查接收的beacon和probe是否包含RSNE信息元素,选择合适AP进行802.11Authentication和Association。
  • 802.1X认证阶段:身份认证。分配该次会话所需要的一系列密钥(PMK)用于后续通信的保护。
  • 密钥管理:生成单播,组播密钥。通过4-Way Handshake和Group Key Handshake协议。确认上一阶段分配的密钥是否存在,以及确认所选用的加密套件,并生成单播数据密钥和组播密钥用于保护数据传输。

数据加密和完整形校验:采用TKIP和CCMP
密钥派生和缓存:4-Way Handshake和Group Key Handshake

密钥派生

目的:RSNA中要求不同的STA和AP关联后使用不同的Key进行数据加密
在这里插入图片描述
PMK(Pairwise Master Key,成对主密钥):在STA中设置的密码。

PMK来源:

  • 在soho网络环境中,无专门的验证服务器。来源于双方事先配置好的预共享密钥(Pre-Shared Key,PSK)。
  • 在企业网络环境中:PMK和Authenticator Server(如RADIUS服务器)有关,通过EAPOL消息和后台AS经过多次交互来获取。

PTK(Pairwise Transient Key,成对临时Key):PMK密匙派生以得到PTK,安装到硬件中加密数据。PTK利用EAPOL Key帧即4-Way Handshake过程进行信息交换生成。每次关联PTK均重新生成。

密钥派生方法

输入PMK长256位(如果用户设置的密钥过短,规范要求STA或AP将其扩展到256位),通过PRF(Pseudo RandomFunction,伪随机数函数)并结合S/A(Supplicant/Authenticator)生成的Nonce(这两个Nonce将通过4-Way Handshake协议进行交换)以及S/A MAC地址进行扩展,从而派生出TKIP和CCMP用的PTK。
在这里插入图片描述
KCK(Key Confirmation Key)用于计算密钥生成消息的完整性校验
KEK(Key Encryption Key)用来加密密钥生成消息

密钥派生流程

四次握手流程
在这里插入图片描述
1.AP生成Anonce,并发送给STA
2.STA生成Snonce,结合PMK、Anonce和MAC地址生成ptk。
STA发送Snonce和KCK计算出的MIC给AP。
AP接收Snonce,并派生出PTK计算MIC校验。
3.AP发送install、GTK、MIC
4.STA发送MIC

4-Way Handshake完成后,STA和AP安装PTK

密钥缓存

目的:由于802.1X协商步骤涉及多次帧交换,故其所花费时间往往较长。在这种情况下,STA缓存这个得来不易的PMK信息就可消除以后再次进行802.1X协商步骤的必要,从而大大提升认证速度

PMKSA(PMK Security Association):PMK缓存信息。包括AP的MAC地址、PMK的生命周期(lifetime),以及PMKID。
其中PMKID包含(PMK IDentifier,用于标示这个PMKSA,其值由PMK、AP的MAC地址、STA的MAC地址等信息用Hash计算得来)。

密钥缓存流程

STA首先根据APMAC地址判断自己是否有缓存了的PMKSA,如果有则把PMKID放在RSNE中然后通过Association/Reassociation Request发送给AP。
AP根据这个PMKID再判断自己是否也保持了对应的PMKSA。如果是,双方立即进入4-Way Handshake过程,从而避免802.1X协商步骤

htt789
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
无线网络安全意识
03-04
WPA的确能够解决WEP所不能解决的安全问题。其中细节并非三言两语所能道清,简单说来,WEP的问题来源于网络上 各台设备共享使用一个密钥。无线网络安全问题已经成为不可忽视的主题。本文详细讨论一下WPA的细节问题, 尤其针对家庭和小型企业用户;随后介绍的是Windows XP SP2的无线设置向导,该向导利用USB闪存技术大大简化了无线局域网的安全设置过程。
关于4次握手及握手之前PMK的生成的理解
热门推荐
eydwyz的专栏
04-17 1万+
关于成对密钥与组密钥的结构   1.成对密钥   PMK 是基本元素   然后通过 supplicant MAC(SA), supplicant nouces(SN),authenticator MAC(AA),authenticator nouces(AN)   进行扩展获得PTK (Pairwise Transient Key) 成对传输密码   公式如下:      PTK=SH
Wlan安全——认证与加密方式(WPA-WPA2)
最新发布
wangluoanquan111的博客
04-30 1134
终端认证技术WEP认证PSK认证802.1x认证与MAC认证Portal认证数据加密技术WEP加密TKIP加密CCMP加密TKIP和CCMP生成密钥所需要的密钥信息802.11安全标准WEP共享密钥认证、加密工作原理WEP共享密钥认证WEP加解密过程PSK认证以及生成动态密钥的工作原理802.1x认证以及生成动态密钥的工作原理数据没有加密无线数据是在空气中传播,任何个人都可以通过空口抓包网卡截获到数据,导致信息泄露没有接入认证。
EAPOL
printf_mylife的专栏
02-18 1万+
EAP(Extensible Authentication Protocol),可扩展认证协议,是一种普遍使用的支持多种认证方法的认证框架协议,主要用于网络接入认证。该协议一般运行在数据链路层上,即可以直接运行于PPP或者IEEE 802之上,不必依赖于IP。EAP可应用于无线、有线网络中。          EAP的架构非常灵活,在Authenticator(认证方)和Supplicant(客
身份认证——802.1x认证和MAC认证讲解
m0_49864110的博客
03-16 7393
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start报文来触发认证,接入控制器收到客户端发送的EAPoL-Start报文之后,会向客户端发送EAP-Request/Identity报文,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证。
WIFI基础入门--802.11--用户身份验证--11
香蕉一号
03-03 1543
WIFI基础入门--802.11--用户身份验证--101.802.1X:网络连接端口的认证802.1X的架构及相关术语802.1X的帧过滤EAPOL的封装格式MAC标头Ethernet Type(以太网类型)Version(版本)Packet Type(封包类型)Packet Body Length(封包主体的长度)Packet Body(封包主体)802.1X与无线局域网802.11X交换流程...
网络访问控制(二)-EAP和EAPOL协议
Linux知识积累
10-16 948
当认证系统工作于中继方式时,认证系统与认证服务器之间也运行EAP协议,EAP帧中封装认证数据,将该协议承载在其它高层次协议中(如 RADIUS),以便穿越复杂的网络到达认证服务器;当认证系统工作于终结方式时,认证系统终结EAPoL消息,并转换为其它认证协议(如 RADIUS),传递用户认证信息给认证服务器系统。如果认证失败,则流程到此结束;802.1x协议在实现整个认证的过程中,其三个关键部分(客户端、认证系统、认证服务器)之间是通过不同的通信协议进行交互的,其中认证系统和认证服务器之间是EAP报文。
hostapd wpa_supplicant madwifi详细分析(十三)——EAPOL(802.1X-2004/IEEE Std 802.1X-2010)
奔跑的路
08-07 5670
这篇文章主要介绍EAPOL,关于它的详细定义可以到802.1X-2004/IEEE Std 802.1X-2010两个文档里面查询。 如果有阅读前面一篇文章,应该会了解EAPOL在局域网中是用来为EAP服务的,它主要用来装载EAP数据包,完成802.1x的认证过程。EAPOL也工作在LLC层,现在我们来了解一下。 一、总概 1.使用范围 为了让无线局域网中的设备能够安全的连接通信,802.
无线网络安全管理办法.doc
12-23
防止在无管理、无防护的状态下使用WIFI无线网络造成单位敏感信息泄露、重要数据损坏、网页劫持、电脑病毒感染、业务系统被非法控制等严重后果,保障无线网络的正常运行,加强单位网络环境安全建设,特制定本管理办法...
无线网络安全分析论文.docx
06-17
一、无线局域网络技术介绍 1 二、无线安全基本技术 2 2.1访问控制:利用ESSID、MAC限制,防止非法无线设备入侵 2 2.2数据加密:基于WEP的安全解决方案 3 三、新一代无线安全技术——IEEE802.11i 4 四、无线接入点...
无线网络安全分析
12-04
随着技术的不断进步,以及不断提高的性价比优势... 本文讨论了与无线网络相关的安全威胁和风险,并概述了在企业和家庭环境中部署无线网络的一些最佳实践。 最后,为使用公共无线网络上网的最终用户提供了一组安全提示。
无线网络安全解决方案.pdf
12-20
"无线网络安全解决方案" 本文档提供了一个专业的无线网络安全解决方案,旨在帮助企业和组织机构保护其无线网络免受各种安全威胁的影响。该解决方案涵盖了无线局域网(WLAN)的应用现状、面临的安全问题、安全技术...
移动通信与无线网络安全考点1
08-08
2. 对称密钥和非对称密钥的概念(1)对称密码算法(Symmetric cipher):加密密钥和解密密钥相同,或实质上等同,即从一个易于推出另一个 3. 分组
无线网络安全攻防实战完整版109M
01-29
无线网络安全攻防实战完整版109M, PDF文件,资源大小:109MB,欢迎下载
无线网络安全介绍
07-08
看完这期之后,让大家对于无线网络安全以及攻击有了更加深入的了解。 在介绍如何入侵无线网络之前,首先跟大家回顾一下一些通常我们都会见到、听说过的网络设备,因为这些于无线网络有一定相关的联系,当然无线网络...
学一点Wi-Fi:EAP & EAPOL
qq_23087099的博客
05-19 6104
1. EAP EAP其实并不是WiFi专有的协议,但在802.1X认证中经常碰到EAP,而且自己老是把一些相关的概念搞混淆,所以还是得做做笔记。 EAP,全称Extensible Authentication Protocol,是一个认证框架,这个框架一种简单的request/response方式,传递认证算法(EAP method)所需要的信息并完成认证。 2. EAP中的常见概念 Supplicant:向Authenticator申请认证的一方,和Peer是一个概念 Authenticator
(一百一十五) Android O 连接WiFi AP流程梳理续——eapol
JT的专栏
12-23 1696
前言:之前在(九十四) Android O 连接WiFi AP流程梳理续——连接网络 和(一百一十四) Android O 连接WiFi AP流程梳理续打了些基础,梳理到了eapol,现在继续看下。   1.eapol 百度百科是这么介绍的: EAP是Extensible Authentication Protocol的缩写,EAPOL就是(EAP OVER LAN )基于局域网的扩展认证...
一个完整的802.1X认证的交互
zxygww的专栏
03-26 6002
http://blog.csdn.net/winterth/article/details/8082504 首先是802.11的连接,如图: 前2个交互是相互发现的一个过程。之后,先做auth,再做association。 在WPA/RSN中,802.11的auth用的都是open的方式。这是第一个阶段,也就是802.11的认证。 当association完
无线网络安全与有线网络安全
04-27
无线网络安全和有线网络安全都是保护计算机网络不受非法访问、攻击和破坏的措施,但它们的实现方式和技术方案有所不同。 在无线网络中,数据通过无线信号传输,因此更容易被窃取或者篡改。为了保证无线网络安全性,需要采用一些特定的技术和协议,如WPA、WPA2和WPA3等加密协议,以及MAC地址过滤、SSID隐藏、访问控制列表等访问控制技术。 而在有线网络中,数据通过电缆或者光缆传输,相对于无线网络更加安全。因此,有线网络安全主要采用一些加密和身份验证技术,如IPSec、SSL、SSH等协议,以及用户名和密码、数字证书等身份验证技术。 总之,无论是无线网络安全还是有线网络安全,都需要采用一系列技术和措施来保护网络安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值