网络与协议安全复习 - 网络访问控制与无线网络安全

网络访问控制

概念与特点

  • 网络访问控制(NAC)是对 网络进行管理访问 的一个概括性术语。
  • NAC 对用户进行认证并决定其权限。
    NAC 可以检查终端的安全程度。

组成元素

  • 访问请求者(AR)
    进行网络访问的节点,简称客户。
  • 策略服务器
    基于已有策略决定客户权限。
  • 网络访问服务器(NAS)
    在远程用户访问内网时,充当访问控制点。

下图可以比较好的展示各组成元素:
在这里插入图片描述

EAP 协议

EAP 全称可拓展认证协议。它提供了一组 封装了许多认证方法 的协议信息。
简单来说就是提供了 用户认证和授权 的手段。
它的结构展示如图:
在这里插入图片描述

  • 认证方法举例:
    EAP-TLS(EAP传输层安全)、EAP-TTLS(EAP隧道传输层安全)、EAP-GPSK(EAP通用预共享密钥)、EAP-IKEv2 图里都有
  • EAP交换协议 - RADIUS:
    RADIUS(Remote Authentication Dial In User Service) 是对远端拨号接入用户的认证服务。Radius 服务分客户端和服务器端,通常接入产品支持的是客户端,负责将认证等信息按照协议的格式通过 UDP 包送到服务器,同时对服务器返回的信息解释处理。
    Radius 是一个被广泛使用的 AAA 协议 (Authentication认证、Authorization授权、Accounting记费)。
  • EAP 消息格式
    在这里插入图片描述
    如图,分四个部分。
    (1)Code,1 字节,EAP 数据包类型。Code 的四种取值:1 - Request;2 - Response;3 - Success;4 - Failure。
    (2)Identifier,1 字节,ID标识,用于匹配 Request 和 Response;
    (3)Length,2 字节,EAP 帧的总长度;
    (4)Data,表示 EAP 数据,长度和内容取决于消息。

EAPOL/802.1x

  • 定义
    基于 IEEE 802.1x 的认证,又称 EAPOL 认证。
    802.1x 协议定义了一种报文封装格式,这种报文称为 EAPOL(EAP overLANs 局域网上的扩展认证协议)报文
  • 组成
    IEEE 802.1x 认证包括三个部分:请求方、认证方、认证服务器。
    其中认证方将网络接入端口分成两个逻辑端口:受控端口和非受控端口。
    非受控端口始终对用户开放,只允许用于传送认证信息,认证通过之后,受控端口才会打开,用户才能正常访问网络服务。
    先用非受控端口认证,认证成功后从受控端口取得服务
  • 报文格式
    在这里插入图片描述
    如图所示。
    (1)PAE Ethernet Type,2 字节,表示协议类型,固定为 0x888E,
    (2)Version,1 字节,表示协议号,本规范使用值为00000001。
    (3)Packet type ,1 字节,表示帧类型,有如下几种:
    Type=0 EAPOL-EAP:认证信息帧,用于承载 EAP 认证信息;
    Type=1 EAPOL-Start:认证发起帧,由客户端主动发起的;
    Type=2 EAPOL-Logoff:退出请求帧,主动终止已认证状态;
    Type=3 EAPOL-Key:密钥信息帧,支持对 EAP 报文的加密。
    (4)Packet body length,2 字节,表示 Packet body 长度。
    (5)Packet body,0/多字节,如果 Packet type = 0,取相应值。对于其他帧类型,该值为空。

无线网络安全

802.11i(无线局域网安全)服务

(1)认证
(2)访问控制
(3)带消息完整性的机密性
(4)密码算法

802.11i(无线局域网安全)流程

STA:客户机;AP:接入点;AS:认证服务器。
在这里插入图片描述
上图为操作阶段图示,具体细分的几个步骤如下:

  • 第一阶段:发现
    发现阶段的目的是 让客户 STA 和接入点 AP 相互辨认,协商安全功能配置,并为将来使用这些安全功能建立关联。
    辨认、协商配置、建立关联。
    在这里插入图片描述
  • 第二阶段:认证
    认证阶段使得一个 STA 与分布式系统 (DS) 中的一个认证服务器 (AS) 能够相互认证。只有允许授权 STA 能够使用网络,并且向 STA 保证它连接的是一个合法的网络。
    人话:STA 与认证服务器相互认证,认证后授权了的 STA 才能使用网络服务。
    在这里插入图片描述
  • 第三阶段:密钥管理阶段 重点!!
    在密钥管理阶段期间,各种加密密钥被生成并分发给各个 STA。
    有两种类型的密钥:用于 STA 和 AP 间通信的成对密钥;用于组播通信的群组密钥。
    密钥的层次结构:
    在这里插入图片描述
    该阶段具体流程图:
    在这里插入图片描述
    四次握手:
    (1)AP 给 STA 发送交互号;
    (2)STA 给 AP 发送交互号,表明自己存活且 PTK 安全新鲜;
    (3)AP 向 STA 表明认证存活且 PTK 安全新鲜。
    (4)STA 应答,确保下方组密钥握手开始。
    组密钥握手:
    (1)AP 向 STA 发送消息 1,内容是一个被加密的 GTK 和内容完整性保护。STA 解密 GTK 并安装。
    (2)STA 向 AP 发送消息 2,内容仅仅是应答。AP 安装 GTK。
  • 第四阶段:安全数据传输阶段
    定义了两个方案以保护数据传输:临时密钥完整性协议(TKIP)、计数器模式CBC-MAC协议(CCMP)。
  • 30
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值