网络与协议安全复习 - 网络访问控制与无线网络安全

网络访问控制

概念与特点

• 网络访问控制(NAC)是对 网络进行管理访问 的一个概括性术语。
• NAC 对用户进行认证并决定其权限。
  NAC 可以检查终端的安全程度。

组成元素

• 访问请求者(AR)
  进行网络访问的节点，简称客户。
• 策略服务器
  基于已有策略决定客户权限。
• 网络访问服务器(NAS)
  在远程用户访问内网时，充当访问控制点。

下图可以比较好的展示各组成元素：

EAP 协议

EAP 全称可拓展认证协议。它提供了一组 封装了许多认证方法 的协议信息。
简单来说就是提供了 用户认证和授权 的手段。
它的结构展示如图：

• 认证方法举例：
  EAP-TLS(EAP传输层安全)、EAP-TTLS(EAP隧道传输层安全)、EAP-GPSK(EAP通用预共享密钥)、EAP-IKEv2 图里都有。
• EAP交换协议 - RADIUS：
  RADIUS(Remote Authentication Dial In User Service) 是对远端拨号接入用户的认证服务。Radius 服务分客户端和服务器端，通常接入产品支持的是客户端，负责将认证等信息按照协议的格式通过 UDP 包送到服务器，同时对服务器返回的信息解释处理。
  Radius 是一个被广泛使用的 AAA 协议 (Authentication认证、Authorization授权、Accounting记费)。
• EAP 消息格式
  
  如图，分四个部分。
  （1）Code，1 字节，EAP 数据包类型。Code 的四种取值：1 - Request；2 - Response；3 - Success；4 - Failure。
  （2）Identifier，1 字节，ID标识，用于匹配 Request 和 Response；
  （3）Length，2 字节，EAP 帧的总长度；
  （4）Data，表示 EAP 数据，长度和内容取决于消息。

EAPOL/802.1x

• 定义
  基于 IEEE 802.1x 的认证，又称 EAPOL 认证。
  802.1x 协议定义了一种报文封装格式，这种报文称为 EAPOL（EAP overLANs 局域网上的扩展认证协议）报文
• 组成
  IEEE 802.1x 认证包括三个部分：请求方、认证方、认证服务器。
  其中认证方将网络接入端口分成两个逻辑端口：受控端口和非受控端口。
  非受控端口始终对用户开放，只允许用于传送认证信息，认证通过之后，受控端口才会打开，用户才能正常访问网络服务。
  先用非受控端口认证，认证成功后从受控端口取得服务
• 报文格式
  
  如图所示。
  （1）PAE Ethernet Type，2 字节，表示协议类型，固定为 0x888E，
  （2）Version，1 字节，表示协议号，本规范使用值为00000001。
  （3）Packet type ，1 字节，表示帧类型，有如下几种：
  Type=0 EAPOL-EAP：认证信息帧，用于承载 EAP 认证信息；
  Type=1 EAPOL-Start：认证发起帧，由客户端主动发起的；
  Type=2 EAPOL-Logoff：退出请求帧，主动终止已认证状态；
  Type=3 EAPOL-Key：密钥信息帧，支持对 EAP 报文的加密。
  （4）Packet body length，2 字节，表示 Packet body 长度。
  （5）Packet body，0/多字节，如果 Packet type = 0，取相应值。对于其他帧类型，该值为空。

无线网络安全

802.11i（无线局域网安全）服务

（1）认证
（2）访问控制
（3）带消息完整性的机密性
（4）密码算法

802.11i（无线局域网安全）流程

STA：客户机；AP：接入点；AS：认证服务器。

上图为操作阶段图示，具体细分的几个步骤如下：

• 第一阶段：发现
  发现阶段的目的是 让客户 STA 和接入点 AP 相互辨认，协商安全功能配置，并为将来使用这些安全功能建立关联。
  辨认、协商配置、建立关联。
  
• 第二阶段：认证
  认证阶段使得一个 STA 与分布式系统 (DS) 中的一个认证服务器 (AS) 能够相互认证。只有允许授权 STA 能够使用网络，并且向 STA 保证它连接的是一个合法的网络。
  人话：STA 与认证服务器相互认证，认证后授权了的 STA 才能使用网络服务。
  
• 第三阶段：密钥管理阶段 重点！！
  在密钥管理阶段期间，各种加密密钥被生成并分发给各个 STA。
  有两种类型的密钥：用于 STA 和 AP 间通信的成对密钥；用于组播通信的群组密钥。
  密钥的层次结构：
  
  该阶段具体流程图：
  
  四次握手：
  （1）AP 给 STA 发送交互号；
  （2）STA 给 AP 发送交互号，表明自己存活且 PTK 安全新鲜；
  （3）AP 向 STA 表明认证存活且 PTK 安全新鲜。
  （4）STA 应答，确保下方组密钥握手开始。
  组密钥握手：
  （1）AP 向 STA 发送消息 1，内容是一个被加密的 GTK 和内容完整性保护。STA 解密 GTK 并安装。
  （2）STA 向 AP 发送消息 2，内容仅仅是应答。AP 安装 GTK。
• 第四阶段：安全数据传输阶段
  定义了两个方案以保护数据传输：临时密钥完整性协议(TKIP)、计数器模式CBC-MAC协议(CCMP)。