理解WLAN的不同认证类型.docVIP

自 从1999年802.11b标准的批准通过，WLAN比以往更加普及。从而在安全性方面带来了新的挑战，因为相对而言WLAN不像有线以太网络那么简单。基于802.11的WLAN在空中接口采用广播的方式传输射频数据信号，这意味着新的、复杂的安全问题需要在802.11的网络上得以解决。本文将讨论802.11标准的安全认证方式，并简要讨论它们的不足。在802.11安全机制的基础上，为保证WLAN网络系统最大程度上的安全性，终端设备与网络间也可以采用基于MAC地址或者基于802.1x EAP认证机制，具体的认证类型将基于网络的认证服务器。 1? ?? ?802．11 规范的认证方式及其不足 WLAN由于自身广播的特点，需要额外的机制去保证合法用户的接入和数据正常传输的完整及私密性。针对无线终端用户，802.11规范规定了两种机制：开放认证方式和共享密匙认证方式。还有其它两种机制，使用SSID和基于MAC地址的认证也是被广泛采用的，同时使用WEP密匙也可被作为一种接入控制手段。 通过SSID(Service Set Identifier)可以实现WLAN的逻辑隔离。一般而言，一个无线终端必须配置正确SSID以便获许接入到WLAN的网络中来。SSID没有提供任何的数据私密性功能，也没有真正的对无线终端进行认证。 802.11规范的认证是面向无线终端设备的认证，而不是针对使用设备的用户。在一个无线终端经过AP与网络通信之前，它必须使用Open或Share－Key的方式与AP实现相互认证。 802.11终端认证流程由以下步骤组成： a)? ???无线终端在所有无线信道上广播探测请求帧；b)? ???在无线范围内的AP发回探测响应帧；c)? ???无线终端将选择最理想的AP，并发出认证请求；d)? ???AP发回认证响应；e)? ???在认证成功后，无线终端将发出关连请求帧到AP；f)? ?? ???AP将发回关连响应帧，然后终端将被允许通过这个AP发送数据。 Figure 1 – Association overview 开放认证方式 开放认证方式允许任何的终端设备与AP进行认证并尝试发生通信。开放认证方式没有采用认证算法，AP可准许任何认证请求。使用开放认证方式，任何无线终端可以与AP进行认证，但是仅在无线终端的WEP密匙与AP 上的WEP密匙匹配的情况下才能发生通信（发送数据）。开放认证方式并不依赖于网络的RADIUS服务器。如果没有在AP上采用加密，任何配置对应SSID的无线终端均可获许接入到网络中来。当在AP上采用了WEP加密方式，WEP密匙本质上成为一种接入控制方式。如果无线终端设备没有正确的WEP密匙，即使认证通过认证，无线终端也无法通过AP发送数据到其它的网络设备，或者将从AP 来的数据包解密。 图一：开放认证方式下不同密匙的情况 共享密匙认证方式 共享密匙认证方式是802.11规范定义的第二种认证方式。共享密匙认证方式要求无线终端具备静态WEP密匙的配置。下图描述共享密匙认证方式的操作过程： a)? ???无线终端发送共享密匙认证方式的认证请求报文；b)? ???AP发回响应认证请求的报文，并包含挑战（Challenge）的正文串； c)? ???无线终端采用本地配置的共享密匙去加密收到的挑战正文串，并发回顺序的认证请求报文；d)? ???AP用配置的WEP共享密匙进行解密，如果恢复原始挑战正文串，则认证成功并发回成功的响应报文。 图二：共享密匙认证流程 由于共享密匙认证方式存在严重的安全缺陷，我们也不推荐使用。因为在共享密匙认证操作期间，AP发送的认证响应的报文并没有对挑战正文串进行加密，而无线终端直接将加密后的报文发回，所有的报文均可以被监听。入侵者可以利用这两个报文计算出WEP密匙，从而可正式连接到网络中。因为这个缺陷，共享密匙认证方式比开发认证方式更不安全。同样，共享密匙认证方式也不依赖于网络的RADIUS服务器。 MAC地址认证方式 MAC地址认证方式并没有在802.11 规范中定义。但MAC地址认证方式却被很多厂商所支持。MAC地址认证方式通过配置在AP本地或外部服务器的MAC地址表，检查无线终端的MAC地址是否被允许接入到网络中来。MAC地址认证方式被用来增强802.11规范中定义的两种认证方式，更进一步的减少未经授权用户接入到网络的可能性。但由于MAC地址被作为明文发送，所以入侵者也很容易截获并假冒有效的无线终端。 图三：MAC地址认证流程 2? ?? ?? ? 建设安全的802.11无线局域网 Cisco认识到在802.11网络认证和数据私密性的弱点，为了给用户提供可扩展的、可管理并且可靠的WLAN网络，Cisco 采用准标准的方法去增强802.11网络的认证和加密。实际上，无线网络