EAP(可扩展认证协议)认证对IEEE 802.11原有标准进行了3点改进:一是双向认证机制,这一机制有效地消除了中间人攻击(MITM),如假冒的AP和远端认证服务器; 二是集中化认证治理和动态分配加密密钥机制,这一机制解决了治理上的难度; 三是定义了集中策略控制,当会话超时时,将触发重新认证和生成新的密钥 。
安全是这样炼成的
802.11i草案标准中建议的认证方案是基于802.1x和扩展认证协议(EAP)的,加密算法为高级加密标准(AES) 。动态协商认证和加密算法使RSN可以不断演进,与最新的安全水平保持同步,添加算法应付新的威胁,并不断提供保护无线局域网传送的信息所需要的安全性 。
由于采用动态协商、802.1x、EAP和AES,故RSN比WEP和WPA可靠得多 。但是,RSN不能很好地在遗留设备上运行,只有最新的设备才拥有实现加密算法所需的计算速度和性能 。
IEEE 802.11i系统在工作的时候,先由AP向外公布自身对系统的支持,在Beacons、Probe Response等报文中使用新定义的信息元素(Information Element),这些信息元素中包含了AP的安全配置信息(包括加密算法和安全配置等信息) 。STA(终端)根据收到的信息选择相应的安全配置,并将所选择的安全配置表示在其发出的Association Request和Re-Association Request报文中 。
802.11i协议通过上述方式来实现STA与AP之间的加密算法以及密钥治理方式的协商 。另外,AP需要工作在开放系统认证方式下,STA以该模式与AP建立关联之后,假如网络中有Radius服务器作为认证服务器,那么STA就使用802.1x方式进行认证;假如网络中没有Radius,STA与AP就会采用预共享密钥(PSK,Pre-Shared Key)的方式 。
STA通过802.1x身份验证之后,AP就会得到一个与STA相同的Session Key,AP与STA将该Session Key作为PMK(Pairwise Master Key,对于使用预共享密钥的方式来说,PSK就是PMK) 。随后AP与STA通过EAPoL-KEY进行WPA的四次握手(4-Way Handshake)过程,如图4所示 。在这个过程中,AP和STA均确认了对方是否持有与自己一致的PMK,如不一致,四次握手过程就告失败,连接也因此中断,反之建立连接 。
推荐阅读
- 无线网络通讯:用802.11k来管理WLAN
- 无线技术:无线网络管理策略分析
- ECOM演绎无线网络
- LAS-CDMA——新一代无线技术
- 如何选择无线网络产品---当组建无线局域网时
- 网络知识 无线网络速率到底有多快
- IEEE802.11i的网络构架和安全改进
- IEEE 802.16 无线网络技术标准新进展
- WinXP下802.11无线网络配置完全手册
- GSM数字移动通信无线网络规划设计探讨