认证服务器通常为RADIUS服务器或AS HLR/AUC,它与认证者之间通过EAP协议进行通信 。
3.1.2 802.1x认证方式
802.1x的网络访问控制协议规范了802.1x的用户鉴权认证方式 。802.1x推荐使用拨号用户远程认证服务(RADIUS)及与之相关的两个通信协议:可扩展认证协议(EAP)和传输层协议(TLS) 。
802.1x主要涵盖以下四种认证方式:
(1)EAP-MD5认证方式
EAP-MD5认证方式通过RADIUS服务器提供简单的集中用户认证 。用户注册时该服务器只是检查用户名与密码,若通过认证就就答应客户端访问网络业务 。采用该认证方式时,用户密码采用MD5加密算法,以保证认证信息的安全 。EAP-MD5属单向认证机制,即只包括网络对客户端的认证 。
(2)EAP-SIM认证方式
EAP-SIM认证方式主要用于蜂窝移动运营商WLAN的SIM卡认证方式,支持用户与网络之间的双向认证和动态密钥下发 。在该认证方式中,用户端采用装有SIM卡读卡器的WLAN网卡 。网络侧的认证服务器(AS)与移动交换系统原有的HLR/AUC协同工作共同完成对用户的认证 。
(3)EAP-TLS认证方式
EAP-TLS认证方式属于传输层认证机制,支持用户与网络之间的双向认证 。用户可以在每次连接动态生成新密钥,且在用户连接期间按一定间隔更新密钥 。TLS认证中,传送的数据由TLS加密封装,保证认证信息的安全 。
(4)EAP-TTLS鉴权认证方式
EAP-TTLS认证方式基于隧道安全认证技术,能够支持双向认证和动态密钥分发 。在该认证方式中客户端与RADIUS之间,采用EAPoL协议建立安全隧道传送EAP认证包,实现TTLS认证 。
3.2 OWLAN的数据安全
3.2.1 802.1x协议对数据的加密
为了克服802.11所定义WEP(有线等效保密协议)存在的安全隐患,IEEE制定了802.1x用以增强WEP的安全性 。WEP使用40位静态密钥,而802.1x通过动态配置WEP的128位密钥加强了数据的保密性,制订了动态密钥完整性协议(TKIP)对WEP的RC4算法进行改进,并增加了消息完整性检查(MIC) 。
在802.1x的EAP-TLS、EAP-TTLS、EAP-LEAP认证方式中提供了依靠于其初始鉴权认证的主密钥 。利用该主密钥对空中数据帧加密,使得未经认证的用户无法对所窃取的数据帧进行解密 。
3.2.2 WLAN中的VPN
为了保证企业内部网络的安全接入,在OWLAN接入网中采用虚拟专网(VPN)技术用以保证企业内部网络的安全接入 。VPN是指在一个公共IP平台上,通过隧道及加密技术,为网络提供点对点的安全通信,以保证远程用户接入专用网络的数据安全性 。
在采用VPN技术的WLAN中,无线接入网络已被企业的VPN服务器和虚拟局域网(VLAN)将企业内部网的接入隔离开来 。由企业的VPN服务器提供无线网络的认证与加密,并充当企业内部网络的网关 。VPN协议包括第二层的PPTP/L2TP协议及第三层的IPSec协议,上述协议对通过WLAN传送的数据提供强大的加密功能 。
根据隧道的建立方式,可划分为2类VPN连接应用:
(1)由用户端发起的VPN连接
在由用户端发起的VPN连接应用中,需要在MT中按装VPN客户端软件 。用以在MT与企业的VPN服务器(网关)之间建立隧道连接 。在这类VPN连接中,VPN只涉及发起端与终结端,因此对AP、AC而言是透明的,无需AP、AC支持VPN 。
(2)由AC端发起的VPN连接
在由AC端发起的VPN连接应用中,用户以PPPoE方式连接AC,AC根据通信目的域名地址判为VPN业务后,由AC发起一条隧道连接用户欲接入的企业网网关 。在这种方式下从MT到AC的用户数据加密应在PPP层完成,可以采用PPP协议的加密选项来实现传输数据的加密 。
3.2.3 802.11i标准
802.11i是专门针对WLAN安全体系的标准 。该标准提供一种新的加密方法和认证方式(即WEP2技术) 。与传统的WEP算法相比较,WEP2将密钥的长度由40位增加到128位,故很难破译 。同时,该标准将一种增强安全网络(RSN)方案纳入其中,并包括了TKIP和AES-OCB两个协议 。802.11i通过使用动态密钥、良好的密钥治理与分发机制以及更强的加密算法,使得在WLAN中的数据帧传输变得更加安全 。
推荐阅读
- 赵且伐燕文言文翻译 赵且伐燕的文言文翻译
- 平导的作用 平导的原理
- 樊胜美和王柏川的结局
- 20.99红包什么意思
- 二石兽并沉焉的焉是什么意思 二石兽并沉焉的焉意思
- 英语的名人名言莎士比亚
- 月相变化的周期
- 临川先生文集的写作特点
- X808的使用报告
- 银耳真的可以替代燕窝吗