2.1.3 基于802.1X的认证
802.1X认证是采用IEEE802.1X协议的认证方式的总称。IEEE 802.1X协议由IEEE于2001年6月提出,是一种基于端口的访问控制协议(Port Based Network Access Control Protocol),能够实现对局域网设备的安全认证和授权。802.1X协议的基础在于EAP(Extensible Authentication Protocol)认证协议,即IETF提出的PPP协议的扩展。EAP消息包含在IEEE 802.1X消息中,被称为EAPOL(EAP over LAN)。IEEE 802.1X协议的体系结构包括三个重要的部分,客户端、认证系统和认证服务器。三者之间通过EAP协议进行通信,基于802.1X认证的无线局域网网络框图如图3所示。可知,在一个802.1X的无线局域网认证系统中,认证不是由接入点AP完成,而是由一个专门的中心服务器完成。如果服务器使用Radius协议时,则称为Radius服务器。用户可以通过任何一台PC登陆到网络上,而且很多AP可以共享一个单独的Radius服务器来完成认证,这使得网络管理者能更容易地控制网络接入。
图3 基于802.1X的无线局域网网络框图
802.1X使用EAP协议来完成认证,但EAP本身不是一个认证机制,而是一个通用架构用来传输实际的认证协议。EAP的好处就是当一个新的认证协议发展出来的时候,基础的EAP机制不需要随着改变。目前有超过20种不同的EAP协议,而各种不同形态间的差异在于认证机制与密钥管理的不同。其中比较有名的EAP协议包括:最基本的EAP-MD5;需要公钥基础设施PKI(Public Key Infrastructure)的EAP-TTLS,PEAP,EAP-TLS与EAP-LEAP;基于SIM卡的EAP-AKA与EAP-SIM:基于密码的EAP-SRP和EAP-SPEKE;基于预共享密钥PSK(Pre Shared Key)的EAP-SKE,EAP PSK与EAP-FAST。
2.2 访问控制
访问控制的目标是防止任何资源(如计算资源、通信资源或信息资源)进行非授权的访问,所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证,只是完成了接入无线局域网的第一步,还要获得授权,才能开始访问权限范围内的网络资源,授权主要是通过访问控制机制来实现。访问控制也是一种安全机制,它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。
2.3 加密
加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。加密又可细分为两种类型:数据保密业务和业务流保密业务。数据保密业务使得攻击者想要从某个数据项中推出敏感信息是困难的,而业务量保密业务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困难的。
根据密码算法所使用的加密密钥和解密是否相同,由加密过程能否推导出解密过程(或是由解密过程推导出加密过程),可将密码体制分为单钥密码体制(也叫做对称密码体制、秘密密钥密码体制)和双钥密码体制(也叫做非对称密码体制、公开密钥密码体制)。
2.3.1 单钥密码体制
分组密码是一种常见的单钥体制。其中有两种著名的分组密码:
数据加密标准DES(Data Encryption Standard):DES的出现引起了学术界和企业界的广泛重视,许多厂家很快生产出实现DES算法的产品,但其最大的缺点在于DES的密钥太短,不能抵抗无穷搜索密钥攻击。
高级加密标准AES(Advanced Encryption Standard):为了克服DES的缺点,美国国家标准和技术研究所(NIST)开始寻求高强度、高效率的替代算法,并于1997年推出AES标准。
2.3.2 双钥密码体制
自从双钥密码体制的概念被提出以后,相继提出了许多双钥密码方案。在不断的研究和实践中。有的被攻破了,有的不太实用。目前只有三种类型的双钥系统是有效和安全的,即:基于大整数分解困难性问题的RSA公钥密码;基于有限域的乘法群上的离散对数问题的DSA或E1 Gamal加密体制;基于椭圆曲线离散对数的椭圆曲线密码体制(CCC)。
共4页: 上一页 [1] 2 [3] [4] 下一页
|
