无线产品的多种无线加密方式及其区别

来源:互联网 发布:大道寺知世和知世公主 编辑:程序博客网 时间:2024/06/06 01:12

无线产品的多种无线加密方式及其区别

0 前言

    无线网络的安全性由认证和加密来保证。本文主要讨论的是无线加密,加密和认证的关系十分密切,文中出现相关无线认证方式的介绍,因此各位要注意区分这两个概念:
    认证允许只有被许可的用户才能连接到无线网络;
    加密的目的是提供数据的保密性和完整性(数据在传输过程中不会被篡改)。
    我司的无线产品使用的操作系统目前主要使用OpenWrt和RGOS两大类,两种操作系统的加密认证方式悬殊,下面通过console介绍下两种操作系统的所支持的加密(不代表所有的,示例版本而已)方式:
(a) Openwrt
1 OpenWrt支持的加密方式
(b) RGOS。进入WLAN的无线安全配置模式(WLANSEC配置模式)
    输入“?”查看所支持的安全配置项:
2 RGOS支持的加密方式
    从上面图中,有些关键缩写字不是那么容易明了。想了解锐捷无线产品的加密方式,必须习惯这些晦涩难懂的3~4字母组成的缩略词,曾经有人统计过,802.11所使用的缩略术语数量创网络词汇历史最高。无线局域网的认证(Authentication)和加密(Encryption)方式有Open System,WEP,WPA,WPA2,MAC ACL,Web Redirection几种。
    下面分别按照图中术语出现的先后,RSN、WEP、WAPI、WPA的顺序介绍各种加密方式的异同。若需了解相关历史,可以参考网络文章,另外,本文大部分的内容也是摘抄于网络。

1 有线等效保护协议(Wired Equivalent Privacy - WEP)
    有线等效保护协议。无线接入点设定有WEP密钥(WEP Key),无线网卡在要接入到无线网络是必须要设定相同的WEP Key,否则无法连接到无线网络。WEP可以用在认证或是加密,例如认证使用Open System,而加密使用WEP;或者认证和加密都使用WEP。WEP加密现在已经有软件可以轻易破解,因此不是很安全。
    对于开放系统认证,在设置时也可以启用WEP,此时,WEP用于在传输数据时加密,对认证没有任何作用。对于共享密钥认证,必须启用WEP,WEP不仅用于认证,也用于在传输数据时加密。WEP使用对称加密算法(即发送方和接收方的密钥是一致的),WEP使用40位或104位密钥和24位初始化向量(Initialization Vector – IV,随机数)来加密数据。由于WEP有一些严重缺陷,如初始化向量的范围有限,而且是使用明文传送……,802.11使用802.1X来进行认证、授权和密钥管理,另外,IEEE开始制订802.11i标准,用于增强无线网络的安全性。同时,Wi-Fi联盟与IEEE一起开发了Wi-Fi受保护的访问(Wi-Fi Protected Access – WPA)以解决WEP的缺陷

2 WPA及WPA2
    不同于WEP,WPA同时提供认证(基于802.1X可扩展认证协议– Extensible Authentiation Protocl - EAP的认证)和加密(临时密钥完整性协议– Temporal Key Integrity Protocol –TKIP)。可扩展认证协议(EAP)是一个认证框架,而不是一种特定的认证机制,EAP提供一些公共的功能,并且允许协商认证机制(EAP方法)。EAP规定如何传输和使用由EAP方法产生的密钥材料(如密钥、证书等等)和参数。锐捷无线产品的WPA认证模式下的加密方式,有AES和TKIP两种加密方式。还是进入正题:

2.1 WPA的加密 TKIP
    临时密钥完整性协议(TemporalKey Integrity Protocol  TKIP)也是对称加密方法,使用RC4算法,TKIP使用128位临时密钥和48位初始化向量(IV)。总结:
    WPA的优点:
        (1)WPA利用802.1X认证提供强力的访问控制;
        (2)TKIP使用动态密钥
    WPA缺点:
        (1)由于TKIP使用RC4算法,安全隐患
        (2)复杂的认证和加密导致性能降低

2.2 WPA2的加密 - AES-CCMP
    WPA2顾名思义就是WPA的加强版,也就是IEEE 802.11i的最终方案。同样有家用的PSK版本(PSK的概念后面会介绍)与企业的IEEE 802.1X版本。WPA2与WPA的差別在于,它使用更安全的加密技术AES (Advanced Encryption Standard),因此比WPA更难被破解、更安全。
    802.11i定义了临时密钥完整性协议(TKIP)、计数器模式密码块链消息认证码协议(Counter Mode withCipher Block Chaining Message Authentication Code Protocol – CCMP)、Wireless Robust AuthenticationProtocol – WRAP三种加密方式。另外还有一种AES-CCMP加密方式,AES表示Advanced encryption standard(高级加密标准),使用AES加密算法代替过时的DES(DataEncryption Standard – 数据加密标准)加密算法能够提供更高的安全性,但由于AES-CCMP需要硬件,提高了成本。

3 WAPI
    无线局域网认证和保密基础结构(WLAN Authentication and Privacy Infrastructure)是我国提出的无线局域网安全标准。WAPI包括无线局域网认证基础结构(WLAN AuthenticationInfrastructure - WAI)和无线局域网保密基础结构(WLAN PrivacyInfrastructure - WPI)。WAI提供认证功能,WPI提供加密功能。

4 MAC ACL (Access Control List)
    MACACL只是一种认证方式。在无线AP输入允许被连入的无线网卡MAC位址,不在此清单的无线网卡无法连入无线网络。

5 Open System
    完全不认证也不加密,任何拥有无线网卡的人都可以连到无线接入点。

6 常见的认证和加密方式组合
    WPA是一个中间过渡标准,最终的安全解决标准是802.11i,WAP的认证方式是802.1X;加密方法是WEP、TKIP;WAP2的认证方式是802.1X;加密方法是WEP、TKIP和CCMP。即:
    WPA=802.11i草案3=802.1X/EAP+WEP(可选)/TKIP
    WPA2=802.11i=802.1X/EAP+WEP(可选)/TKIP/CCMP(AES-CCMP)
    WAPI是中国无线局域网强制性标准中的安全机制,已获得ISO认可,将成为国际标准。实际上WAPI和802.11i物理层是一样的,只是协议和MAC层不一样,因此很容易在一个芯片上支持两种标准。
    WPA、WPA2、802.11i的802.1X/EAP认证都要使用authentication server(认证服务器),对于大型企业环境来说,构建一台认证服务器没有问题,但对于家庭环境和小型办公室环境来说,构建一台认证服务器不太现实。为了解决这个问题,802.11i提供了一种简单的认证方法:PSK
    预共享密钥(PSK)需要事先在无线访问点(AP)和所有要访问无线网络的电脑上手动输入一相同的passphrase(这个词我不知道如何翻译,有些地方翻译为密码/口令,我觉得不太恰当),使用一种算法将passphrase转换为认证时使用的Pairwise Master Key(PMK),另外,在验证过程中,还要产生用于加密的动态密钥。这种进行认证(不使用认证服务器)/加密的方法称为WPA/WPA2-Personal或WPA/WPA2 Pre-Shared Key或WPA/WPA2-PSK;使用认证服务器进行认证/加密的方法称为WPA/WPA2-Enterprise。下面以文本图的形式对常见的不同认证方式做个总结。
    方式1:
        STA(如手机) ----------------------------- AP(事先设置密码)
        Supplicant                                  Authenticator
    方式2:
        STA(如手机)--------------AP ------------ 服务器 (由服务器进行认证)
        Supplicant            Authenticator        Authentication Server

7 结语
    以上关于锐捷无线产品加密技术的简单解析,还有很多具体细节的问题没有涉及到。还请各位工程师从网络上获取相关文档并研究。经常访问锐捷社区无线版本的网页,http://bbs.ruijie.com.cn/?fromuser=unrecoverable找到最新的信息和资料。也非常欢迎您加我好友一起切磋技术,同时也欢迎各位在论坛上提问。
0 0
原创粉丝点击