无线安全性:可扩展的身份验证协议

无线安全使用一系列可扩展身份验证协议(EAP)，用于客户端(请求方)和身份验证方的相互身份验证;在大多数情况下，验证器将是一个无线接入点(AP)，有或没有验证服务器。EAP是一个身份验证框架，它指定了安全密钥分发和使用的方法。目前大约有40种EAP方法在使用(见图表)。每种方法都使用不同程度的安全性，并增加了安全特性，如动态密钥分发、加密隧道、密钥旋转、数字证书和用户(而不是设备)身份验证。值得注意的是，EAP认证方法几乎只用于拥有数百或数千个客户端的企业级网络;小型办公室和家庭办公室(SOHO)网络很少需要这种级别的安全。

EAP有两个主要特性:它提供隔离的消息交换，这与第二个特性(可扩展性)相关联。EAP是一个通用的第2层安全框架，其中可以使用许多不同的身份验证机制。这些认证机制是根据请求方和验证方之间的协商动态选择的;身份验证机制协商和选择与对数据执行的任何其他操作(如网络协议封装)分开进行。

无线请求和应答

所有类型的EAP都使用三方模型:请求访问的一方(请求者);请求验证的一方(验证者);认证服务器AS (authentication server)，其中包含授权用户数据库并颁发权限。在无线应用中，最常见的请求者是希望访问网络的移动设备。验证者通常是一个无线接入点(AP)。AS是一台专用服务器，通常称为网络访问服务器。必须通用的名称是远程接入拨号用户服务(RADIUS)。在许多安装中，一个设备(通常是无线AP)处理验证器和AS任务。验证方控制两个虚拟端口:受控端口和非受控端口。请求者和验证者之间的初始交换发生在不受控制的端口上; upon successful authentication, the authenticator opens the controlled port to the supplicant.

EAP的主要目的是对请求方进行身份验证并授权其使用网络资源。基本的EAP框架如下:请求方在开放系统认证后请求访问。随后在不受控制的端口上交换EAP消息;认证成功后，允许请求方访问被控制端口。随后，生成加密密钥并通过安全通道(受控端口)分发;实现了安全通信。所有EAP机制都遵循相同的基本身份交换、验证和密钥分发协议;有些机制只验证一方。

EAP消息封装在EAP Over LAN (EAPOL)帧中。有五种类型的EAPOL框架:

• EAP-Packet:最常见的类型，用于请求/响应帧交换
• EAP - start:由请求者用于启动EAP流程;可选
• EAP - logoff:终止EAP会话，关闭安全端口
• EAPOL-Key:用于4次握手时交换动态加密密钥
• eapol - encapsulation - alert:用于向虚拟端口发送警报。

通用的请求方-验证方-验证服务器EAP流程如图1所示:

通用的可扩展身份验证协议

以下是EAP最常见的实现:

EAP-TLS:可扩展认证协议-传输层安全。这种方法使用相互认证和预先颁发的数字证书。请求方和验证方交换数字证书以证明各自的身份。证书颁发机构或证书服务器用于为每个实体创建和存储证书信息。这种方法使用公钥加密方法，这将在下一篇博客中讨论。实现EAP-TLS需要额外的成本和管理开销，但是提供了非常高的安全性和完整性。

EAP-TTLS: eap隧道TLS。这种方法提供了EAP-TLS的所有优点，但不需要使用来自请求者的数字证书。验证者必须通过提供数字证书(即验证者的“公共”密钥)来证明其身份。在公钥加密中，有两个密钥:公钥和私钥。使用此密钥，请求方可以加密与验证方的通信，在两者之间形成安全的虚拟“隧道”。一旦建立了隧道，请求方可以使用几种方法进行身份验证，可以是EAP，也可以是基于密码的。可以使用客户端证书，但不是必需的。取消客户端证书可以大大降低所需的成本和开销。

PEAP:受保护的EAP。PEAP类似于EAP-TLS，它创建一个加密的TLS隧道，通过该隧道验证请求者的身份。PEAP可能是用于WLAN安全的最常用和最受广泛支持的EAP方法。PEAP将其他EAP方法封装在TLS隧道中——“EAP中的EAP”。PEAP有三个主要版本:

• EAP-PEAPv0 (MSCHAPv2):使用Microsoft挑战握手身份验证协议。非常常用，使用用户名和密码进行身份验证;不使用或不支持客户端证书。
• EAP-PEAPv0 (EAP-TLS):也用作如上所示的独立身份验证方法;使用加密隧道验证客户端证书。未使用用户名和密码。
• EAP-PEAPV1 (EAP-GTC): eap通用令牌卡。由Cisco开发，提供与现有安全令牌系统(如RSA SecurID)的互操作性。这种迭代还允许在安全隧道中使用明文用户名和密码。

LEAP:轻量级EAP。LEAP由思科公司开发，易于部署，但它是专有的，主要用于基于思科的网络。它支持不支持EAP的请求程序。LEAP支持RADIUS、相互身份验证和广泛的EAP机制。虽然验证方需要证书来建立安全隧道，但可以通过多种方法来完成请求方身份验证，包括证书和基于密码的方案。身份验证器身份验证不是强制性的，这使得网络容易受到冒充身份验证服务器的非法接入点的攻击。LEAP被认为是一种弱认证方法。

EAP-MD5: eap -消息摘要5可能是对wlan最简单的实现，也是最不安全的机制，并且在很大程度上已经被抛弃了。MD5通过验证方向请求方发送一个由随机字符串组成的挑战来进行验证。请求者通过将质询、随机字符串和经过“散列”处理的密码发送给验证者进行响应。MD5只对请求方进行验证;这使得MD5容易受到流氓接入点和“中间人”攻击。MD5被认为是一种较弱的认证方法，因此不被使用。

EAP-FAST:通过安全隧道进行eap灵活的身份验证。它最初是思科专有的身份验证方法，是作为LEAP的替代品开发的。该方法与上面提到的其他方法一样，支持相互身份验证和隧道身份验证。它还在身份验证过程中使用非对称和对称加密方法。另一个区别是EAP-FAST不使用数字证书来创建加密隧道;它使用一个受保护的访问凭证(PAC)。PAC是在身份验证服务器上开发并安装在请求程序上的共享秘密。PAC源自主加密密钥，对于每个请求者身份都是唯一的。如果实现得当，EAP-FAST非常安全，但在某些情况下，它容易受到中间人攻击。

其中包括一个列出各种类型的EAP的图表。它包含了足够的信息，可以让感兴趣的读者找到关于这些机制的更多信息。

- Daniel E. Capano，康涅狄格州斯坦福德多元化技术服务公司的所有者和总裁，是认证无线网络管理员(CWNA)。dcapano@sbcglobal.net．由CFE媒体制作编辑克里斯·瓦夫拉编辑，控制工程，cvavra@cfemedia.com．

网上临时演员

看到其他无线教程卡帕诺对以下问题的看法:

无线安全:基于端口的安全，EAP, AKM

无线安全:IEEE 802.11和CCMP/AES

无线安全传统，背景

查看无线网络广播，有些是PDH学分。

控制工程有一个无线页面．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。