亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　3.802.1x協(xié)議的認(rèn)證過(guò)程

　　利用IEEE 802.1x可以進(jìn)行身份驗(yàn)證，如果計(jì)算機(jī)要求在不管用戶是否登錄網(wǎng)絡(luò)的情況下都訪問(wèn)網(wǎng)絡(luò)資源，可以指定計(jì)算機(jī)是否嘗試訪問(wèn)該網(wǎng)絡(luò)的身份驗(yàn)證。以下步驟描述了利用接入點(diǎn)AP和RADIUS服務(wù)器對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證的基本方法。如果沒(méi)有有效的身份驗(yàn)證密鑰，AP會(huì)禁止所有的網(wǎng)絡(luò)流量通過(guò)。

　　(1)當(dāng)一個(gè)移動(dòng)節(jié)點(diǎn)(申請(qǐng)者)進(jìn)入一個(gè)無(wú)線AP認(rèn)證者的覆蓋范圍時(shí)，無(wú)線AP會(huì)向移動(dòng)節(jié)點(diǎn)發(fā)出一個(gè)問(wèn)詢。

　　(2)在受到來(lái)自AP的問(wèn)詢之后，移動(dòng)節(jié)點(diǎn)做出響應(yīng)，告知自己的身份。

　　(3)AP將移動(dòng)節(jié)點(diǎn)的身份轉(zhuǎn)發(fā)給RADIUS身份驗(yàn)證服務(wù)器，以便啟動(dòng)身份驗(yàn)證服務(wù)。

　　(4)RADIUS服務(wù)器請(qǐng)求移動(dòng)節(jié)點(diǎn)發(fā)送它的憑據(jù)，并且指定確認(rèn)移動(dòng)節(jié)點(diǎn)身份所需憑據(jù)的類型。

　　(5)移動(dòng)節(jié)點(diǎn)將它的憑據(jù)發(fā)送給RADIUS。

　　(6)在對(duì)移動(dòng)節(jié)點(diǎn)憑據(jù)的有效性進(jìn)行了確認(rèn)之后，RADIUS服務(wù)器將身份驗(yàn)證密鑰發(fā)送給AP。該身份驗(yàn)證密鑰將被加密，只有AP能夠讀出該密鑰。(在移動(dòng)節(jié)點(diǎn)和RADIUS服務(wù)器之間傳遞的請(qǐng)求通過(guò)AP的“非控制”端口進(jìn)行傳遞，因?yàn)橐苿?dòng)節(jié)點(diǎn)不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動(dòng)節(jié)點(diǎn)通過(guò)“受控制”端口傳送數(shù)據(jù)，因?yàn)樗�還沒(méi)有經(jīng)過(guò)身份驗(yàn)證。)

　　(7)AP使用從RADIUS服務(wù)器處獲得的身份驗(yàn)證密鑰保護(hù)移動(dòng)節(jié)點(diǎn)數(shù)據(jù)的安全傳輸--特定于移動(dòng)節(jié)點(diǎn)的單播會(huì)話密鑰以及多播/全局身份驗(yàn)證密鑰。

　　全局身份驗(yàn)證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個(gè)加密密鑰，這也是身份驗(yàn)證過(guò)程的一個(gè)組成部分。傳輸層安全TLS(Transport Level Security)協(xié)議提供了兩點(diǎn)間的相互身份驗(yàn)證、完整性保護(hù)、密鑰對(duì)協(xié)商以及密鑰交換。我們可以使用EAP-TLS在EAP內(nèi)部提供TLS機(jī)制。

　　移動(dòng)節(jié)點(diǎn)可被要求周期性地重新認(rèn)證以保持一定的安全級(jí)。

　　4.802.1x協(xié)議的特點(diǎn)

　　IEEE 802.1x具有以下主要優(yōu)點(diǎn)：

　　(1)實(shí)現(xiàn)簡(jiǎn)單。IEEE 802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。

　　(2)認(rèn)證和業(yè)務(wù)數(shù)據(jù)分離。IEEE 802.1x的認(rèn)證體系結(jié)構(gòu)中采用了“受控端口”和“非受控端口”的邏輯功能，從而可以實(shí)現(xiàn)業(yè)務(wù)與認(rèn)證的分離。用戶通過(guò)認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒(méi)有特殊要求，業(yè)務(wù)可以很靈活，尤其在開展寬帶組播等方面的業(yè)務(wù)有很大的優(yōu)勢(shì)，所有業(yè)務(wù)都不受認(rèn)證方式限制。

　　IEEE 802.1x同時(shí)具有以下不足

　　802.1x認(rèn)證是需要網(wǎng)絡(luò)服務(wù)的系統(tǒng)和網(wǎng)絡(luò)之間的會(huì)話，這一會(huì)話使用IETF的EAP(Extensible Authentication Protocol)認(rèn)證協(xié)議。協(xié)議描述了認(rèn)證機(jī)制的體系結(jié)構(gòu)框架使得能夠在802.11實(shí)體之間發(fā)送EAP包，并為在AP和工作站間的高層認(rèn)證協(xié)議建立了必要條件。對(duì)MAC地址的認(rèn)證對(duì)802.1x來(lái)說(shuō)是最基本的，如果沒(méi)有高層的每包認(rèn)證機(jī)制，認(rèn)證端口沒(méi)有辦法標(biāo)識(shí)網(wǎng)絡(luò)申請(qǐng)者或其包。而且實(shí)驗(yàn)證明802.1x由于其設(shè)計(jì)缺陷其安全性已經(jīng)受到威脅，常見的攻擊有中間人MIM攻擊和會(huì)話攻擊。

　　所以802.11與802.1x的簡(jiǎn)單結(jié)合并不能提供健壯的安全無(wú)線環(huán)境，必須有高層的清晰的交互認(rèn)證協(xié)議來(lái)加強(qiáng)。幸運(yùn)的是，802.1x為實(shí)現(xiàn)高層認(rèn)證提供了基本架構(gòu)。

　　5.802.1x認(rèn)證協(xié)議的應(yīng)用

　　IEEE 802.1x 使用標(biāo)準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)密鑰管理和記帳。802.1x身份驗(yàn)證可以增強(qiáng)安全性。IEEE 802.1x身份驗(yàn)證提供對(duì)802.11無(wú)線網(wǎng)絡(luò)和對(duì)有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗(yàn)證的訪問(wèn)權(quán)限。IEEE 802.1x 通過(guò)提供用戶和計(jì)算機(jī)標(biāo)識(shí)、集中的身份驗(yàn)證以及動(dòng)態(tài)密鑰管理，可將無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)減小到最低程度。在此執(zhí)行下，作為 RADIUS 客戶端配置的無(wú)線接入點(diǎn)將連接請(qǐng)求和記帳郵件發(fā)送到中央 RADIUS 服務(wù)器。中央 RADIUS 服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求，根據(jù)所選身份驗(yàn)證方法，該客戶端獲得身份驗(yàn)證，并且為會(huì)話生成唯一密鑰。IEEE 802.1x為可擴(kuò)展的身份驗(yàn)證協(xié)議 EAP 安全類型提供的支持使您能夠使用諸如智能卡、證書以及 Message Digest 5 (MD5) 算法這樣的身份驗(yàn)證方法。