當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)技巧>正文

WLAN中802.1x協(xié)議的安全和應(yīng)用研究

http://m.yibo1263.com　2008/12/11 8:00:49 　來(lái)源:東北IT網(wǎng) 　編輯:葉子

　　擴(kuò)展身份驗(yàn)證協(xié)議EAP是一個(gè)支持身份驗(yàn)證信息通過(guò)多種機(jī)制進(jìn)行通信的協(xié)議。利用802.1x，EAP可以用來(lái)在申請(qǐng)者和身份驗(yàn)證服務(wù)器之間傳遞驗(yàn)證信息。這意味著EAP消息需要通過(guò)LAN介質(zhì)直接進(jìn)行封裝。認(rèn)證者負(fù)責(zé)在申請(qǐng)者和身份驗(yàn)證服務(wù)器之間轉(zhuǎn)遞消息。身份驗(yàn)證服務(wù)器可以是一臺(tái)遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)服務(wù)器。

　　以下舉一個(gè)例子，說(shuō)明對(duì)申請(qǐng)者進(jìn)行身份驗(yàn)證所需經(jīng)過(guò)的步驟：

　　(1)認(rèn)證者發(fā)送一個(gè)EAP - Request/Identity(請(qǐng)求/身份)消息給申請(qǐng)者。

　　(2)申請(qǐng)者發(fā)送一個(gè)EAP - Response/Identity(響應(yīng)/身份)以及它的身份給認(rèn)證者。認(rèn)證者將收到的消息轉(zhuǎn)發(fā)給身份驗(yàn)證服務(wù)器。

　　(3)身份驗(yàn)證服務(wù)器利用一個(gè)包含口令問(wèn)詢的EAP - Request消息通過(guò)認(rèn)證者對(duì)申請(qǐng)者做出響應(yīng)。

　　(4)申請(qǐng)者通過(guò)認(rèn)證者將它對(duì)口令問(wèn)詢的響應(yīng)發(fā)送給身份驗(yàn)證服務(wù)器。

　　(5)如果身份驗(yàn)證通過(guò)，授權(quán)服務(wù)器將通過(guò)認(rèn)證者發(fā)送一個(gè)EAP - Success響應(yīng)給申請(qǐng)者。認(rèn)證者可以使用“Success”(成功)響應(yīng)將受控制端口的狀態(tài)設(shè)置為“已授權(quán)”。

　　6.802.1x與智能卡

　　智能卡通常用在安全性要求比較高的場(chǎng)合，并與認(rèn)證協(xié)議的應(yīng)用相結(jié)合。這首先是由于智能卡能夠保護(hù)并安全的處理敏感數(shù)據(jù);而智能卡能保護(hù)密鑰也是相當(dāng)重要的，一切秘密寓于密鑰之中，為了能達(dá)到密碼所提供的安全服務(wù)，密鑰絕對(duì)不能被泄密，但為安全原因所增加的成本卻不能太多。

　　智能卡自身硬件的資源極為有限。用其實(shí)現(xiàn)安全系統(tǒng)面臨著存儲(chǔ)器容量和計(jì)算能力方面受到的限制。目前市場(chǎng)上的大多數(shù)智能卡有128到1024字節(jié)的RAM，1 k到16 k字節(jié)的EEPROM，6 k到16 k字節(jié)的ROM，CPU通常為8比特的，典型的時(shí)鐘頻率為3.57 MHz。任何存儲(chǔ)或者是處理能力的增強(qiáng)都意味著智能卡成本的大幅度提高。

　　另外智能卡的數(shù)據(jù)傳送是相對(duì)慢的，為提高應(yīng)用的效率，基本的數(shù)據(jù)單元必須要小，這樣可以減少智能卡與卡終端之間的數(shù)據(jù)流量，其傳送時(shí)間的減少則意味著實(shí)用性的增強(qiáng)。

　　將802.1x與智能卡的應(yīng)用相結(jié)合的優(yōu)點(diǎn)是：認(rèn)證更加安全;生成和管理密鑰方便;節(jié)省內(nèi)存空間;節(jié)省帶寬，提高實(shí)用性;節(jié)省處理時(shí)間，而不需要增加硬件的處理等方面。802.1x安全認(rèn)證協(xié)議所帶來(lái)的各優(yōu)點(diǎn)恰好彌補(bǔ)了智能卡硬件的各種局限，不僅能有效地降低智能卡的生產(chǎn)成本，也能提高智能卡的實(shí)用性。

　　7.發(fā)展方向和趨勢(shì)

　　802.11無(wú)線局域網(wǎng)目前的安全標(biāo)準(zhǔn)主要有兩大發(fā)展主流：

　　(1)WPA。802.1x協(xié)議僅僅提供了一種用戶接入認(rèn)證的手段，并簡(jiǎn)單地通過(guò)控制接入端口的開(kāi)/關(guān)狀態(tài)來(lái)實(shí)現(xiàn)，這種簡(jiǎn)化適用于無(wú)線局域網(wǎng)的接入認(rèn)證、點(diǎn)對(duì)點(diǎn)物理或邏輯端口的接入認(rèn)證。WPA(Wi-Fi 受保護(hù)訪問(wèn))是一種新的基于IEEE標(biāo)準(zhǔn)的安全解決方法。Wi-Fi 聯(lián)盟經(jīng)過(guò)努力，于 2002 年 10 月下旬宣布了基于此標(biāo)準(zhǔn)的解決方法，以便開(kāi)發(fā)更加穩(wěn)定的無(wú)線 LAN 安全解決方法來(lái)滿足 802.11的要求。WPA 包括 802.1x 驗(yàn)證和 TKIP 加密(一種更高級(jí)和安全的 WEP 加密形式)，以進(jìn)一步形成和完善IEEE 802.11i標(biāo)準(zhǔn)。

　　(2)WAPI。我國(guó)已于2003年12月1日起強(qiáng)制執(zhí)行了新的無(wú)線局域網(wǎng)安全國(guó)家標(biāo)準(zhǔn)―無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)WAPI(WLAN Authentication and Privacy Infrastructure)。WAPI由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI(WLAN Privacy Infrastructure)組成。WAPI與已有安全機(jī)制相比具有其獨(dú)特優(yōu)點(diǎn)，充分體現(xiàn)了國(guó)家標(biāo)準(zhǔn)的先進(jìn)性。WAPI與已有安全機(jī)制相比在很多方面都進(jìn)行了改進(jìn)。它已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認(rèn)可，分配了用于WAPI協(xié)議的以太網(wǎng)類型字段，這也是我國(guó)目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。WAPI采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公開(kāi)密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書(shū)、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)。

本新聞共4頁(yè),當(dāng)前在第3頁(yè) 1 2 3 4

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费