80211(Wi-Fi)认证与加密介绍

802.11(Wi-Fi)网络的认证方式用于验证连接到网络的设备身份,并确保只有经过身份验证的设备才能访问网络。

以下是一些常见的802.11认证方式:
  1. 开放系统认证(Open System Authentication):这是最基本的认证方式,它允许任何设备连接到Wi-Fi网络,无需进行身份验证。数据传输可以使用其他的加密机制,如WEP、WPA或WPA2。

  2. 共享密钥认证(Shared Key Authentication):这种认证方式要求设备提供与访问点(AP)共享的预先配置的密钥进行身份验证。它使用基于WEP(已不安全)或WPA/WPA2的加密算法来保护数据传输的机密性。PS:这里插入一个概念名词叫 预共享密钥认证(Pre-Shared Key,简称PSK),这个无线接入点(通常是路由器)和客户端设备之间共享一个预先设定的密钥(即预共享密钥)。这个密钥在网络设置中配置,并在客户端设备上输入以连接到Wi-Fi网络。

  3. Wi-Fi 保护设置(Wi-Fi Protected Setup,WPS):WPS是一种简化的认证方式,旨在使设备的配置更加简单和方便。它使用PIN码、按键(Push-Button)或NFC(Near Field Communication)等方法进行设备之间的快速和自动身份验证。

  4. 802.1X/EAP认证:这是一种基于网络中心认证的认证方式,通常在企业网络中使用。它要求设备提供有效的用户凭据(如用户名和密码)或数字证书等进行身份验证,并使用扩展认证协议(EAP)与认证服务器进行通信。

  5. 客户端隔离(Client Isolation):这是一种网络配置选项,限制了连接到同一无线网络的客户端之间的通信。它可确保设备只能与访问点进行通信,而无法直接与其他客户端进行通信,从而增加网络的安全性和隐私性。

 除了上述认证方式外,还有其他一些专用的认证方式和安全协议,如EAP-TLS(基于证书的EAP认证)、EAP-TTLS(隧道传输层安全的EAP认证)和PEAP(保护的EAP认证协议)等。

这里主要看下 802.1X 认证方式:

 802.1X是一种网络访问控制(Network Access Control)协议,旨在提供对有线和无线网络的认证和授权机制。它是IEEE 802.1标准系列中的一部分,为网络中的设备提供了更强的身份验证和安全性。802.1X的主要目标是防止未经授权的设备接入网络,并确保只有经过身份验证的设备能够访问网络资源。它提供了一种基于端口的网络访问控制(Port-Based Network Access Control),通过在物理端口或逻辑端口上进行认证和授权,限制了设备与网络之间的通信。

以下是802.1X的主要参与方和流程:

  1. Supplicant(请求方):Supplicant是指需要接入网络的设备,如计算机、智能手机或其他网络终端设备。Supplicant在接入网络时向Authenticator发送认证请求,并提供相关的身份验证信息。

  2. Authenticator(认证服务器):Authenticator是接入网络的设备(如交换机、无线访问点),它负责接收Supplicant的认证请求,并将其转发给认证服务器进行身份验证。Authenticator还负责与认证服务器之间的通信,以协调认证流程。

  3. Authentication Server(认证服务器):Authentication Server是网络中的中心认证服务器,负责对Supplicant提供的身份验证信息进行验证,并返回认证结果。认证服务器通常使用 RADIUS(Remote Authentication Dial-In User Service)协议与 Authenticator 进行通信。

基本的802.1X认证流程如下:

  1. Supplicant与Authenticator建立物理连接或无线连接。

  2. Supplicant发送EAPOL(EAP over LAN)Start帧给Authenticator,表示启动认证流程。

  3. Authenticator将Supplicant的请求转发给认证服务器。

  4. 认证服务器使用EAP(Extensible Authentication Protocol)协议与Supplicant进行身份验证。EAP支持多种身份验证方法,如EAP-TLS、EAP-PEAP、EAP-TTLS等。

  5. 认证服务器将验证结果发送给Authenticator。

  6. Authenticator根据认证结果决定是否允许Supplicant接入网络。如果认证成功,Authenticator会开放端口,允许Supplicant与网络进行通信;如果认证失败,Authenticator会关闭端口,阻止Supplicant的访问。

那现在Android Wi-Fi 是采用什么方式呢?Android Wi-Fi 一般根据网络的需求和配置选择适当的认证方式,常见认证方式有:
  1. WPA/WPA2 PSK(Pre-Shared Key):使用预共享密钥进行认证,客户端设备与无线接入点共享相同的密钥。

  2. WPA/WPA2 Enterprise(802.1X/EAP):使用基于身份验证服务器的认证方式,客户端设备通过EAP(Extensible Authentication Protocol)与认证服务器进行交互完成身份验证。

  3. Open:无需进行身份验证,任何设备都可以连接到网络,但数据传输通常会使用加密算法(如TKIP或CCMP)进行保护。

  4. WEP(Wired Equivalent Privacy):一种较旧的加密方式,使用固定的密钥进行认证和加密。WEP已经不推荐使用,因为它的安全性较弱。

  5. OWE(Opportunistic Wireless Encryption):一种无需预共享密钥的加密方式,提供了一定的安全性,但不需要进行复杂的认证过程,OWE的设计目标是为了解决公共或开放的Wi-Fi网络中缺乏加密保护的问题。
      OWE的工作原理如下:
       认证:在OWE网络中,访问点(AP)生成一个公共随机数作为网络的"不对称密钥对"中的私有密钥,并将其发送给客户端设备。客户端使用该私有密钥生成一个临时的公共密钥。
       密钥交换:客户端通过Diffie-Hellman密钥交换协议,将临时公共密钥与AP的公共密钥进行组合,生成一个对称密钥,用于后续的数据加密和解密。
       数据加密:客户端和AP使用生成的对称密钥对通信进行加密和解密,以保护数据的机密性。

  6. Enhanced Open:一种结合了OWE和802.1X的加密方式,属于WPA3(Wi-Fi Protected Access 3)协议的一部分。它是在传统的开放系统认证(Open System Authentication)基础上进行了增强,提供了更强的安全性。
      Enhanced Open的特点和工作原理如下:
       轻量级身份验证:与传统的开放系统认证不同,Enhanced Open要求客户端设备在连接到访问点(AP)之前进行身份验证。客户端会向AP发送一个带有固定承载(Fixed Payload)的认证请求。
       固定承载:固定承载是一个预先定义的、由AP和客户端共享的密钥材料。它在连接过程中用于加密和验证数据,提供了数据完整性和保密性。
       密钥派生:在认证过程中,AP和客户端使用固定承载派生会话密钥,用于加密和解密数据。这样,即使在无需密码的开放网络中,数据传输也能得到保护。

   Enhanced Open的优势包括:
   基于公共密钥加密:Enhanced Open使用公共密钥加密机制,提供了数据的机密性和完整性,防止未经授权的设备窃听和篡改网络通信。
   快速连接:Enhanced Open简化了连接过程,不需要繁琐的身份验证步骤,使设备能够快速连接到Wi-Fi网络。
   兼容性:Enhanced Open与现有的Wi-Fi标准兼容,可以在支持WPA3的设备上进行使用。

  1. WPA3(Wi-Fi Protected Access 3)的两种主要的认证方式,分别是个人模式和企业模式
      个人模式(Personal Mode):
        Simultaneous Authentication of Equals (SAE):也称为Dragonfly Key Exchange,使用密码学技术来防御离线字典攻击。SAE取代了WPA2中的Pre-Shared Key(PSK)模式,提供更强的安全性和防护。
      企业模式(Enterprise Mode):
       EAP-TLS(Extensible Authentication Protocol-Transport Layer Security):使用证书来进行客户端和认证服务器之间的相互身份验证,提供了更高级别的安全性。
       PEAP(Protected Extensible Authentication Protocol):在EAP-TLS基础上构建,通过在认证服务器和客户端之间建立一个安全的隧道来保护用户的身份验证过程。
       EAP-TTLS(EAP-Tunneled Transport Layer Security):通过建立一个加密的隧道来保护用户身份验证,类似于PEAP,但提供了更大的灵活性。
       EAP-SIM(EAP-Subscriber Identity Module):在移动网络中使用SIM卡来进行认证,通常用于手机和移动设备的无线认证。

总结下就可以拆分成:认证 + 数据传输 两个步骤。认证就是使用何种认证,比如,开放系统、PSK、还是802.1X等,数据传输就是采用何种加密方式。这里说道加密方式有涉及到一个知识点,加密算法,有兴趣的可以看看802.11i中规定,举个例子:
  TKIP(Temporal Key Integrity Protocol)和CCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)是两种不同的加密算法,它们与现在的几种加密方式有以下关系:

  1. WPA(Wi-Fi Protected Access):WPA引入了TKIP作为替代WEP的加密算法。WPA使用了TKIP进行数据加密,并添加了消息完整性检查码(MIC)以增强数据完整性。
  2. WPA2(Wi-Fi Protected Access 2):WPA2取代了WPA。而WPA2引入了更强大的加密算法CCMP,取代了WPA中的TKIP,并提供更高级的数据保护。
  3. WPA3(Wi-Fi Protected Access 3):WPA3是WPA2的最新版本。WPA3引入了更强大的加密算法,如Simultaneous Authentication of Equals (SAE),提供更强的密码学保护。

你可能感兴趣的:(802.11,网络)