网络与协议安全复习 - 网络访问控制与无线网络安全

网络访问控制

下图可以比较好的展示各组成元素：
在这里插入图片描述

EAP 全称可拓展认证协议。它提供了一组封装了许多认证方法的协议信息。

简单来说就是提供了 用户认证和授权 的手段。

它的结构展示如图：
在这里插入图片描述

认证方法举例： EAP-TLS(EAP传输层安全)、EAP-TTLS(EAP隧道传输层安全)、EAP-GPSK(EAP通用预共享密钥)、EAP-IKEv2 图里都有。
EAP交换协议 - RADIUS： RADIUS(Remote Authentication Dial In User Service) 是对远端拨号接入用户的认证服务。Radius 服务分客户端和服务器端，通常接入产品支持的是客户端，负责将认证等信息按照协议的格式通过 UDP 包送到服务器，同时对服务器返回的信息解释处理。 Radius 是一个被广泛使用的 AAA 协议 (Authentication认证、Authorization授权、Accounting记费)。
EAP 消息格式如图，分四个部分。（1）Code，1 字节，EAP 数据包类型。Code 的四种取值：1 - Request；2 - Response；3 - Success；4 - Failure。（2）Identifier，1 字节，ID标识，用于匹配 Request 和 Response；（3）Length，2 字节，EAP 帧的总长度；（4）Data，表示 EAP 数据，长度和内容取决于消息。

定义基于 IEEE 802.1x 的认证，又称 EAPOL 认证。802.1x 协议定义了一种报文封装格式，这种报文称为 EAPOL（EAP overLANs 局域网上的扩展认证协议）报文
组成 IEEE 802.1x 认证包括三个部分：请求方、认证方、认证服务器。其中认证方将网络接入端口分成两个逻辑端口：受控端口和非受控端口。非受控端口始终对用户开放，只允许用于传送认证信息，认证通过之后，受控端口才会打开，用户才能正常访问网络服务。先用非受控端口认证，认证成功后从受控端口取得服务
报文格式如图所示。（1）PAE Ethernet Type，2 字节，表示协议类型，固定为 0x888E，（2）Version，1 字节，表示协议号，本规范使用值为00000001。（3）Packet type ，1 字节，表示帧类型，有如下几种： Type=0 EAPOL-EAP：认证信息帧，用于承载 EAP 认证信息； Type=1 EAPOL-Start：认证发起帧，由客户端主动发起的； Type=2 EAPOL-Logoff：退出请求帧，主动终止已认证状态； Type=3 EAPOL-Key：密钥信息帧，支持对 EAP 报文的加密。（4）Packet body length，2 字节，表示 Packet body 长度。（5）Packet body，0/多字节，如果 Packet type = 0，取相应值。对于其他帧类型，该值为空。

（1）认证
（2）访问控制
（3）带消息完整性的机密性
（4）密码算法

STA：客户机；AP：接入点；AS：认证服务器。
在这里插入图片描述
上图为操作阶段图示，具体细分的几个步骤如下：

第一阶段：发现发现阶段的目的是让客户 STA 和接入点 AP 相互辨认，协商安全功能配置，并为将来使用这些安全功能建立关联。辨认、协商配置、建立关联。
第二阶段：认证认证阶段使得一个 STA 与分布式系统 (DS) 中的一个认证服务器 (AS) 能够相互认证。只有允许授权 STA 能够使用网络，并且向 STA 保证它连接的是一个合法的网络。人话：STA 与认证服务器相互认证，认证后授权了的 STA 才能使用网络服务。
第三阶段：密钥管理阶段 重点！！ 在密钥管理阶段期间，各种加密密钥被生成并分发给各个 STA。有两种类型的密钥：用于 STA 和 AP 间通信的成对密钥；用于组播通信的群组密钥。密钥的层次结构：该阶段具体流程图：四次握手：（1）AP 给 STA 发送交互号；（2）STA 给 AP 发送交互号，表明自己存活且 PTK 安全新鲜；（3）AP 向 STA 表明认证存活且 PTK 安全新鲜。（4）STA 应答，确保下方组密钥握手开始。组密钥握手：（1）AP 向 STA 发送消息 1，内容是一个被加密的 GTK 和内容完整性保护。STA 解密 GTK 并安装。（2）STA 向 AP 发送消息 2，内容仅仅是应答。AP 安装 GTK。
第四阶段：安全数据传输阶段定义了两个方案以保护数据传输：临时密钥完整性协议(TKIP)、计数器模式CBC-MAC协议(CCMP)。