文章目录
网络访问控制
概念与特点
- 网络访问控制(NAC)是对 网络进行管理访问 的一个概括性术语。
- NAC 对用户进行认证并决定其权限。 NAC 可以检查终端的安全程度。
组成元素
- 访问请求者(AR) 进行网络访问的节点,简称客户。
- 策略服务器 基于已有策略决定客户权限。
- 网络访问服务器(NAS) 在远程用户访问内网时,充当访问控制点。
下图可以比较好的展示各组成元素:
EAP 协议
EAP 全称可拓展认证协议。它提供了一组 封装了许多认证方法 的协议信息。
简单来说就是提供了 用户认证和授权 的手段。
它的结构展示如图:
- 认证方法举例: EAP-TLS(EAP传输层安全)、EAP-TTLS(EAP隧道传输层安全)、EAP-GPSK(EAP通用预共享密钥)、EAP-IKEv2
图里都有
。 - EAP交换协议 - RADIUS: RADIUS(Remote Authentication Dial In User Service) 是对远端拨号接入用户的认证服务。Radius 服务分客户端和服务器端,通常接入产品支持的是客户端,负责将认证等信息按照协议的格式通过 UDP 包送到服务器,同时对服务器返回的信息解释处理。 Radius 是一个被广泛使用的 AAA 协议 (Authentication认证、Authorization授权、Accounting记费)。
- EAP 消息格式 如图,分四个部分。 (1)Code,1 字节,EAP 数据包类型。Code 的四种取值:1 - Request;2 - Response;3 - Success;4 - Failure。 (2)Identifier,1 字节,ID标识,用于匹配 Request 和 Response; (3)Length,2 字节,EAP 帧的总长度; (4)Data,表示 EAP 数据,长度和内容取决于消息。
EAPOL/802.1x
- 定义 基于 IEEE 802.1x 的认证,又称 EAPOL 认证。
802.1x 协议定义了一种报文封装格式,这种报文称为 EAPOL(EAP overLANs 局域网上的扩展认证协议)报文
- 组成 IEEE 802.1x 认证包括三个部分:请求方、认证方、认证服务器。 其中认证方将网络接入端口分成两个逻辑端口:受控端口和非受控端口。 非受控端口始终对用户开放,只允许用于传送认证信息,认证通过之后,受控端口才会打开,用户才能正常访问网络服务。
先用非受控端口认证,认证成功后从受控端口取得服务
- 报文格式 如图所示。 (1)PAE Ethernet Type,2 字节,表示协议类型,固定为 0x888E, (2)Version,1 字节,表示协议号,本规范使用值为00000001。 (3)Packet type ,1 字节,表示帧类型,有如下几种: Type=0 EAPOL-EAP:认证信息帧,用于承载 EAP 认证信息; Type=1 EAPOL-Start:认证发起帧,由客户端主动发起的; Type=2 EAPOL-Logoff:退出请求帧,主动终止已认证状态; Type=3 EAPOL-Key:密钥信息帧,支持对 EAP 报文的加密。 (4)Packet body length,2 字节,表示 Packet body 长度。 (5)Packet body,0/多字节,如果 Packet type = 0,取相应值。对于其他帧类型,该值为空。
无线网络安全
802.11i(无线局域网安全)服务
(1)认证
(2)访问控制
(3)带消息完整性的机密性
(4)密码算法
802.11i(无线局域网安全)流程
STA:客户机;AP:接入点;AS:认证服务器。
上图为操作阶段图示,具体细分的几个步骤如下:
- 第一阶段:发现 发现阶段的目的是 让客户 STA 和接入点 AP 相互辨认,协商安全功能配置,并为将来使用这些安全功能建立关联。
辨认、协商配置、建立关联。
- 第二阶段:认证 认证阶段使得一个 STA 与分布式系统 (DS) 中的一个认证服务器 (AS) 能够相互认证。只有允许授权 STA 能够使用网络,并且向 STA 保证它连接的是一个合法的网络。
人话:STA 与认证服务器相互认证,认证后授权了的 STA 才能使用网络服务。
- 第三阶段:密钥管理阶段
重点!!
在密钥管理阶段期间,各种加密密钥被生成并分发给各个 STA。 有两种类型的密钥:用于 STA 和 AP 间通信的成对密钥;用于组播通信的群组密钥。 密钥的层次结构: 该阶段具体流程图: 四次握手: (1)AP 给 STA 发送交互号; (2)STA 给 AP 发送交互号,表明自己存活且 PTK 安全新鲜; (3)AP 向 STA 表明认证存活且 PTK 安全新鲜。 (4)STA 应答,确保下方组密钥握手开始。 组密钥握手: (1)AP 向 STA 发送消息 1,内容是一个被加密的 GTK 和内容完整性保护。STA 解密 GTK 并安装。 (2)STA 向 AP 发送消息 2,内容仅仅是应答。AP 安装 GTK。 - 第四阶段:安全数据传输阶段 定义了两个方案以保护数据传输:临时密钥完整性协议(TKIP)、计数器模式CBC-MAC协议(CCMP)。
本文转载自: https://blog.csdn.net/infinity_heaven/article/details/139621055
版权归原作者 幽々 所有, 如有侵权,请联系我们删除。
版权归原作者 幽々 所有, 如有侵权,请联系我们删除。