文章目录
网络访问控制
概念与特点
- 网络访问控制(NAC)是对 网络进行管理访问 的一个概括性术语。
- NAC 对用户进行认证并决定其权限。
NAC 可以检查终端的安全程度。
组成元素
- 访问请求者(AR)
进行网络访问的节点,简称客户。 - 策略服务器
基于已有策略决定客户权限。 - 网络访问服务器(NAS)
在远程用户访问内网时,充当访问控制点。
下图可以比较好的展示各组成元素:
EAP 协议
EAP 全称可拓展认证协议。它提供了一组 封装了许多认证方法 的协议信息。
简单来说就是提供了 用户认证和授权 的手段。
它的结构展示如图:
- 认证方法举例:
EAP-TLS(EAP传输层安全)、EAP-TTLS(EAP隧道传输层安全)、EAP-GPSK(EAP通用预共享密钥)、EAP-IKEv2图里都有
。 - EAP交换协议 - RADIUS:
RADIUS(Remote Authentication Dial In User Service) 是对远端拨号接入用户的认证服务。Radius 服务分客户端和服务器端,通常接入产品支持的是客户端,负责将认证等信息按照协议的格式通过 UDP 包送到服务器,同时对服务器返回的信息解释处理。
Radius 是一个被广泛使用的 AAA 协议 (Authentication认证、Authorization授权、Accounting记费)。 - EAP 消息格式
如图,分四个部分。Code,1 字节,EAP 数据包类型;Identifier,1 字节,ID标识;Length。2 字节,EAP 长度;Data,长度和内容取决于消息。
EAPOL/802.1x
- 定义
基于 IEEE 802.1x 的认证,又称 EAPOL 认证。
IEEE 802.1x 协议、IEEE 802.1x 认证、EAP协议 三者含义相同。
EAPOL 就是基于EAP 的认证。
- 组成
IEEE 802.1x 认证包括三个部分:请求方、认证方、认证服务器。
其中认证方将网络接入端口分成两个逻辑端口:受控端口和非受控端口。
非受控端口始终对用户开放,只允许用于传送认证信息,认证通过之后,受控端口才会打开,用户才能正常访问网络服务。
先用非受控端口认证,认证成功后从受控端口取得服务
- 报文格式
如图所示。
其中 Type 字段固定为 0x888E,目前协议 Version 为 1。
Packet type 有如下几种:
(1)Type=0 EAPOL-EAP:认证信息帧,用于承载 EAP 认证信息;
(2)Type=1 EAPOL-Start:认证发起帧,由客户端主动发起的;
(3)Type=2 EAPOL-Logoff:退出请求帧,主动终止已认证状态;
(4)Type=3 EAPOL-Key:密钥信息帧,支持对 EAP 报文的加密。
无线网络安全
802.11i(无线局域网安全)服务
(1)认证
(2)访问控制
(3)带消息完整性的机密性
(4)密码算法
802.11i(无线局域网安全)流程
上图为操作阶段图示,具体细分的几个步骤如下:
- 第一阶段:发现
发现阶段的目的是 让客户 STA 和接入点 AP 相互辨认,协商安全功能配置,并为将来使用这些安全功能建立关联。
辨认、协商配置、建立关联。
- 第二阶段:认证认证阶段使得一个 STA 与分布式系统 (DS) 中的一个认证服务器 (AS) 能够相互认证。只有允许授权 STA 能够使用网络,并且向 STA 保证它连接的是一个合法的网络。
人话:STA 与认证服务器相互认证,认证后授权了的 STA 才能使用网络服务。
- 第三阶段:密钥管理阶段
重点!!
在密钥管理阶段期间,各种加密密钥被生成并分发给各个 STA。
有两种类型的密钥:用于 STA 和 AP 间通信的成对密钥;用于组播通信的群组密钥。
密钥的层次结构:
该阶段具体流程图:
四次握手:
(1)AP 给 STA 发送交互号;
(2)STA 给 AP 发送交互号,表明自己存活且 PTK 安全新鲜;
(3)AP 向 STA 表明认证存活且 PTK 安全新鲜。
(4)STA 应答,确保下方组密钥握手开始。
组密钥握手:
(1)AP 向 STA 发送消息 1,内容是一个被加密的 GTK 和内容完整性保护。STA 解密 GTK 并安装。
(2)STA 向 AP 发送消息 2,内容仅仅是应答。AP 安装 GTK。 - 第四阶段:安全数据传输阶段
定义了两个方案以保护数据传输:临时密钥完整性协议(TKIP)、计数器模式CBC-MAC协议(CCMP)。