![""]("http://network.51cto.com/files/uploadimg/20070521/1312392.jpg") 498)this.style.width=498;" border=0> |
| 圖3 基于802.1X的無(wú)線局域網(wǎng)網(wǎng)絡(luò)框圖 |
802.1X使用EAP協(xié)議來(lái)完成認(rèn)證,但EAP本身不是一個(gè)認(rèn)證機(jī)制,而是一個(gè)通用架構(gòu)用來(lái)傳輸實(shí)際的認(rèn)證協(xié)議。EAP的好處就是當(dāng)一個(gè)新的認(rèn)證協(xié)議發(fā)展出來(lái)的時(shí)候,基礎(chǔ)的EAP機(jī)制不需要隨著改變。目前有超過(guò)20種不同的EAP協(xié)議,而各種不同形態(tài)間的差異在于認(rèn)證機(jī)制與密鑰管理的不同。其中比較有名的EAP協(xié)議包括:最基本的EAP-MD5;需要公鑰基礎(chǔ)設(shè)施PKI(PublicKeyInfrastructure)的EAP-TTLS,PEAP,EAP-TLS與EAP-LEAP;基于SIM卡的EAP-AKA與EAP-SIM:基于密碼的EAP-SRP和EAP-SPEKE;基于預(yù)共享密鑰PSK(PreShared Key)的EAP-SKE,EAP PSK與EAP-FAST。
2.2訪問(wèn)控制
訪問(wèn)控制的目標(biāo)是防止任何資源(如計(jì)算資源、通信資源或信息資源)進(jìn)行非授權(quán)的訪問(wèn),所謂非授權(quán)訪問(wèn)包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過(guò)認(rèn)證,只是完成了接入無(wú)線局域網(wǎng)的第一步,還要獲得授權(quán),才能開始訪問(wèn)權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源,授權(quán)主要是通過(guò)訪問(wèn)控制機(jī)制來(lái)實(shí)現(xiàn)。訪問(wèn)控制也是一種安全機(jī)制,它通過(guò)訪問(wèn)BSSID、MAC地址過(guò)濾、控制列表ACL等技術(shù)實(shí)現(xiàn)對(duì)用戶訪問(wèn)網(wǎng)絡(luò)資源的限制。訪問(wèn)控制可以基于下列屬性進(jìn)行:源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時(shí)長(zhǎng)等。
2.3加密
加密就是保護(hù)信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實(shí)體。加密又可細(xì)分為兩種類型:數(shù)據(jù)保密業(yè)務(wù)和業(yè)務(wù)流保密業(yè)務(wù)。數(shù)據(jù)保密業(yè)務(wù)使得攻擊者想要從某個(gè)數(shù)據(jù)項(xiàng)中推出敏感信息是困難的,而業(yè)務(wù)量保密業(yè)務(wù)使得攻擊者想要通過(guò)觀察網(wǎng)絡(luò)的業(yè)務(wù)流來(lái)獲得敏感信息也是十分困難的。
根據(jù)密碼算法所使用的加密密鑰和解密是否相同,由加密過(guò)程能否推導(dǎo)出解密過(guò)程(或是由解密過(guò)程推導(dǎo)出加密過(guò)程),可將密碼體制分為單鑰密碼體制(也叫做對(duì)稱密碼體制、秘密密鑰密碼體制)和雙鑰密碼體制(也叫做非對(duì)稱密碼體制、公開密鑰密碼體制)。
2.3.1單鑰密碼體制
分組密碼是一種常見的單鑰體制。其中有兩種著名的分組密碼:
數(shù)據(jù)加密標(biāo)準(zhǔn)DES(DataEncryptionStandard):DES的出現(xiàn)引起了學(xué)術(shù)界和企業(yè)界的廣泛重視,許多廠家很快生產(chǎn)出實(shí)現(xiàn)DES算法的產(chǎn)品,但其最大的缺點(diǎn)在于DES的密鑰太短,不能抵抗無(wú)窮搜索密鑰攻擊。
高級(jí)加密標(biāo)準(zhǔn)AES(AdvancedEncryptionStandard):為了克服DES的缺點(diǎn),美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)開始尋求高強(qiáng)度、高效率的替代算法,并于1997年推出AES標(biāo)準(zhǔn)。
2.3.2雙鑰密碼體制
自從雙鑰密碼體制的概念被提出以后,相繼提出了許多雙鑰密碼方案。在不斷的研究和實(shí)踐中。有的被攻破了,有的不太實(shí)用。目前只有三種類型的雙鑰系統(tǒng)是有效和安全的,即:基于大整數(shù)分解困難性問(wèn)題的RSA公鑰密碼;基于有限域的乘法群上的離散對(duì)數(shù)問(wèn)題的DSA或E1Gamal加密體制;基于橢圓曲線離散對(duì)數(shù)的橢圓曲線密碼體制(CCC)。
2.4數(shù)據(jù)完整性
所謂數(shù)據(jù)完整性,是使接收方能夠確切地判斷所接收到的消息有沒(méi)有在傳輸過(guò)程中遭到插入、篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務(wù)不僅能發(fā)現(xiàn)完整性是否遭到破壞,還能采取某種措施從完整性中恢復(fù)出來(lái)。
2.5不可否認(rèn)性
不可否認(rèn)性是防止發(fā)送方或接收方抵賴所傳輸?shù)南⒌囊环N安全服務(wù),也就是說(shuō),當(dāng)接收方接收到一條消息后,能夠提供足夠的證據(jù)向第三方證明這條消息的確來(lái)自某個(gè)發(fā)送方,而使得發(fā)送方抵賴發(fā)送過(guò)這條消息的圖謀失敗。同理,當(dāng)發(fā)送一條消息時(shí),發(fā)送方也有足夠的證據(jù)證明某個(gè)接收方的確已經(jīng)收到這條消息。
