802.1X:关于WPA和EAP到底是什么?


19

我知道802.1X是某种端口身份验证控制。但是,当我检查无线设备的加密设置时,在下拉列表中发现了802.1X以及WPA2,WPA和WEP,但是我看不出它可以替代这些方法。

有人可以用外行的术语解释802.1X如何适用,也许也与EAP协议有关?我所知道的是802.1X为每个物理端口提供两个逻辑端口实体,其中一个用于身份验证,我认为另一个用于实际的EAP消息流?

Answers:


38

为了简化起见,我可以稍微简化一些外行的条款,并且只限于WPA2:

802.1X不是加密类型。它基本上只是一种基于用户的身份验证机制(例如,用户名和密码)。

WPA2是一种安全方案,它指定了无线安全性的两个主要方面:

  • 身份验证:您选择PSK(“个人”)或802.1X(“企业”)。
  • 加密:始终为AES-CCMP。

如果您在网络上使用WPA2安全性,则有两种身份验证选择:您必须为每个人都知道的整个网络使用一个密码(这称为预共享密钥或PSK),或者使用802.1X强制每个用户使用自己的唯一登录凭据(例如,用户名和密码)。

不管您设置了要使用的哪种身份验证类型,WPA2始终使用一种称为AES-CCMP的方案来为保密起见,通过无线方式对数据进行加密,并阻止其他各种攻击。

802.1X是“ LAN上的EAP”或EAPoL。EAP代表“可扩展身份验证协议”,这意味着它是一种用于各种身份验证方法的插件方案。一些例子:

  • 您要使用用户名和密码对用户进行身份验证吗?那么“ PEAP”是一个很好的EAP类型。
  • 是否要通过证书对用户进行身份验证?然后,“ EAP-TLS”是一个很好的EAP类型。
  • 您网络上的设备是否都是带有SIM卡的GSM智能手机?然后,您可以使用“ EAP-SIM”进行GSM SIM卡样式身份验证以进入您的网络。等等等

如果您将无线路由器设置为使用802.1X,则它需要一种通过某种EAP类型对用户进行身份验证的方法。某些路由器可以让您直接在路由器上输入用户名和密码的列表,并且路由器知道如何独自完成整个身份验证。但是大多数可能会要求您配置RADIUS。RADIUS是一种协议,允许您将用户名和密码数据库保留在中央服务器上,因此您不必在每次添加或删除用户或用户更改其密码或其他内容时都在每个单独的无线路由器上进行更改。执行802.1X的无线路由器通常不知道如何直接对用户进行身份验证,他们只知道如何在802.1X和RADIUS之间建立网关,以便无线客户端计算机实际上已由网络上的RADIUS服务器进行身份验证,

如果您的无线路由器的用户界面在加密类型列表上具有“ 802.1X” ,则可能表示“带有动态WEP的802.1X”,这是一种古老的方案,其中802.1X用于身份验证,并且每个用户每个会话WEP密钥是在身份验证过程中动态生成的,因此,WEP最终是所使用的加密方法。

更新:两个逻辑端口

为了回答有关两个逻辑端口实体的问题,您可能要参考802.1X规范中的两个独立概念。

首先,802.1X规范为802.1X协议定义了客户端和服务器角色,但分别将它们称为请求方和认证方。在您的无线客户端或无线路由器中,您具有执行802.1X请求方或身份验证器角色的软件。充当该角色的软件在规范中称为端口访问实体或PAE。

其次,规范提到,例如在您的无线客户端计算机中,即使没有其他网络软件,您的802.1X Supplicant软件也必须有一种方法来访问您的无线接口,以便发送和接收EAP数据包以完成身份验证。您的系统仍被允许使用无线接口(因为只有经过验证的网络接口才被信任)。因此,在IEEE规格文档的怪异工程法律术语中,它说802.1X客户端软件连接了一个逻辑“不受控制的端口”,而其余网络堆栈都连接了一个“受控端口”。首次尝试连接到802.1X网络时,在802.1X客户端执行其操作时,仅启用不受控制的端口。一旦连接通过身份验证(例如,

长答案,而不是通俗的术语:
IEEE 802.1X是一种对有线或无线以太网LAN(以及IEEE 802系列中可能的其他网络方案)进行按用户或按设备进行身份验证的方法。它最初是为有线以太网网络设计和部署的,后来被IEEE 802.11(无线LAN)工作组采用,作为802.11i安全附录的一部分,用作按用户或按设备进行身份验证的方法用于802.11网络。

在WPA或WPA2网络上使用802.1X身份验证时,您仍在使用WPA或WPA2的机密性密码和消息完整性算法。也就是说,对于WPA,您仍在使用TKIP作为您的保密密码,并使用MIChael作为您的消息完整性检查。对于WPA2,您使用的是AES-CCMP,它既是机密密码又是消息完整性检查。

使用802.1X的区别在于,您不再使用网络范围的预共享密钥(PSK)。由于您没有为所有设备使用单个PSK,因此每个设备的流量都更加安全。使用PSK,如果您知道PSK并在设备加入网络时捕获了密钥握手,则可以解密该设备的所有流量。但是,使用802.1X时,身份验证过程会安全地生成用于为连接创建唯一的成对主密钥(PMK)的密钥材料,因此一个用户无法解密另一用户的流量。

802.1X基于EAP(最初为P​​PP开发的可扩展身份验证协议),并且仍广泛用于在加密隧道(LT2P-over-IPSec,PPTP等)中使用PPP的VPN解决方案中。实际上,802.1X通常称为“ LAN上的EAP”或“ EAPoL”。

EAP提供了一种通用机制,用于传输身份验证消息(身份验证请求,质询,响应,成功通知等),而EAP层不必知道所使用的特定身份验证方法的详细信息。有许多不同的“ EAP类型”(旨在插入EAP的身份验证机制),用于通过用户名和密码,证书,令牌卡等进行身份验证。

由于EAP具有PPP和VPN的历史,因此一直很容易将其网关到RADIUS。因此,支持802.1X的802.11 AP包含RADIUS客户端是典型的(但在技术上不是必需的)。因此,AP通常不知道任何人的用户名或密码,甚至也不知道如何处理各种EAP身份验证类型,他们只知道如何从802.1X接收通用EAP消息,然后将其转换为RADIUS消息并将其转发到RADIUS服务器。 。因此,AP只是身份验证的渠道,而不是它的参与方。身份验证的真正端点通常是无线客户端和RADIUS服务器(或RADIUS服务器网关连接到的某些上游身份验证服务器)。

更多的历史记录比您想知道的要多: 首次创建802.11时,它支持的唯一身份验证方法是使用40位或104位WEP密钥的共享密钥身份验证形式,并且WEP限制为每个网络4个密钥。连接到网络的所有用户或设备都必须知道网络的4个快捷键之一才能继续。标准中没有办法分别验证每个用户或设备。同样,完成共享密钥身份验证的方式允许进行简单的“脱机预言”快速蛮力密钥猜测攻击。

许多企业级802.11设备的供应商意识到,要使802.11在企业市场上取得成功,必须进行按用户(即用户名和密码或用户证书)或按设备(机器证书)的身份验证。即使尚未完成802.1X,思科还是采用了802.1X的草稿版本,将其限制为一种EAP类型(EAP-MSCHAPv2的一种形式),使其生成每设备每会话的动态WEP密钥,并创建了他们称之为“轻量级EAP”或LEAP。其他供应商也做了类似的事情,但是名称比较笨拙,例如“带有动态WEP的802.1X”。

Wi-Fi联盟(即无线以太网兼容性联盟,简称“ WECA”)看到了当之无愧的WEP代表,并看到行业中正在发生安全方案分裂,但迫不及待地希望IEEE 802.11工作组完成工作Wi-Fi联盟在802.11i中采用了802.1X,因此Wi-Fi联盟创建了Wi-Fi保护访问(WPA),以定义一种可互操作的跨供应商标准,以将WEP中的漏洞作为机密密码(创建TKIP来替代)来修复基于WEP的共享密钥身份验证(创建WPA-PSK来替代它),并提供一种使用802.1X进行每用户或每设备身份验证的方法。

然后,IEEE 802.11i任务组完成了工作,选择了AES-CCMP作为未来的机密密码,并采用了802.1X,并对其进行了一定的限制以确保其在无线网络上的安全性,以实现802.11对每个用户和每个设备的身份验证。无线局域网。反过来,Wi-Fi联盟创建了WPA2,以认证802.11i实现之间的互操作性。(Wi-Fi联盟确实是一个互操作性认证和营销组织,通常更喜欢让IEEE成为真正的WLAN标准组织。但是,如果IEEE过于捉襟见肘,并且对行业发展的速度不够快, Fi联盟将介入并在IEEE之前开展类似标准的工作,通常会在以后发布时遵循相关的IEEE标准。)


嘿,Spiff,您能否将我所读到的有关802.1x创建两个逻辑端口以及外行回答的部分结合起来?谢谢
杰森

3
@Jason Okay,更新了。顺便说一句,802.1X是一个独立的规范(不是另一个规范的附录),因此在IEEE命名约定中,它使用大写字母。因此,它是802.1X,而不是802.1x。每当您看到文档或文章出错时,都应将其视为草率和对细节的疏忽的标志,并使其影响您对该文档或文章的信心。
Spiff 2012年

因此,WPA2 / Enterprise是AES加密,而802.1X是WEP加密。即使它们都使用802.1X进行身份验证。非常详尽地记录了所有历史。谢谢@Spiff,我希望我能投票两次。
Brain2000 '16

@ Brain2000。小心一点,您过分简化的重述非常容易引起误解。确实,某些AP的UI糟糕,当它们真正的意思是“具有动态WEP的802.1X”时,会误导性地仅说“ 802.1X”。但是802.1X是LAN的可扩展身份验证协议,它不特定于802.11,更不用说WEP了。
Spiff

@Spiff是的,它是一个糟糕的UI,在同一下拉列表中显示“ WPA2 / Enterprise”和“ 802.1X”。毕竟,这是整个问题的主题。所以,是的,我认为我写的正是我要写的。这不是过于简单化。正如您所说的,这是一个糟糕的UI。
Brain2000 '16
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.