了解 IEEE* 802.11 身份验证和关联
| 注意 | 以下信息适用于家庭或小型办公室用户。讨论的概念不考虑具有高级网络安全的大型网络环境。 |
认证
802.11 身份验证是网络连接的第一步。802.11 身份验证要求移动设备(工作站)通过接入点 (AP) 或宽带无线路由器建立其身份。在此阶段没有可用的数据加密或安全性。
美国电气和电子工程师协会 (IEEE) 802.11 标准定义了两种链路级身份验证类型:
- 开放系统
- 共享密钥
开放系统身份验证
开放系统身份验证由两种通信组成:
- 首先,从包含站 ID(通常是 MAC 地址)的移动设备发送身份验证请求。
- 接下来,来自 AP/路由器的验证响应,消息为成功或失败。
共享密钥身份验证
使用共享密钥身份验证,在移动设备和 AP/路由器上手动设置共享密钥或密码。现在,家庭或小型办公室 WLAN 环境提供多种类型的共享密钥身份验证:
有线等效隐私 (WEP)
不建议使用安全的 WLAN 使用 WEP。主要的安全风险是黑客捕获身份验证响应帧的加密形式,使用广泛可用的软件应用程序,以及使用该信息来破解 WEP 加密。
Wi-Fi 保护访问 (WPA)
WPA 符合无线安全标准,并大大增加了无线网络的数据保护和访问控制(身份验证)级别。WPA 强制实施 IEEE 802.1X 身份验证和密钥交换,并且仅适用于动态加密密钥。用户可能会在家中或小型办公室环境中看到 WPA 的不同命名约定。例如 WPA-个人、WPA-PSK、WPA-Home。必须在客户端和 AP/路由器上手动配置通用预共享密钥 (PSK)。
Wi-Fi 保护访问 2 (WPA2)
WPA2 是 WPA 的安全增强功能。用户必须确保移动设备和 AP/路由器均使用同一 WPA 版本和预共享密钥 (PSK) 进行配置。
协会
身份验证完成后,移动设备可以将(注册)与 AP/路由器关联(注册)以完全访问网络。关联允许 AP/路由器记录每个移动设备,以便正确传送帧。关联仅发生在无线基础设施网络上,而不是在对等模式中。一个站点一次只能与一个 AP/路由器关联。
关联流程:
- 移动设备向 AP/路由器进行身份验证,然后发送一个关联请求。
- AP/路由器处理关联请求。AP/路由器供应商可能有不同的实施来决定是否应该允许客户端请求。
- 当 AP/路由器授予关联时,它会以状态代码 0(成功)和关联 ID (AID) 作出响应。AID 用于识别在启用节能功能时交付缓冲帧的工作站。
- 失败关联请求只包括状态代码,过程结束。
- AP/路由器将帧转发到或来自移动设备。