PCI OP WiFi 测试(一):基本概念
2016-03-10 14:56
393 查看
近期在看Wi-Fi的PCI测试,总结一下一些基本的概念。下文有一部分是翻译了同事Chris Madden的文章。
一、介绍:
Wi-Fi遵循的协议是 IEEE802.11,一般会兼容 IEEE 802.11b/g/n规范。
二、概要:
Wi-Fi定义了以下三种安全配置:
1. WEP (WiredEquivalent Privacy)
2. WPA (Wi-FiProtected Access)
3. WPA 2((Wi-Fi Protected Access 2)
每一个安全的配置可以有三种不同的认证方式:
1. 开放系统: 不需要做任何的安全认证;
2. 预共享密钥: 客户端和接入点共享一个一样的密钥;
3. IEEE802.11X/EAP:也就是企业模式,允许有不同的认证方式以适应不同的企业环境。但这些认证方式都构建在 EAP (Extensible Authentication Protocol)的模式下。
在使用Wi-Fi接口的过程中,必须保证这个接口是安全的,数据是经过加密的。即使应用层加密了数据,Wi-Fi的通讯层也要加密,不能直接传输应用层发送过来的数据(PCI的要求)。
PCI实验室在 2007 年明确提出不允许使用WEP模式,因为已经被证实这种加密方式很不安全。
在预共享密钥的认证方式下,如果密钥可能被泄露,或者系统被攻击,就不应该使用 WEP/WPA/WPA2 的预共享模式了。设置密码的时候,应用使用随机生成的密钥而且是最长的密钥长度,这样才足够保证密钥的安全,否则很容易被攻击,比如用彩虹表的方式就轻易被破解。
相对比较安全的是 WPA2的IEEE802.1X/EAP(企业模式),可以根据实际环境使用合适的EAP。在企业模式下,建议使用双向的认证,因为在单向认证的情况下,容易受到中间人的攻击。
目前有大约40种EAP方式,我们只建议使用某几种,因为这几种EAP方式更为安全,稳定和通用:
EAP-TLS
EAP-PEAP/MSCHAPv2 (both PEAPv0 and PEAPv1)
EAP-PEAP/TLS (both PEAPv0 and PEAPv1)
EAP-GPSK
EAP-PSK
EAP-PWD
EAP-TTLS
三、使用汇总
之前提及到,目前有三种不同安全级别的加密方式保证Wi-Fi传输的安全:WEP/WPA/WPA2,下面的表格描述了不同的加密方式的特征:
建议EAP的架构:
以下提及的模式都是建议可以使用的。
一、介绍:
Wi-Fi遵循的协议是 IEEE802.11,一般会兼容 IEEE 802.11b/g/n规范。
二、概要:
Wi-Fi定义了以下三种安全配置:
1. WEP (WiredEquivalent Privacy)
2. WPA (Wi-FiProtected Access)
3. WPA 2((Wi-Fi Protected Access 2)
每一个安全的配置可以有三种不同的认证方式:
1. 开放系统: 不需要做任何的安全认证;
2. 预共享密钥: 客户端和接入点共享一个一样的密钥;
3. IEEE802.11X/EAP:也就是企业模式,允许有不同的认证方式以适应不同的企业环境。但这些认证方式都构建在 EAP (Extensible Authentication Protocol)的模式下。
在使用Wi-Fi接口的过程中,必须保证这个接口是安全的,数据是经过加密的。即使应用层加密了数据,Wi-Fi的通讯层也要加密,不能直接传输应用层发送过来的数据(PCI的要求)。
PCI实验室在 2007 年明确提出不允许使用WEP模式,因为已经被证实这种加密方式很不安全。
在预共享密钥的认证方式下,如果密钥可能被泄露,或者系统被攻击,就不应该使用 WEP/WPA/WPA2 的预共享模式了。设置密码的时候,应用使用随机生成的密钥而且是最长的密钥长度,这样才足够保证密钥的安全,否则很容易被攻击,比如用彩虹表的方式就轻易被破解。
相对比较安全的是 WPA2的IEEE802.1X/EAP(企业模式),可以根据实际环境使用合适的EAP。在企业模式下,建议使用双向的认证,因为在单向认证的情况下,容易受到中间人的攻击。
目前有大约40种EAP方式,我们只建议使用某几种,因为这几种EAP方式更为安全,稳定和通用:
EAP-TLS
EAP-PEAP/MSCHAPv2 (both PEAPv0 and PEAPv1)
EAP-PEAP/TLS (both PEAPv0 and PEAPv1)
EAP-GPSK
EAP-PSK
EAP-PWD
EAP-TTLS
三、使用汇总
之前提及到,目前有三种不同安全级别的加密方式保证Wi-Fi传输的安全:WEP/WPA/WPA2,下面的表格描述了不同的加密方式的特征:
安全配置 | 认证模式 | 是否可以使用 | 加密 | 完整性 | 认证 |
WEP | 开放系统 | 不建议使用 | 使用RC4加密,密钥长度为14-40字节 | CRC-32校验 | 开放系统不需要任何的认证 |
WEP | 预共享密钥(个人模式) | 不建议使用 | 使用RC4加密,密钥长度为14-40字节 | CRC-32校验 | 强制使用预先设定的密钥进行认证 |
WEP | IEEE802.1X/EAP (企业模式) | 不建议使用 | 使用RC4加密,密钥长度为14-40字节 | CRC-32校验 | 符合IEEE802.1X下的EAP框架配置进行认证 |
WPA | 开放系统 | 不建议使用 | 使用RC4加密,密钥长度为14-40字节 | CRC-32校验 | 开放系统不需要任何的认证 |
WPA | 预共享密钥 (个人模式) | 不建议使用 | 使用RC4加密,密钥是TKIP动态生成的每用户不一样的128字节的密钥 | 使用TKIP(Temporal Key Integrity Protocol)生成64字节的MIC(Message Integrity Check) | 强制使用预先设定的密钥进行认证 |
WPA | IEEE802.1X/EAP (企业模式) | 不建议使用 | 使用RC4加密,密钥是TKIP动态生成的每用户不一样的128字节的密钥 | 使用TKIP(Temporal Key Integrity Protocol)生成64字节的MIC(Message Integrity Check) | 符合IEEE802.1X下的EAP框架配置进行认证 |
WPA2 (本质上是带CCMP的WPA) | 开放系统 | 不建议使用 | 使用CCMP(Counter Mode Cipher Block Chaining Message Authentication Code Protocol)加密 | 使用CCMP校验 | 开放系统不需要任何的认证 |
WPA2 | 预共享密钥 (个人密钥) | 可以使用 | 使用CCMP加密 | 使用CCMP校验 | 强制使用预先设定的密钥进行认证 |
WPA2 | IEEE802.1X/EAP (企业模式) | 可以使用 (需要指定EAP服务器 | 使用CCMP加密 | 使用CCMP校验 | 符合IEEE802.1X下的EAP框架配置进行认证 |
| | | | | |
建议EAP的架构:
以下提及的模式都是建议可以使用的。
EAP模式 | 认证类型 | 认证密钥类型 | 描述 |
EAP-TLS | 双向认证 | 客户端和服务器都通过X509证书进行认证 | EAP-Transport Layer Security (EAP-TLS),在 RFC 5206有相关定义,符合原始的 LAN EAP 认证协议的标准,目前广泛使用。 |
EAP-PEAP/MSCHAPV2 /PEAPV0/EAPV1 | 单向认证 (服务器已经认证 | 服务器使用X509证书,并发送证书给客户端。 | Protected Extensible Authentication Protocol,也就是 Protected EAP或者叫 PEAP。 |
EAP-PEAP/TLS/PEAPV0/EAPV1 | 双向认证 | 客户端和服务器都通过X509证书进行认证 | PEAP-EAP-TLS与EAP-TLS非常相似,不过提供了更多的保护。 |
EAP-GPSK | 双向认证 | 客户端与服务器通过一个预共享的密钥进行认证 | EAP Generalized Pre-Shared Key (EAP-GPSK)是EAP的方法,通过预先设置的密钥进行相互认证。 |
EAP-PSK | 双向认证 | 客户端与服务器通过一个预共享的密钥进行认证 | EAP-PSK是在RFC 4764里面有定义,是EAP的一个双向认证方式,会话密钥通过预共享的密钥发散,对会话进行保护。 |
EAP-PWD | 双向认证 | 双方进行对等的认证 | 此模式定义在RFC 5931,使用认证密钥进行发散密钥。基于安卓4.0,在Free RADIUS和Radiator radius服务器。 |
EAP-TTLS | 单向或双向认证 | 服务器通过 X509证书进行认证。客户端可选是否进行 CA-signed PKI认证。 | 与TLS一样,但是客户端未必需要进行年认证。 |
相关文章推荐
- 解决WIFI无线连接或连接上很慢
- PCI standard ISA birdge 驱动安装图文方法
- 模拟xcopy的函数
- WIFI万能钥匙密码查询接口实例
- Android获取当前已连接的wifi信号强度的方法
- 在Android里完美实现基站和WIFI定位
- Android编程实现获取当前连接wifi名字的方法
- Android开发之Wifi基础教程
- android编程实现设置、打开wifi热点共享供他人连接的方法
- ubuntu用wifi连接android调试程序的步骤
- 设置Android设备WIFI在休眠时永不断开的代码实现
- android开发教程之wifi开发示例
- Android管理与操作Wifi简单实例源码
- 解决ubuntu 15.04 无法开启wifi问题
- 从「林」开始: imx51-linux-rt3070ap-dhcpd
- WiFiAssistant 无线承载网络设置助手的开发历程
- 郑轻校园网工具1.0正式版本首发
- WIFI绵羊墙搭建
- 学习笔记--2014年7月7日
- Ubuntu 使用 wifi 连接上网