|
|
|
 |  | |
| 是否能夠請您解釋 IEEE* 802.11 驗證與關聯? |
|
 | |
| 註釋 |
下列內容針對家庭或小型辦公室使用者而開發。本文內討論的概念不考慮大型網路環境與使用驗證伺服器和 EAP 方法的進階網路安全性。 | |
驗證
IEEE 802.11 驗證不會與使用者的 IEEE 802.1X 連結層網路驗證混淆。802.11 驗證和關聯會在任何上層驗證 (802.1X) 之前的存取點 (AP) 或寬頻無線路由器層級上發生,利用特殊「後端」伺服器的優點,以各種身份證明類型來識別個別的使用者。
802.11 驗證: 要求站台 (行動裝置) 在傳送訊框之前建立其身份。這個程序會在每一次工作站連線至網路,但未提供任何網路安全性措施時執行。802.11 驗證對於未共用的網路附加裝置而言,只是交握程序中的第一個步驟,這表示只有 AP 會驗證工作站,而工作站則不會驗證 AP。在這裡您應該注意到這個層線未提供資料加密功能。
終端站台在與存取點 (AP) 或寬頻路由器關聯前必須先通過驗證,並取得對無線區域網路 (WLAN) 網路的存取權。IEEE* (電機與電子工程師學會) 802.11 標準支援兩種連結層級類型的網路驗證方法: 「開放系統」和「共用金鑰」。
開放系統驗證
開放系統驗證只由兩個通訊組成。第一個通訊是由用戶端提出的驗證要求,其中包含站台 ID (通常為 MAC 位址)。隨後便由 AP/路由器傳送驗證回應,其中包含成功或失敗訊息。例如,如果用戶端的 MAC 位址已明確地在 AP/路由器的組態中排除,則可能會出現失敗的情形。
共用金鑰驗證
共用金鑰驗證仰賴參與驗證程序的兩個站台是否持有相同的「共用」金鑰或密碼的事實。共用金鑰必須在用戶端站台和 AP/路由器上手動設定。目前家庭或小型辦公室的無線區域網路環境下可使用三種共用金鑰驗證。
有線同等機密性 (WEP)
不建議在安全的無線區域網路內使用 WEP,因為其具有潛在的弱點。主要的安全性風險之一是駭客可以擷取加密形式的驗證回應訊框,使用免費提供的軟體應用程式,以及使用某些資訊來破解 WEP 加密。這種驗證的程序包括用戶端傳送的驗證請求、清除 AP/路由器的挑戰文字、將用戶端的挑戰文字和 AP/路由器的驗證回應加密。WEP 金鑰/密碼的兩種層級:
- 64 位元: 40 個位元用於加密,24 個位元則配置為 "初始化向量" (IV)。此種方法也可稱為 40 位元 WEP。
- 128 位元: 104 個位元用於加密,24 個位元則配置為「初始化向量」(IV)。此種方法也可稱為 104 位元 WEP。
WPA (Wi-Fi 保護的存取)
WPA 是由 Wi-Fi 聯盟* (WFA) 在完全核准 IEEE 802.11i 之前發展的,其與無線安全性標準相容。這是保全性增強功能,可大幅提高資料保護和無線網路存取控制 (驗證) 的等級 WPA 執行 IEEE 802.1X 驗證和金鑰互換,並且僅可與動態加密金鑰作業。
使用者可能會在家庭或小型辦公室環境中看到不同的 WPA 命名慣例。例如,WPA-個人版、WPA-PSK、WPA-Home 等。在任何情況下,必須在用戶端和 AP/路由器上手動設定共同的預先共用金鑰 (PSK)。
WPA2 (Wi-Fi 保護的存取 2)
WPA2 是 WPA 的安全性強化版。由於兩者無法互通,因此使用者必須確定用戶端站台和 AP/路由器皆設定為使用相同的 WPA 版本和預先共用金鑰 (PSK)。
關聯
一旦完成驗證,站台便可以與 AP/路由器關聯 (登錄),以取得完整的網路存取權。關聯可讓 AP/路由器記錄每個行動裝置,以適當地傳送訊框。關聯只會在無線架構網路下發生,而不會在 Ad Hoc (對等) 模式下發生,並且與連線到有線網路的邏輯相似。站台在同一時間只能與一部 AP/路由器關聯。
三個步驟的關聯程序:
- 在行動站台通過 AP/路由器的驗證後,便會傳送「關聯要求」。
- AP/路由器會處理「關聯要求」。AP/路由器的廠商可能會進行不同的實作,以決定是否要允許用戶端要求。AP/路由器會授予關聯並回應狀態碼 0 (成功) 和「關聯 ID」(AID)。在啟用省電功能時,後者用於識別傳送緩衝訊框的站台。「失敗的關聯要求」只包含狀態碼,並且程序會結束。
- AP/路由器會將訊框轉送到行動站台或接收來自行動站台的訊框。
適用於: |
|
| |
解決方案識別碼:CS-025325
建立日期:2006/12/27
最近修改日期:2008/7/7
|
|
