无线最大的好处是行动性、便利性以及免除布线的烦恼
,
但相对的
,
因为使用开放性媒介的关系
,
却会面临到比有线网路环境更大的安全威胁
,
虽然
802.11
规范了无线局域网的认证
(authentication)
机制和安全加密
(encryption)
协定
,
但这些安全性已被证实是不可靠的安全机制。因此
802.11
成立了一个任务小组
”i”,
负责修正
MAC(Medium Access Control)
安全性的工作。在业界昂首期盼下
,802.11i
也终于在
2004
年发布。究竟
802.11i
有着什么样的新药方
,
而能成为无线局域网的安全灵药呢
!?
基本上
,802.11i
定义了一个固安网路
(Robust Security Networks, RSN)
。何谓
RSN!?
就是无线局域网内设备之间的连线发起
(creation)
必须是经过固安网路连线
(Robust Security Networks Associations, RSNA)
程序完成的。也就是说
,RSNA
是定义一组程序
(process),
包括验证
(authentication)
、加密
(encryption)
协定以及金钥管理
(key management)
。以下简单介绍一下这些东东:
验证
(Authentication)
这里的验证是指更为严谨的验证方式
,
而不是
802.11
里的开放系统验证
(open- system authentication)
和共享金钥验证
(shared- key authentication)
。
802.11i
所定义的验证方式是采用
802.1X/EAP
的架构
,
这样的架构之下
,
必须有三种角色
,
分别是请求者
(supplicant)
、验证者
(authenticator)
以及验证服务器
(authentication server, AS),
可以把请求者想成是一般的无线装置
(
例如有支持无线局域网功能的
notebook),
把验证者想成是
AP,
而验证服务器顾名思义
,
就是一台提供验证服务的服务器。简单的说
,
当使用者要利用无线装置使用无线局域网之前
,
须先透过
AP
转送验证的相关讯息给
AS,
经过
AS
的验证
,
验证成功的话
,AS
会通知
AP
「这个家伙已经可以开始使用无线局域网了」。但是一般的家用使用者或
SOHO
族不太可能会特别去建制一台验证服务器啊
!!
所幸
802.11i
也很体恤这类的使用者
,
所以特别定义另一种验证模式
,
就是预先共享金钥
(pre-share key, PSK),
在这种模式下
,
不需使用到验证服务器
(AS)
。由于
802.11i
定义的加密协定会使用到一组成对主钥
(Pairwise Master Key, PMK)
来进行配钥
(key mixing)
并衍生出其他金钥
,
所以在
802.11i
定义的加密系统里
,PMK
是位于金钥阶层
(key hierarchy)
的最顶端
,
言下之意
,
没有
PMK,
下面的加密协定就不用玩了。在
802.1X/EAP
架构中
,PMK
是于验证过程中产生的;但是在没有验证服务器的情况下要如何产生
PMK
呢
? 802.11i
使用一种通关密语
(passphrase)
的方式
,
由使用者预先在
AP
和无线装置里设定好这个通关密语
,
而这个通关密语除了验证之外
,
它的另一个重要任务就是要衍生出
PMK,
所以
PSK
模式的预先共享就是这个道理
,
但是相形之下
,
这个通关密语的强度
(strength)
和保护就格外重要啰。
…………………….
待续