[WiFi] WiFi 網路的認證: 802.1X 與 EAP (Extensible Authentication Protocol)

作者: -
在上一篇文章中, 我們介紹了 RADIUS 認證協定,
RADIUS 是基於 UDP 的方式建立連線,
不但無法保證資料傳輸的完整性, 也無法保證資料的安全性.
使用 UDP 的主要原因應該是在舊有有線網路的設計架構下,
將控制訊息以 UDP 傳輸, 使用者資料以 TCP 傳輸的想法,
此想法基於控制訊息短, 且具有定期重送的保護機制而形成,
使用 UDP 傳輸可以避免封包多餘的重傳, 以及訊息交換, 節省使用頻寬,
特別適用於早年頻寬有限的網路架構.
然而, 隨著網路的發展, 安全性和穩定性受到更多注意,
特別是針對無線網路, 由於在空氣中的封包可以側聽, 因此, 安全性受到更多考量.

為了增進 WiFi 網路的安全性, EAP (Extensible Authentication Protocol) 首先被提出,
EAP 被定義於 RFC3748, 為一個點對點的認證框架,
由於 EAP 的角色是框架, 而非協定, 因此有各家廠商的不同實現,
不同 EAP 的協定比較可以參考 Intel 的這篇文章:

802.1X 基於 EAP 的架構, 提出一種在區域網路 (Local Area Network, LAN) 的實作方式,
或者也可以稱為 EAPOL (EAP Over LAN), 提供 EAP 架構進行裝置與伺服器之間的資料交換,
EAPOL 為一個點對點的通訊協議, 不依賴 IP 層, 可用 MAC 直接溝通,
在 EAPOL (或是 802.1X) 加入後, 整體的架構如下圖:

來自: https://www.semanticscholar.org/paper/Extensible-Authentication-Protocol-(-EAP-)-Security-Sotillo/417b0aa1fd8d7ddb8616a018de1fbc9de039a40e

在上圖中, 可以看出來 802.1X, EAP 和 RADIUS 之間的分工,
一方面, EAP 架構下通訊的兩點為終端裝置和 RADIUS 伺服器,
補足了 RADIUS 只定義 NAS (WiFi AP) 間認證的不足,
另一方面, 802.1X (EAPOL) 則提供 (WiFi AP) 和終端裝置之間的通訊協定,
串起 EAP 通訊架構的兩端, 提供加密的認證機制,
在 EAP 架構之上, 是 EAP 的實作方法, 可以為不同廠家的解決方案.
在此偕同架構下, 我們可以把資料交換流程表示如下圖:
https://www.vocal.com/secure-communication/eapol-extensible-authentication-protocol-over-lan/

在圖中, 可以看到認證為使用者終端發起,
可以不透過網頁認證的機制, 直接對 RADIUS 進行認證,
同時, 由於加密金鑰都封裝於 EAPOL 之中,
(在上圖參考連結中, 也介紹了 EAPOL 的封包格式, 可以參考)
也提供更加安全的 WiFi 認證框架.


留言

張貼留言

熱門文章

LTE筆記: RSRP, RSSI and RSRQ

作者: -
圖片
在一般通訊系統中, 我們常用 RSSI (Received Signal Strength Indication) 來表示訊號強度,  其單位為 (dBm), 可以轉換成功率大小 (mW): https://en.wikipedia.org/wiki/DBm [註] dBm 的原意即是: (dB) reference to (m)W, 因此, 1 W = 10*log10(1000mW) = 30dBm. 在 LTE 通訊系統中, 除了 RSSI 之外, 又額外定義了兩個用以標示訊號強度的數值: RSRP 和 RSRQ 以下, 我們將介紹 RSRP, RSRQ 和 RSSI 的不同: Reference Symbol Received Power (RSRP) RSRP 為 UE 量測 Reference Signals (RS) 的平均訊號強度, DRS 為基地台在下行訊號中, 於固定 RB (Resource Block) 上傳送的訊號, 由於這些訊號具有特定的傳送格式, 接收端便可以解出這些控制訊號的強度, 對於不同的相鄰基地台, 甚至是同一基地台不同的天線, 可以透過不同的 RS 配置, 讓使用者得知不同目標的量測數值, 如下圖所示: 紅色為 RS, 不同基地台或天線使用不同的 RS 排列方法, 可分開量測 來自: https://api.semanticscholar.org/CorpusID:22030582 RSRP 的回報由 UE 進行 Measurement Report, 回傳給基地台, 其中, 關於 Measurement Report 的設置定義於 RRC 的規範中, 我們之後有機會再提, RSRP 的量測, 通常在換手 (handover) 時進行量測, 用以指出目標基地台的訊號強度, 其中, UE 所量測的數值, 將藉由下表進行轉換 (訊號強度 (dBm) - (-140)), 並回報給 eNB 作為換手的決策使用: (3GPP Reference: TS 36.133) RSSI (Received Signal Strength Indication)  RSSI 是 UE 接收到的 wide-band 訊號強度, 包含 DRS 以及其他 RB 的訊號強度 (第一張
閱讀完整內容

[WiFi] WiFi 網路的識別: BSS, ESS, SSID, ESSID, BSSID

作者: -
圖片
在 WiFi 網路中, 一個基本的識別方式就是 SSID (Service Set Identifier), 也就是我們口語中的 "WiFi 網路名稱", 然而, 此網路事實上是一個服務集合 (Service Set) 的概念, 而一個服務群集, 也可以對應到一個基本的無線網路, 包含: 一個 WiFi AP 以及多個 WiFi 使用者, 對於剛剛這種簡單的網路架構, 又稱為 BSS (Basic Service Set), 若是多個 BSS 都使用同一個 SSID, 則稱為 ESS (Extend Service Set), 如下圖所示: 來自: https://ppt.cc/fXIvex 對於 ESS 來說, 有兩個假設, 第一, 底下的 BSS 必須是相鄰 (有交疊範圍) 第二, 這些 BSS 有網路連線, (有線或是無線都可以) 這兩個假設是為了完成 ESS 的主要功能, 也就是換手 (handoff), 當裝置在同一個 ESS 下不同 BSS 範圍中移動時, 可不必重新連線就可以繼續傳輸. 這樣的流程事實上是由原本服務的 AP (BSS 1), 把使用者的資料轉傳到換手目標的 AP (BSS 2), 資料流程為: DS -> BSS 1 -> BSS 2 -> Sation, 也因此, 兩個 AP 之間必須連線, 同時切換時間也不能太久 (相鄰條件), 那麼在上述例子中, 如何知道 BSS 1 和 BSS 2 的差別呢? 在 WiFi 網路中, 為了完成這件事情, 所以就有了 ESSID 和 BSSID, ESSID 如上所述, 對應於 ESS 所使用的 SSID, 至於 BSSID (通常是 WiFi AP 的 MAC 位址) 來區分同個 SSID 下的網路. 反過來說, 同一個 WiFi AP 也可以擁有多個 SSID, 此功能稱為 VAP (Virtual AP), 此時, 一個 WiFi AP 會虛擬出多個 BSSID, 通常作法就是從原有的 MAC 位址往上加一, 作為多個不同的 BSSID. 這些 VAP 會對應到 WiFi AP 中的不同 VLAN 中, 因此, 我們可以給他們不同的網路設定, 例如: 流量, 安全性, 頻寬等,
閱讀完整內容

LTE筆記: 波束成型 (beamforming) 和天線陣列

作者: -
圖片
在5G的技術中, 其中一個新被引入的通訊技術就是波束成型 (beamforming), 波束成型技術可以大略的分成兩種: 第一種、藉由量測到的通道係數, 設計傳送參數 (precoder), 最佳化通道 第二種、透過多天線的相位偏移 (phase shifter), 決定電波傳遞強度模 在文章中, 會著重介紹第二種波束成型的架構, 在第二種波束成型的架構中, 所使用的是電磁波干射的物理特性, 簡單來說, 透過電磁波的建設性干涉與破壞性干涉, 我們就可以在某個方向上產生一個較強的訊號, 而在其他方向上減低此訊號的影響. 來自:  https://en.wikipedia.org/wiki/Phased_array 在上圖中, 我們可以發現這種波束成型架構的兩個需求: 1. 必須有多根天線服務同一筆傳輸訊號 2. 每個天線都必須要有一個相位調節器 (phase shifter)
閱讀完整內容