[WiFi] WiFi 網路的認證: 802.1X 與 EAP (Extensible Authentication Protocol)
在上一篇文章中, 我們介紹了 RADIUS 認證協定,
在上圖中, 可以看出來 802.1X, EAP 和 RADIUS 之間的分工,
RADIUS 是基於 UDP 的方式建立連線,
不但無法保證資料傳輸的完整性, 也無法保證資料的安全性.
使用 UDP 的主要原因應該是在舊有有線網路的設計架構下,
將控制訊息以 UDP 傳輸, 使用者資料以 TCP 傳輸的想法,
此想法基於控制訊息短, 且具有定期重送的保護機制而形成,
使用 UDP 傳輸可以避免封包多餘的重傳, 以及訊息交換, 節省使用頻寬,
特別適用於早年頻寬有限的網路架構.
然而, 隨著網路的發展, 安全性和穩定性受到更多注意,
特別是針對無線網路, 由於在空氣中的封包可以側聽, 因此, 安全性受到更多考量.
為了增進 WiFi 網路的安全性, EAP (Extensible Authentication Protocol) 首先被提出,
EAP 被定義於 RFC3748, 為一個點對點的認證框架,
由於 EAP 的角色是框架, 而非協定, 因此有各家廠商的不同實現,
不同 EAP 的協定比較可以參考 Intel 的這篇文章:
802.1X 基於 EAP 的架構, 提出一種在區域網路 (Local Area Network, LAN) 的實作方式,
或者也可以稱為 EAPOL (EAP Over LAN), 提供 EAP 架構進行裝置與伺服器之間的資料交換,
EAPOL 為一個點對點的通訊協議, 不依賴 IP 層, 可用 MAC 直接溝通,
在 EAPOL (或是 802.1X) 加入後, 整體的架構如下圖:
一方面, EAP 架構下通訊的兩點為終端裝置和 RADIUS 伺服器,
補足了 RADIUS 只定義 NAS (WiFi AP) 間認證的不足,
另一方面, 802.1X (EAPOL) 則提供 (WiFi AP) 和終端裝置之間的通訊協定,
串起 EAP 通訊架構的兩端, 提供加密的認證機制,
在 EAP 架構之上, 是 EAP 的實作方法, 可以為不同廠家的解決方案.
在此偕同架構下, 我們可以把資料交換流程表示如下圖:
在圖中, 可以看到認證為使用者終端發起,
可以不透過網頁認證的機制, 直接對 RADIUS 進行認證,
同時, 由於加密金鑰都封裝於 EAPOL 之中,
(在上圖參考連結中, 也介紹了 EAPOL 的封包格式, 可以參考)
也提供更加安全的 WiFi 認證框架.
留言
張貼留言