在本章中,我们将简要介绍无线部署中使用的可能的身份验证方案.它们是:基于开放式身份验证和预共享密钥(PSK)的身份验证.前一个是基于EAP帧来派生动态密钥.
术语开放认证本身非常具有误导性.它表明,某种身份验证已到位,但实际上,此方案中的身份验证过程更像是正式步骤,而不是身份验证机制.该过程看起来如下图所示 :
用简单的英语,这个交换所说的是,在认证请求中,无线客户端(请求者)说"你好AP,我想认证",来自AP的认证响应说"好了,在这里你走".您是否在此设置中看到任何类型的安全性?我也不...
这就是为什么不应该使用开放式身份验证,因为它只允许任何客户端对网络进行身份验证,而无需进行正确的安全检查.
当无线客户端向AP进行身份验证时,它们都会通过名为
成对主密钥(PMK)是黑客想要收集的东西,以打破网络加密方案. PMK仅为Supplicant和Authenticator所知,但在传输过程中不会共享.
但是,会话密钥是,它们是ANonce,SNonce,PMK,MAC地址的组合请求者和身份验证者.我们可以写出这种关系,作为数学公式 :
Sessions_keys = f(ANonce,SNonce,PMK,A_MAC,S_MAC) .
为了从该等式导出PMK,必须打破AES/RC4(取决于是使用WPA2还是WPA).这并不是那么容易,因为唯一可行的方法是执行暴力破解或字典攻击(假设你有一个非常好的字典).
这绝对是一种推荐的认证方法,并且比使用开放式身份验证更安全.
Wi-Fi粉化在无线局域网历史上是一个非常有趣的概念历史,主要用于美国.主要思想是标记开放认证或具有弱认证的WLAN的地点.通过这样做,每个人在墙上或地面上找到这个标志,用粉笔写,然后他可以登录到Wi-Fi系统而无需身份验证.聪明,对吗?
你可以问一下你自己 - 为什么粉笔而不是某种标记,喷雾或其他更永久的标记方式?答案很简单,来自刑法 - 用粉笔书写不被视为破坏行为.
