STA和AP之间是通过无线链路进行连接的,在建立这个链路的过程中,需要要求STA通过无线链路的认证,只有通过认证后才能进行STA和AP之间的无线关联。但此时尚不能判断,STA是否有接入无线网络的权限,需要根据后续STA是否要进行接入认证、是否通过接入认证才能判断。
一说到认证,可能大家就会想到802.1X认证、PSK认证、Open认证等等一堆的认证方式。那这些认证方式和链路认证有什么关系呢?在解决这个问题前,我们先来简单的了解下安全策略。
安全策略体现的是一整套的安全机制,它包括无线链路建立时的链路认证方式,无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。如同下表中,列举出来几种安全策略所对应的链路认证、接入认证和数据加密的方式。
安全策略 链路认证方式 接入认证方式 数据加密方式 说明WEP Open 不涉及 不加密或WEP加密 不安全的安全策略
Shared-key Authentication 不涉及 WEP加密 仍然是不安全的安全策略
WPA/WPA2-802.1X Open 802.1X(EAP) TKIP或CCMP 安全性高的安全策略,适用于大型企业。
WPA/WPA2-PSK Open PSK TKIP或CCMP 安全性高的安全策略,适用于中小型企业或家庭用户。
WAPI-CERT Open 预共享密钥鉴别 SMS4 国产货,应用的少,适用于大型企业和运营商。
WAPI-PSK Open WAPI证书鉴别 SMS4 国产货,应用的少,适用于小型企业和家庭用户
这里再配合下面这张图一起理解下。链路认证和接入认证是先后两个不同阶段的认证。
从表中可以看出,安全策略可分为WEP、WPA、WPA2和WAPI几种,这几种安全策略对应的链路认证其实只有Open和Shared-key Authentication两种,而802.1X和PSK则是属于接入认证方式。另外用户接入认证方式其实还包括表中未列出的MAC认证和Portal认证。
(Ps:更多的安全策略、MAC认证和Portal认证的内容,可以参考WLAN安全特性和安全特性的特性描述。)
现在回到我们的主题上来,链路认证包括Open和Shared-key Authentication,具体认证过程是怎么样的呢?
开放系统认证(Open System Authentication)
为加快镖师处理业务的速度能力,龙门镖局使用了一种叫做开放系统认证的方式来检查主顾的合法资格,只要主顾有托镖请求,镖师都会直接同意。当然这样做会存在安全隐患,让不合法的主顾有机可趁,所以为了提高镖局的安全保障,通常配合这套认证方式,会在后面的托镖流程中再进行一次严格的方式来专门检查主顾的合法资格。
开放系统认证简称就是Open认证,又叫不认证。但是要注意,不认证也是一种认证方式,只不过这种链路认证方式下,只要有STA发送认证请求,AP都会允许其认证成功,是一种不安全的认证方式,所以实际使用中这种链路认证方式通常会和其它的接入认证方式结合使用,以提高安全性。
共享密钥认证(Shared-key Authentication)