wlan中鑒權與加密的區別
有時候我也經常分不清什么事鑒權, 什么事加密。仔細想想, 想通了, 跟大家分享。
舉例, 兩個國民黨甲和乙特務需要傳遞一個機密國寶,想要盜出大陸, 他倆從沒有見過面。特務甲把這個國寶所在一個盒子了, 上了一把鎖, 通過中間人給了特務乙一把鑰匙,并約定了接頭的時間和地點。某天他們見面了, 特務甲說“天王蓋地虎”,特務乙說“寶塔鎮河妖”,甲又說“磨合磨合”。這就完成了接頭, 然后甲把裝著國寶的帶鎖的盒子給了乙, 接頭完成。他們之間特務的對話,就是一個鑒權的過程, 他要認定, 你是不是我要發東西的人, 確認之后, 鑒權完成。而之后甲把帶鎖的盒子給乙, 乙拿鑰匙打開鎖的過程就是加密與解密的過程。這里就可以看出鑒權與加密的區別,鑒權的目的, 是非了區分對方是非是自己要找的人或物。加密是與對方事先商量好一種策略, 使信息能夠被傳遞, 而且不被外人偷聽或盜取。
具體體現在wlan領域中,WEP, WPA為加密模式, 也就是說它不需要鑒權, 無論是誰, 只要你有密碼,那, 我就給你提供接通服, 不分敵我。如果你是敵人, 那你就要有破解密碼的本事了, 否則即使我發給敵方東西, 敵方也解不開。
wep是以數字為基礎進行加密, 也就是說密碼由數字組成。wpa是以字母數字等為基礎加密,為什么wpa比wep安全呢? 數字只有10個, 字母加數字可多了去了。
802.1x是一種鑒權認證標準, 其中最嚴格的如eap-tls協議。必須要對端提供認證證書,來證明你是和我一伙的。舉例, 有天你正在家里睡覺, 忽然有人敲門, 你一開門, 看到一帶紅袖標的老太太大喊“查暫住證!”這里要提到另一個概念, 雙向認證, 憑什么你來查暫住證啊?你是警察嗎? 請你先出示警察證。對方老太太看沒辦法, 搬來了警察, 亮出了警察證, 你一看, 是真的, 這時你回去把已經辦好的暫住證拿了出來, 對方看了幾眼, 認為沒問題走掉了,這就是一個雙向認證的過程, 誰說什么都沒有用, 一定要有證件在手, 否則面談。
這個證書在tls里就表現為cert。MD5, MSCHAP1, MSCHAP2,GTC,PAP這些都是加密方式, 并不認證用戶。TLS, PEAP, TTLS是認證方式, 他們的作用就是鑒定用戶真假, 但并不加密數據。TLS-安全傳輸層協議 就是根據雙方數字證書來建立安全的傳輸, 因為雙方證書在手, 所以非常的安全。PEAP與TTLS是簡化版的tls,簡化掉了證書的驗證,也就是說不再需要提供證書。但是必須提供用戶名和密碼。
為什么會出現peap與ttls?
tls確實非常安全, 無以傳輸倫比, 可是有著致命的問題。
為了安全性, 犧牲掉了易用性, 一個東西太安全了, 以至于沒有幾個人會用,導致維護費用居高不下, 那么也就沒有了推廣利用的價值。以現在流行的ADSL為例, 他們采用的是chap,也就是用戶名密碼認證。如果改為tls認證, 那么你辦理adsl的時候就需要帶個u盤, 把證書拷回家, 以后每次上網的時候都需要把你的u盤給掛上, 而且證書過一段時間就會失效, 讓你隔三差五的往營業廳跑,用戶瘋了, 運營商也瘋了。這個例子只是想表明, 并不是所有東西都越安全越好, 安全是以成本為代價的。例如網上銀行,網上購物, 需要非常的安全, 那么這就證實數字證書以及tls大顯伸手的地方。
為了簡化流程, 增強易用性,順應潮流 peap,ttls誕生了,他們的安全性不及tls,可是非常易用, 非常容易推廣,所以目前peap, ttls比tls 使用的多得多, 成本也較低。
ttls為什么叫隧道傳輸協議?
無線客戶端連接無線路由器的開始的時候, 理論上在沒有認證客戶端是不是非法用戶前, 無線路由器不應該讓客戶端接入任何一部分網絡, 但是為了實現認證, 路由器臨時建立一條從無線客戶端到認證服務器的通路, 也就是說, 你只能先接到認證服務器, 如果認證通過, 那么恭喜你, 你可以介入到其他網絡的部分, 如果不能夠通過熱認證, 那么客戶端那里也無法訪問, 全部被限制。因此ttls是通過了一條隧道通路, 故稱之為隧道傳輸協議。
peap與ttls原理是一樣的, 二者是競爭關系, 是不同的廠家聯盟提出的隧道技術標準而已, 本質是一樣的。微軟更推崇peap.
再簡單介紹一下MD5, MSCHAP1, MSCHAP2,GTC,PAP,MD5,采用哈希算法, 以512位為單位進行加密驗證。MSCHAP1, MSCHAP2是微軟版本的多次握手加密認證。GTC, PAP最簡單的以固定的詞組為單位進行加密, 易被破解。有人問既然peap和ttls都是需要密碼的, 那么和MD5, MSCHAP1, MSCHAP2,GTC,PAP有什么區別?MD5, MSCHAP1, MSCHAP2,GTC,PAP是統一的密碼加密, 所有人都是一樣的密碼。peap和 ttls是針對不同的用戶, 核對不同的密碼。
請問認證和鑒權有什么本質區別?
個人理解,認證偏向于身份的確認,即是不是這個人,而鑒權偏向于對象權限的認定,即這個人是否有這個權限,所以適用的場所肯定是不一樣的
Authentication: The act of verifying the identity of an entity(subject).
Authorization: The act of determining whether a requesting entity(subject) will be allowed access to a resource(object).
