WEP可以使用两种身份验证方法:开放系统身份验证和共享密钥身份验证
(Open system authentication and shared key authentication)
在开放系统身份验证中,WLAN客户端在身份验证期间不向访问点提供其凭据。任何客户端都可以通过访问点进行身份验证,然后尝试进行关联。实际上,不会进行身份验证。随后,WEP密钥可用于加密数据帧。此时,客户端必须具有正确的密钥。
在共享密钥身份验证中,WEP密钥在四步 质询-响应握手中用于身份验证:
1.客户端向接入点发送身份验证请求。
2.接入点会回复明文质询。
3.客户端使用配置的WEP密钥对质询文本进行加密,然后在另一个身份验证请求中将其发送回。
4.接入点解密响应。如果这与质询文本匹配,则接入点将发送肯定答复。
乍一看,共享密钥身份验证似乎比开放系统身份验证更安全,因为后者不提供实际身份验证。但是,情况恰恰相反。通过捕获共享密钥身份验证中的质询帧,可以派生用于握手的密钥流。
因此,使用共享密钥身份验证比使用开放系统身份验证更容易拦截和解密数据。如果隐私是首要考虑的问题,则建议使用开放系统身份验证进行WEP身份验证,而不是使用共享密钥身份验证;但是,这也意味着任何WLAN客户端都可以连接到AP。
(两种身份验证机制都很弱;不赞成使用共享密钥WEP,而支持WPA / WPA2。)
在现代802.11中,在关联请求/响应之前进行了开放式身份验证。这也早于任何类型的802.1X身份验证或WPA / WPA2密钥交换。
但是,IEEE最初有一个802.11标准。诸如802.11i(又名WPA2)或802.11ac之类的东西是对现有标准的修正。这些修订大部分试图扩展或增强基本标准,同时完整保留现有标准的大部分以提供向后兼容性。
因此,这种预关联身份验证是由于遗留功能(即WEP)而发生的。这是WEP客户端向AP提供身份验证的地方。当802.11i被添加到标准中时,这是一个涉及更多身份验证的过程。这样,802.11i是在关联后执行的,但是要先获得对网络的访问权。
尽管新过程不再使用关联前的身份验证请求/响应,但它仍作为开放式身份验证留在了过程中,以为客户端/ AP提供一致的体验。如果传统客户端/ AP和较新的客户端/ AP都可以简单地期望身份验证/关联流,而不必寻找两个不同的连接流,则可以简化流程和开发。
网友评论