家庭网络平台搭建与应用.docVIP

无线网的基础知识 无线网络中的 SSID 是什么 在每一个 AP(Access Point) 内都会设置一个服务区域认证 ID ，每当无线终端设备要连上 AP 时无线工作站必需出示正确的 SSID(Service Set Identifier,服务设置标志号) ，与无线访问点 AP 的 SSID 相同，才能访问 AP ；如果出示的 SSID 与 AP 的 SSID 不同，那么 AP 将拒绝他通过本服务区上网。利用 SSID，可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题，因此可以认为 SSID 是一个简单的口令，从而提供口令认证机制，实现一定的安全。 SSID（Service Set Identifier），它是用来区分不同的网络或自治域的，简单说，SSID就是一个局域网的ID，最多可以有32个字符。SSID只不过是一个标识，它能和“安全”产生什么关系呢？我们来回想一下我们连接公司AP的过程，点击右下角的图标，选择要连接的SSID，如果需要认证，填写两遍密码，这样就完成了无线网的连接。为什么我能看到SSID？那是因为AP在设置的时候打开了Broadcast SSID选项，目的是方便User的连接，如果黑客想通过安放非法的Rogue AP在网络内来窃取机密数据，相信它不会傻到打开广播，告诉管理员你的网络内有一个“信号质量非常好”的AP存在吧？我们可以大胆的假设，凡是我们见到的不认识的SSID都可能是非法的，凡是我们看不到的隐藏的SSID肯定是非法的！也许现在您的网络内就存在这样一颗罪恶的小AP！ 通常情况下 SSID 是广播公布的，以方便网络用户使用，但是如果我们隐藏了 SSID，那么只有事先知道 SSID 的指定用户才能连上，不知道 SSID 的其他非指定用户就无法连入这个无线网络，正如黑客如果不知道我们的 IP 地址，是没有办法对我们进行攻击一样。倘若黑客知道了 SSID，即使未经授权，也很容易使用你的无线服务。对于部署的每个无线访问点而言，你要选择很难猜中的 SSID，并且禁止通过天线向外广播 SSID。这样网络仍可使用，但不会出现在可用网络列表上。用户只有输入了 SSID 后才能连接，而节点的 SSID 在管理无线网络时可以随意更改的，因此此方法在不损失传输速度的同时也起到了“加密”的作用，有效的防止了未授权用户的入侵 物理地址过滤(MAC) ?? 由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。这个方案要求AP 中的MAC地址列表必需随时更新，可扩展性差;而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作;如果用户增加，则扩展能力很差，因此只适合于小型网络规模。? 连线对等保密(WEP)?? ?? 在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。 Wi-Fi保护接入(WPA) ?? ??? WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。其原理为根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据，要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能，WEP中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。作为802.11i标准的子集，WPA包含了认证、加密和数据完整性校验三个组成部分，是一个完整的安全性方案。 国家标准(WAPI) ?? WAPI(WLAN Authenticationand Privacy Infrastructure)，即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准 GB15629.11中提出的WLAN安全解决方