无线局域啊、网络安全.docVIP

1. 无线局域网的安全保障 自从无线局域网诞生之日起，安全性隐患与其灵活便捷的优势就一直共存，安全问题的解决方案从反面制约和影响着无线局域网技术的推广和应用。为了保证无线局域网的安全性，IEEE 802.11系列标准从多个层次定义了安全性控制手段。 1.1 SSID访问控制 服务集标识符(Service Set Identifier，SSID)这是人们最早使用的一种WLAN安全认证方式。服务集标识符SSID，也称业务组标识符，是一个WLAN的标识码，相当于有线局域网的工作组（WORKGROUP）。无线工作站只有出示正确的SSID才能接入WLAN，因此可以认为SSID是一个简单的口令，通过对AP点和网卡设置复杂的SSID（服务集标识符），并根据需求确定是否需要漫游来确定是否需要MAC地址绑定，同时禁止AP向外广播SSID。严格来说SSID不属于安全机制，只不过，可以用它作为一种实现访问控制的手段。 1.2 MAC地址过滤 　　MAC地址过滤是目前WLAN最基本的安全访问控制方式。MAC地址过滤属于硬件认证，而不是用户认证。MAC地址过滤这种很常用的接入控制技术，在运营商铺设的有线网络中也经常使用，即只允许合法的MAC地址终端接入网络。用无线局域网中，AP只允许合法的MAC地址终端接入BSS，从而避免了非法用户的接入。这种方式要求AP中的MAC地址列表必须及时更新，但是目前都是通过手工操作完成，因此扩展能力差，只适合小型网络规模，同时这种方法的效率也会随着终端数目的增加而降低。 1.3 802.11的认证服务 　　802.11站点（AP或工作站）在与另一个站点通信之前都必须进行认证服务，两个站点能否通过认证是能否相互通信的根据。802.11标准定义了两种认证服务：开放系统认证和共享密钥认证。采用共享密钥认证的工作站必须执行有线等效保密协议（Wires Equivalent Privacy，WEP）。 2.WLAN安全的增强性技术 　　随着WLAN应用的进一步发展，802.11规定的安全方案难以满足高端用户的需求。为了推进WLAN的发展和应用，业界积极研究，开发了很多增强WLAN安全性的方法。 2.1 802.1x扩展认证协议 　　IEEE 802.1x使用标准安全协议（如RADIUS）提供集中的用户标识、身份验证、动态密钥管理。基于802.1x认证体系结构，其认证机制是由用户端设备、接入设备、后台RADIUS认证服务器三方完成。IEEE 802.1x 通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此执行下，作为RADIUS客户端配置的无线接入点将连接请求发送到中央RADIUS服务器。中央RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身 份验证，并且为会话生成唯一密钥。然后，客户机与AP激活WEP，利用密钥进行通信。 　　为了进一步提高安全性，IEEE 802.1x扩展认证协议采用了WEP2算法，即将启动源密钥由64位提升为128位。 　　移动节点可被要求周期性地重新认证以保持一定的安全级。 2.2WPA保护机制 　　Wi-Fi Protected Access（WPA，Wi-Fi保护访问）是Wi-Fi联盟提出的一种新的安全方式，以取代安全性不足的WEP。WPA采用了基于动态密钥的生成方法及多级密钥管理机制，方便了WLAN的管理和维护。WPA由认证、加密和数据完整性校验三个部分组成。 　　(1) 认证 　　WPA要求用户必须提供某种形式的证据来证明它是合法用户，才能拥有对某些网络资源的访问权，并且这是是强制性的。WPA的认证分为两种：第一种采用802.1x+EAP（Extensible Authentication Protocol）的方式，用户提供认证所需的凭证，如用户名密码，通过特定的用户认证服务器来实现。另一种为WPA预共享密钥方式，要求在每个无线局域网节点（AP、STA等）预　　先输入一个密钥，只要密钥吻合就可以获得无线局域网的访问权。 　　(2) 加密 WPA采用TKIP（Temporal Key Integrity Protocol，临时密钥完整性协议）为加密引入了新的机制，它使用一种密钥构架和管理方法，通过由认证服务器动态生成、分发密钥来取代单个静态密钥、把密钥首部长度从24位增加到128位等方法增强安全性。而且，TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个唯一的主密钥处理会话。然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个唯一的数据加密密钥，来加密每一个无线通讯数据报文。 　　(3) 消息完整