网络安全培训：无线网络安全标准讲解.doc

网络安全培训：无线网络安全标准讲解 华迪教育 华迪信息 　　随着有效用户及潜在攻击者的攻击能力渐渐提高，技术和监管条例不断修改，市场对安全性级别的要求也在不断变化。不过，终端用户对网络安全始终非常重视，例如一般用户都在手提电脑上采用最新的杀毒软件及入侵检测软件。但在实际应用中，在手提电脑上储存登录密码和鉴权这两种指令经常发生冲突。 　　加密 　　IEEE和WECA建议“把安全层部署在无线LAN层上”。以VPN为例，它可提供端到端安全性，而不会对无线LAN造成影响。 　　对于一些客户而言，部署低成本接入点和应用级安全性解决方案是理想选择。例如在公众场所的部署，运营商最大目的是经济地部署具有Wi-Fi互*作性的无线接入网络，让最多的客户享用服务，并提供易用的网页界面供客户注册使用。网络级别的安全性可通过连接企业网络的IPSec VPN接入实现。 　　VPN解决方案还支持多数企业应用。IPSec客户机通常应用于远程接入。同样的VPN方案亦支持无线接入客户机访问。 　　用户可使用先进的移动安全体系结构 (AMSA) 对无线LAN层提供更强的加密支持(不使用VPN)。AMSA是基于会话 (session) 的RC4*作，没有经过帧 (frame) 技术，可避免许多WEP的弱点。这个RC4实施避免WEP中对每个数据包进行重新加密。相反，一个数据包末端的RC4运算可用于开始下一个数据包的加密。此外，每位用户的独特密钥可用来加密发往或发自每个终端站的会话。目前市场上还没有能够提供这种针对“每位用户，每个会话”的加密。当前市场中大部份实施方案都使用单一WEP密钥(无论如何分配)进行从接入点发往终端站的会话的加密。一般情况下，所有终端站都使用单一密钥向接入点发送会话。基于每位用户会话的RC4加密可防止无意的窃听攻击。 　　802.11 安全小组(即802.11i)正致力为未来的802.11网络制定更严格的加密运算。当前的规程草案建议使用RC4/每帧IV加密运算的增强版本和128位AES加密运算。 　　鉴权 　　鉴权方法主要有两种：证书和共享密钥。每种鉴权方法都有各自的优缺点，但各个部署项目只能采用其中一种方法。杰尔系统等主要无线LAN服务供应商一般提供同时支持两种方法的鉴权系统，以便支持客户部署及避免现有鉴权系统的全部替换。 　　通过CHAP接入服务器鉴权 终端站的配置要求使用点到点 (和RADIUS鉴权 通过使用IEEE 802.11标准中规定的MAC层方法或使用 RADIUS等高层方法可对与无线网络相关的终端站进行鉴权。IEEE802.11标准支持MAC层鉴权业务的两个子层：开放系统和共享密钥。开放系统鉴权是设定鉴权服务，是终端站间彼此通信或终端站与接入点间通信的理想选择。802.11共享密钥鉴权容易受到攻击，且不符合Wi-Fi标准。 　　802.1X鉴权 802.1X鉴权与终端站和RADIUS服务器中建立的会话密钥一起，为基于证书的共同鉴权提供机制。基于802.1X端口的鉴权协议要求通过安全的有线连接预先向目标网络客户机端和服务器端分配证书。 　　密钥 　　现有的802.11b规程中未规定密钥分配机制。通过定制脚本工具和人工密钥输入完成的自动密钥分配是目前使用的方法。通过802.1X鉴权方法还可在接入服务器中自动生成密钥。密钥分配是802.11i安全性小组定义的增强型安全网络的重要组成部分 更多信息可以访问华迪IT培训 或 四川华迪信息