資源描述:
《無線局域啊、網(wǎng)絡(luò)安全》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1��、1.無線局域網(wǎng)的安全保障自從無線局域網(wǎng)誕生之日起�,安全性隱患與其靈活便捷的優(yōu)勢就一直共存���,安全問題的解決方案從反面制約和影響著無線局域網(wǎng)技術(shù)的推廣和應(yīng)用。為了保證無線局域網(wǎng)的安全性�����,IEEE802.11系列標(biāo)準(zhǔn)從多個(gè)層次定義了安全性控制手段�����。1.1SSID訪問控制服務(wù)集標(biāo)識符(ServiceSetIdentifier�����,SSID)這是人們最早使用的一種WLAN安全認(rèn)證方式���。服務(wù)集標(biāo)識符SSID,也稱業(yè)務(wù)組標(biāo)識符�����,是一個(gè)WLAN的標(biāo)識碼��,相當(dāng)于有線局域網(wǎng)的工作組(WORKGROUP)����。無線工作站只有出示正確的SSID才能接入WLAN����,因此可以認(rèn)為SSID是一個(gè)簡單的口令�����,通過對AP點(diǎn)和網(wǎng)卡設(shè)
2����、置復(fù)雜的SSID(服務(wù)集標(biāo)識符),并根據(jù)需求確定是否需要漫游來確定是否需要MAC地址綁定���,同時(shí)禁止AP向外廣播SSID��。嚴(yán)格來說SSID不屬于安全機(jī)制���,只不過,可以用它作為一種實(shí)現(xiàn)訪問控制的手段�����。1.2MAC地址過濾 MAC地址過濾是目前WLAN最基本的安全訪問控制方式�。MAC地址過濾屬于硬件認(rèn)證���,而不是用戶認(rèn)證����。MAC地址過濾這種很常用的接入控制技術(shù),在運(yùn)營商鋪設(shè)的有線網(wǎng)絡(luò)中也經(jīng)常使用,即只允許合法的MAC地址終端接入網(wǎng)絡(luò)���。用無線局域網(wǎng)中,AP只允許合法的MAC地址終端接入BSS����,從而避免了非法用戶的接入�。這種方式要求AP中的MAC地址列表必須及時(shí)更新����,但是目前都是通過手工操作完成����,
3�、因此擴(kuò)展能力差�����,只適合小型網(wǎng)絡(luò)規(guī)模�����,同時(shí)這種方法的效率也會(huì)隨著終端數(shù)目的增加而降低。1.3802.11的認(rèn)證服務(wù) 802.11站點(diǎn)(AP或工作站)在與另一個(gè)站點(diǎn)通信之前都必須進(jìn)行認(rèn)證服務(wù)�,兩個(gè)站點(diǎn)能否通過認(rèn)證是能否相互通信的根據(jù)。802.11標(biāo)準(zhǔn)定義了兩種認(rèn)證服務(wù):開放系統(tǒng)認(rèn)證和共享密鑰認(rèn)證���。采用共享密鑰認(rèn)證的工作站必須執(zhí)行有線等效保密協(xié)議(WiresEquivalentPrivacy���,WEP)。2.WLAN安全的增強(qiáng)性技術(shù) 隨著WLAN應(yīng)用的進(jìn)一步發(fā)展����,802.11規(guī)定的安全方案難以滿足高端用戶的需求�。為了推進(jìn)WLAN的發(fā)展和應(yīng)用����,業(yè)界積極研究,開發(fā)了很多增強(qiáng)WLAN安全性的方法���。
4����、2.1802.1x擴(kuò)展認(rèn)證協(xié)議 IEEE802.1x使用標(biāo)準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶標(biāo)識�����、身份驗(yàn)證��、動(dòng)態(tài)密鑰管理��。基于802.1x認(rèn)證體系結(jié)構(gòu)�����,其認(rèn)證機(jī)制是由用戶端設(shè)備�����、接入設(shè)備��、后臺RADIUS認(rèn)證服務(wù)器三方完成����。IEEE802.1x通過提供用戶和計(jì)算機(jī)標(biāo)識����、集中的身份驗(yàn)證以及動(dòng)態(tài)密鑰管理��,可將無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)減小到最低程度�。在此執(zhí)行下�����,作為RADIUS客戶端配置的無線接入點(diǎn)將連接請求發(fā)送到中央RADIUS服務(wù)器。中央RADIUS服務(wù)器處理此請求并準(zhǔn)予或拒絕連接請求。如果準(zhǔn)予請求����,根據(jù)所選身份驗(yàn)證方法,該客戶端獲得身份驗(yàn)證���,并且為會(huì)話生成唯一密鑰。然后���,客戶機(jī)與AP激
5����、活WEP�,利用密鑰進(jìn)行通信�。 為了進(jìn)一步提高安全性����,IEEE802.1x擴(kuò)展認(rèn)證協(xié)議采用了WEP2算法�����,即將啟動(dòng)源密鑰由64位提升為128位�����?���! ∫苿?dòng)節(jié)點(diǎn)可被要求周期性地重新認(rèn)證以保持一定的安全級�。2.2WPA保護(hù)機(jī)制 Wi-FiProtectedAccess(WPA�,Wi-Fi保護(hù)訪問)是Wi-Fi聯(lián)盟提出的一種新的安全方式�,以取代安全性不足的WEP。WPA采用了基于動(dòng)態(tài)密鑰的生成方法及多級密鑰管理機(jī)制,方便了WLAN的管理和維護(hù)���。WPA由認(rèn)證�����、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)部分組成���?��! ?1)認(rèn)證 WPA要求用戶必須提供某種形式的證據(jù)來證明它是合法用戶��,才能擁有對某些網(wǎng)絡(luò)資源的訪問權(quán)
6�����、,并且這是是強(qiáng)制性的�。WPA的認(rèn)證分為兩種:第一種采用802.1x+EAP(ExtensibleAuthenticationProtocol)的方式,用戶提供認(rèn)證所需的憑證�,如用戶名密碼,通過特定的用戶認(rèn)證服務(wù)器來實(shí)現(xiàn)。另一種為WPA預(yù)共享密鑰方式���,要求在每個(gè)無線局域網(wǎng)節(jié)點(diǎn)(AP�����、STA等)預(yù) 先輸入一個(gè)密鑰�,只要密鑰吻合就可以獲得無線局域網(wǎng)的訪問權(quán)����?����! ?2)加密WPA采用TKIP(TemporalKeyIntegrityProtocol,臨時(shí)密鑰完整性協(xié)議)為加密引入了新的機(jī)制,它使用一種密鑰構(gòu)架和管理方法,通過由認(rèn)證服務(wù)器動(dòng)態(tài)生成����、分發(fā)密鑰來取代單個(gè)靜態(tài)密鑰、把密鑰首部長度從24
7����、位增加到128位等方法增強(qiáng)安全性�。而且�,TKIP利用了802.1x/EAP構(gòu)架�����。認(rèn)證服務(wù)器在接受了用戶身份后,使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話�����。然后,TKIP把這個(gè)密鑰通過安全通道分發(fā)到AP和客戶端�,并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng)��,使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰�,來加密每一個(gè)無線通訊數(shù)據(jù)報(bào)文�。 (3)消息完整性校驗(yàn) 除了保留802.11的CRC校驗(yàn)外��,WPA為每個(gè)數(shù)據(jù)分組又增加了一個(gè)8個(gè)字節(jié)的消息
