無(wú)線局域網(wǎng)WLAN安全技術(shù)介紹
從全球市場(chǎng)看,WPA和即將推出的無(wú)線局域網(wǎng)的高級(jí)安全標(biāo)準(zhǔn)IEEE 802.11i等協(xié)議將成為今年業(yè)界關(guān)注的熱點(diǎn)。
無(wú)線局域網(wǎng)產(chǎn)業(yè)是目前整個(gè)數(shù)據(jù)通信技術(shù)領(lǐng)域當(dāng)中最為快速發(fā)展的產(chǎn)業(yè)之一。無(wú)線局域網(wǎng)解決方案在部分場(chǎng)合作為傳統(tǒng)有線局域網(wǎng)絡(luò)的補(bǔ)充或替代以其靈活性、移動(dòng)性及較低的投資成本等優(yōu)勢(shì)獲得了家庭網(wǎng)絡(luò)用戶/中小型辦公室用戶、廣泛企業(yè)用戶及及電信運(yùn)營(yíng)商的青睞,得到了快速的應(yīng)用。
無(wú)線局域網(wǎng)相對(duì)于有線局域網(wǎng)而言,其所增加的安全問(wèn)題原因主要是其采用了公共的電磁波作為載體來(lái)傳輸數(shù)據(jù)信號(hào),而其他各方面的安全問(wèn)題兩者是相同的。
無(wú)線局域網(wǎng)的安全技術(shù)這幾年來(lái)隨著無(wú)線局域網(wǎng)的高速發(fā)展,也得到了快速的發(fā)展和應(yīng)用。下面我們從無(wú)線局域網(wǎng)安全技術(shù)的發(fā)展歷程來(lái)對(duì)無(wú)線局域網(wǎng)當(dāng)中采用的主要安全技術(shù)進(jìn)行介紹。
早期基本的無(wú)線局域網(wǎng)安全技術(shù)包括有:
無(wú)線網(wǎng)卡物理地址過(guò)濾 每個(gè)無(wú)線工作站網(wǎng)卡都由唯一的物理地址標(biāo)示,該物理地址編碼方式類似于以太網(wǎng)物理地址,是48位。網(wǎng)絡(luò)管理員可在無(wú)線局域網(wǎng)訪問(wèn)點(diǎn)AP中手工維護(hù)一組允許訪問(wèn)或不允許訪問(wèn)的MAC地址列表,以實(shí)現(xiàn)物理地址的訪問(wèn)過(guò)濾。
服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配無(wú)線工作站必須出示正確的SSID,與無(wú)線訪問(wèn)點(diǎn)AP的SSID相同,才能訪問(wèn)AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕它通過(guò)本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而提供口令認(rèn)證機(jī)制,實(shí)現(xiàn)一定的安全。
在無(wú)線局域網(wǎng)接入點(diǎn)AP上對(duì)此項(xiàng)技術(shù)的支持就是可不讓AP廣播其SSID號(hào),這樣無(wú)線工作站端就必須主動(dòng)提供正確的SSID號(hào)才能與AP進(jìn)行關(guān)聯(lián)。
有線等效保密(WEP) 有線等效保密(WEP)協(xié)議是由802.11標(biāo)準(zhǔn)定義的,用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙,采用RSA開發(fā)的RC4對(duì)稱加密算法,在鏈路層加密數(shù)據(jù)。
WEP加密采用靜態(tài)的保密密鑰,各WLAN|0">WLAN終端使用相同的密鑰訪問(wèn)無(wú)線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能,當(dāng)加密機(jī)制功能啟用,客戶端要嘗試連接上 AP時(shí),AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì),如果正確無(wú)誤,才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。現(xiàn)在的WEP也一般支持 128位的鑰匙,提供更高等級(jí)的安全加密。
在802.11i或者說(shuō)WPA之前的安全解決方案:
端口訪問(wèn)控制技術(shù)(IEEE802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP) 該技術(shù)也是用于無(wú)線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線工作站與無(wú)線訪問(wèn)點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò),則AP為無(wú)線工作站打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。
802.1x要求無(wú)線工作站安裝802.1x客戶端軟件,無(wú)線訪問(wèn)點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理,同時(shí)它還作為Radius客戶端,將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器?,F(xiàn)主流的PC機(jī)操作系統(tǒng)Win XP 以及Win2000都已經(jīng)有802.1x的客戶端功能。
無(wú)線客戶端二層隔離技術(shù) 在電信運(yùn)營(yíng)商的公眾熱點(diǎn)場(chǎng)合,為確保不同無(wú)線工作站之間的數(shù)據(jù)流隔離,無(wú)線接入點(diǎn)AP也可支持其所關(guān)聯(lián)的無(wú)線客戶端工作站二層數(shù)據(jù)隔離,確保用戶的安全。
VPN-Over-Wireless技術(shù) 目前已廣泛應(yīng)用于廣域網(wǎng)絡(luò)及遠(yuǎn)程接入等領(lǐng)域的VPN(Virtual Private Networking)安全技術(shù)也可用于無(wú)線局域網(wǎng)域,與IEEE802.11b標(biāo)準(zhǔn)所采用的安全技術(shù)不同,VPN主要采用DES,3DES以及AES等技術(shù)來(lái)保障數(shù)據(jù)傳輸?shù)陌踩?duì)于安全性要求更高的用戶,將現(xiàn)有的VPN安全技術(shù)與IEEE802.11b安全技術(shù)結(jié)合起來(lái),這是目前較為理想的無(wú)線局域網(wǎng)絡(luò)的安全解決方案之一。
WPA (Wi-Fi 保護(hù)訪問(wèn)) 技術(shù)
在IEEE 802.11i 標(biāo)準(zhǔn)最終確定前,WPA(Wi-Fi Protected Access)技術(shù)是在2003年正式提出并推行的一項(xiàng)無(wú)線局域網(wǎng)安全技術(shù),將成為代替WEP的無(wú)線,其將為現(xiàn)有的大量的無(wú)線局域網(wǎng)硬件產(chǎn)品提供一個(gè)過(guò)渡性的高安全解決方案。WPA是IEEE802.11i的一個(gè)子集,其核心就是IEEE 802.1x和TKIP。
WPA在WEP的基礎(chǔ)之上為現(xiàn)有的無(wú)線局域網(wǎng)設(shè)備大大提高了數(shù)據(jù)加密安全保護(hù)和訪問(wèn)認(rèn)證控制。為了更好地支持用戶對(duì)WPA的實(shí)施,WPA針對(duì)中小辦公室/家庭用戶推出了WPA-PSK、而針對(duì)企業(yè)用戶則采用完整的WPA-Enterprise的形式。WPA是完全基于標(biāo)準(zhǔn)的并且在現(xiàn)有已存的大量無(wú)線局域網(wǎng)硬件設(shè)備上只需簡(jiǎn)單地進(jìn)行軟件升級(jí)便可完成,并且也能保證兼容將來(lái)要推出的IEEE 802.11i安全標(biāo)準(zhǔn)。
高級(jí)的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)-IEEE 802.11i
為了進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)的安全性和保證不同廠家之間無(wú)線安全技術(shù)的兼容, IEEE802.11工作組目前正在開發(fā)作為新的安全標(biāo)準(zhǔn)的IEEE 802.11i,并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE 802.11無(wú)線局域網(wǎng)的安全問(wèn)題。IEEE 802.11i標(biāo)準(zhǔn)草案中主要包含加密技術(shù):TKIP 和 AES,以及認(rèn)證協(xié)議IEEE 802.1x。預(yù)計(jì)完整的IEEE 802.11i的標(biāo)準(zhǔn)將在2004年的上半年得到正式批準(zhǔn)。IEEE 802.11i將為無(wú)線局域網(wǎng)的安全提供可信的標(biāo)準(zhǔn)支持。
評(píng)論