無線網絡系統的迅速發展和廣泛應用令市場對該系統的安全要求不斷提高,對現行802.11b無線LAN系統的安全表現也更為關注。
随着有效使用者及潛在***者的***能力漸漸提高,技術和監管條例不斷修改,市場對安全性級别的要求也在不斷變化。不過,終端使用者對網絡安全始終非常重視,例如一般使用者都在手提電腦上采用最新的防毒軟體及***檢測軟體。但在實際應用中,在手提電腦上儲存登入密碼和鑒權這兩種指令經常發生沖突。
加密
IEEE和WECA建議“把安全層部署在無線LAN層上”。以×××為例,它可提供端到端安全性,而不會對無線LAN造成影響。
對于一些客戶而言,部署低成本接入點和應用級安全性解決方案是理想選擇。例如在公衆場所的部署,營運商最大目的是經濟地部署具有Wi-Fi互*作性的無線接入網絡,讓最多的客戶享用服務,并提供易用的網頁界面供客戶注冊使用。網絡級别的安全性可通過連接配接企業網絡的IPSec ×××接入實作。
×××解決方案還支援多數企業應用。IPSec客戶機通常應用于遠端接入。同樣的×××方案亦支援無線接入客戶機通路。
使用者可使用先進的移動安全體系結構 (AMSA) 對無線LAN層提供更強的加密支援(不使用×××)。AMSA是基于會話 (session) 的RC4*作,沒有經過幀 (frame) 技術,可避免許多WEP的弱點。這個RC4實施避免WEP中對每個資料包進行重新加密。相反,一個資料包末端的RC4運算可用于開始下一個資料包的加密。此外,每位使用者的獨特密鑰可用來加密發往或發自每個終端站的會話。目前市場上還沒有能夠提供這種針對“每位使用者,每個會話”的加密。目前市場中大部份實施方案都使用單一WEP密鑰(無論如何配置設定)進行從接入點發往終端站的會話的加密。一般情況下,所有終端站都使用單一密鑰向接入點發送會話。基于每位使用者會話的RC4加密可防止無意的竊聽***。
802.11 安全小組(即802.11i)正緻力為未來的802.11網絡制定更嚴格的加密運算。目前的規程草案建議使用RC4/每幀IV加密運算的增強版本和128位AES加密運算。
鑒權
鑒權方法主要有兩種:證書和共享密鑰。每種鑒權方法都有各自的優缺點,但各個部署項目隻能采用其中一種方法。傑爾系統等主要無線LAN服務供應商一般提供同時支援兩種方法的鑒權系統,以便支援客戶部署及避免現有鑒權系統的全部替換。
通過CHAP接入伺服器鑒權 終端站的配置要求使用點到點 (PPP) 協定的CHAP支援鑒權。CHAP采用一種詢問和詢問應答方案來支援鑒權,使***者很難截聽到使用者名和密碼資訊。在這個過程中,所有使用者鑒權資料均通過加密隧道得到保護以防被竊聽。
PPP接收到的詢問應答資訊被封裝在RADIUS接入請求資訊中,再發往RADIUS伺服器。由于接入伺服器會生成新的CHAP詢問值,***者不能用已知的使用者名和散列的密碼登入目标網絡。雖然***者仍可檢索使用者名,但必須逆向運作MD5前向散列才能獲得使用者密碼。使用字典式***方法逆向運作MD5散列理論上是可能的,但要求大量計算資源,往往會使***者中途放棄。使用CHAP鑒權可以防止“意外”***,并在許多應用中起到保護作用。
通過PAP (密碼鑒權協定) 的接入伺服器鑒權 PAP的鑒權系統目前仍在使用,并往往與鑒權伺服器的代理——RADIUS分級體系相關。通過PAP鑒權,使用者密碼在位于接入伺服器(而非終端站)的RADIUS客戶機,使用MD5雜湊演算法進行處理。終端站向接入伺服器發送明文密碼,并通過此站點與接入伺服器間的加密DiffieHellman隧道防止外部竊聽。接入伺服器打亂這個密碼并使用RADIUS共享密鑰對散列進行加密,然後将它發送到RADIUS伺服器。隻有兩種人為情況才能破解這種加密:一種是***者成功***了在RADIUS伺服器中恢複的MD5散列密碼;另一種是***者建立了自己的接入伺服器軟體以獲得打亂前的密碼。但這兩種***都是很難實作的。
使用安全标記提供“一次性密碼”的接入伺服器鑒權 IT管理人員可使用RSA的SecurID等安全标記為網絡RADIUS伺服器進行配置,以便為撥号和無線使用者接入網絡提供“一次性密碼”。***者必須在取得密碼後一分鐘内使用密碼,或者必須竊取安全标記和該使用者的密碼才能接入網絡。所有通用RADIUS伺服器均可使用SecurID來配置。
結合CHAP、PAP鑒權和“一次性密碼”可有效地防止“人為”***。即使***者成功恢複了使用者的MD5散列密碼,該密碼也已經無效。
IEEE 802.11和RADIUS鑒權 通過使用IEEE 802.11标準中規定的MAC層方法或使用 RADIUS等高層方法可對與無線網絡相關的終端站進行鑒權。IEEE802.11标準支援MAC層鑒權業務的兩個子層:開放系統和共享密鑰。開放系統鑒權是設定鑒權服務,是終端站間彼此通信或終端站與接入點間通信的理想選擇。802.11共享密鑰鑒權容易受到***,且不符合Wi-Fi标準。
802.1X鑒權 802.1X鑒權與終端站和RADIUS伺服器中建立的會話密鑰一起,為基于證書的共同鑒權提供機制。基于802.1X端口的鑒權協定要求通過安全的有線連接配接預先向目标網絡客戶機端和伺服器端配置設定證書。
密鑰
現有的802.11b規程中未規定密鑰配置設定機制。通過定制腳本工具和人工密鑰輸入完成的自動密鑰配置設定是目前使用的方法。通過802.1X鑒權方法還可在接入伺服器中自動生成密鑰。密鑰配置設定是802.11i安全性小組定義的增強型安全網絡的重要組成部分.
轉載于:https://blog.51cto.com/10495845/1719601