监理公司管理系统 | 工程企业管理系统 | OA系统 | ERP系统 | 造价咨询管理系统 | 工程设计管理系统 | 签约案例 | 购买价格 | 在线试用 | 手机APP | 产品资料
X 关闭

无线安全解决方案

申请免费试用、咨询电话:400-8352-114

来源:泛普软件

与使用“深度防御”方法的所有较好的安全策略一样,无线网络的安全应在多个层次上实现。企业级无线解决方案中最常见的安全措施包括身份认证、加密和访问控制。

一、无线身份认证

传统的有线网络使用“用户名和密码”进行身份认证已经有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查询是有线和拨号基础设施中经常使用的密码查询机制。这些身份认证系统基于一个密码散列以及身份认证服务器发出的随机查询。虽然密码散列/查询系统在有线基础设施中一直相当可靠,但现在已经证明,以无线的方式部署相同的身份认证机制是有缺陷的。通过捕获或侦听广播频率中的身份认证数据包,黑客们可以使用常见的字典攻击工具来发现空中传输的密码,通过中间人攻击来窃取会话信息,或尝试进行重放攻击。

因为有线网络中使用的身份认证方法存在的缺陷可以在无线网络中很容易地被利用,所以IETF和IEEE标准委员会已经与领先的无线供应商合作,建立更可靠的无线身份认证方法。IEEE802.1x就是目前一种最主要的无线身份认证标准。

二、802.1xWiFi身份认证

IEEE无线局域网委员会对802.1x进行了增强,并建议将其作为强化无线环境中用户身份认证的途径。它解决了早期802.11b实现方案中常见的问题,并允许使用可扩展身份认证协议(EAP)子协议来增加客户端和身份认证服务器之间身份认证信息交换的安全性,以及对这些信息进行加密。作为一种身份认证框架,802.1x奠定了客户端如何通过一个身份认证服务器进行身份认证的基础。它是一种可以使用子协议对其进行扩展的开放标准,而且没有指定应该优先使用哪一种EAP身份认证方法,这样,当开发出更新的身份认证技术时,就可以对其进行扩展和升级。

802.1x使用一个外部身份认证服务器(通常是RADIUS)对客户端进行身份认证。目前,除了执行简单的用户身份认证外,一些无线产品已经开始使用身份认证服务器来提供用户策略或用户控制功能。这些高级功能可能包括动态VLAN分配和动态用户策略。

与较早的802.11b实现方案相比,802.1x的优势包括:

(1)身份认证基于用户,每一个访问无线网络的人都在RADIUS身份认证服务器上拥有一个独一无二的用户账户。这样,就不再需要那些依靠MAC地址过滤和静态WEP密钥(易于被伪造)的基于设备的身份认证方法。

(2)ADIUS服务器集中了所有的用户账户和策略,不再要求每一接入点拥有身份认证数据库的一份拷贝,从而简化了账户信息的管理和协调。

(3)RADIUS作为一种对远程接入进行身份认证的方法,多年以来得到了普遍认可和采纳。人们对它十分了解,而且它本身也是一种成熟的技术。

(4)公司可以选择最适合其安全需求的EAP身份认证协议——在要求高安全性的情况下可选择双向证书,在其他情况下可选择单向证书以加快实现速度和降低维护成本。流行的EAP类型包括EAP-TLS、EAP-TTLS和PEAP。

(5)为提供所要求的可扩展性,可以以分层的方式部署身份认证服务器

(6)与将用户账户存放在每一接入点上的独立接入点管理解决方案相比,802.1x的总拥有成本(TCO)更低。

三、扩展身份认证协(EAP)

EAP的类型多种多样。EAP是802.1x的一种子协议,用于帮助保护客户端和认证方之间的身份认证信息的传输。根据所使用的EAP类型,还可以指定相关的数据安全机制。常见的EAP类型见表1所示。

无线安全需求推动了802.1x和安全数据传输的发展,为此将开发更新的EAP身份认证协议来解决各种安全问题。根据IEEE802.1x和EAP标准,这些新的EAP安全协议应继续使用现有的硬件。

四、无线加密

与无线网络相关的另一个担心的问题是数据保密问题,而这对有线网络来说并不是一个大问题。对于使用现代交换机的有线网络,因为网络交换机只在发送方和接收方之间转发单播流量,所以窃听不是一个很大的问题。而无线网络中的数据包是在开放广播频率上传输,所以数据保密就成为一个重大的担忧。因此,用于保护无线数据包的加密方法必须足够稳定和可靠,而且在客户端和接入点之间进行密钥交换时,必须进行身份认证和加密处理。

IEEE802.11i标准的推出目的就是在于解决无线数据保密方面的缺陷。

五、WEP与802.1x的配合

由于对密钥进行加密的短初始化向量的弱点以及密钥本身的静态属性,使用早期802.11b技术的传统WEP是一个十分薄弱的加密系统。每一用户必须手工将静态WEP密钥输入到自己的便携机中,而这些静态密钥经常因为不愿付出附加的维护开销而保持不变。如果便携机被窃或被破坏,这些WEP密钥就可能被窃,从而危及无线网络的安全。

利用802.1x身份认证和WEP,可以通过增强功能来解决传统静态WEP存在的问题。通过实现到RADIUS服务器的EAP和身份认证,802.1x解决了静态WEP密钥所存在的安全问题,其解决途径是在每次执行802.1x身份认证时都重发新的密钥,从而实现了动态WEP。这样,用户不再需要在便携机上输入一个静态WEP密钥,因为用户每次进行身份认证时都会为其生成一个新的随机密钥。另外,其他一些实现方法还允许在特定的一段时间重新生成WEP加密密钥,或强制要求在一定的时间间隔之后才能再次进行身份认证。

在802.1xWEP加密技术中,WEP加密方法仍然使用,但持续变化的密钥消除了静态密钥和薄弱的短初始化向量带来的危险。现在,人们可以不再那么担心便携机和手持设备被窃,因为静态密钥将不会存放在这些设备上。

发布:2007-04-23 11:33    编辑:泛普软件 · xiaona    [打印此页]    [关闭]
南京OA系统
联系方式

成都公司:成都市成华区建设南路160号1层9号

重庆公司:重庆市江北区红旗河沟华创商务大厦18楼

咨询:400-8352-114

加微信,免费获取试用系统

QQ在线咨询

泛普南京OA快博其他应用

南京OA软件 南京OA新闻动态 南京OA信息化 南京OA快博 南京OA行业资讯 南京软件开发公司 南京门禁系统 南京物业管理软件 南京仓库管理软件 南京餐饮管理软件 南京网站建设公司