随着无线技术运用的日益广泛,无线网络的安全问题越来越受到人们的关注。通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发射的数据只能被所期望的用户所接收和理解。
无线局域网安全技术(二)
新一代无线安全技术——IEEE802.11i
在某些场合,如大型企业、银行、证券行业,其现有的网络结构比较复杂且对网络的安全性要求很高,仅使用基本的安全措施并不能完全达到其安全需求。为了进一步加强无线网络的安全性, IEEE802.11工作组目前正在开发作为新的安全标准的“IEEE802.11i”,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准草案中主要包含加密技术:TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard),以及认证协议:IEEE802.1x。
在 IEEE 802.11i 标准最终确定前,WPA(WiFiTM Protected Access)技术将成为代替WEP的无线安全标准协议,为IEEE 802.11 无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。
IEEE802.11i是新一代的无线安全标准。在 IEEE 802.11i 标准最终确定前,WPA技术将成为代替WEP的无线安全标准协议。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP
TKIP
新一代的加密技术TKIP与WEP一样基于RC4加密算法,且对现有的WEP进行了改进,在现有的WEP加密引擎中追加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。TKIP与当前WiFiTM
产品向后兼容,而且可以通过软件进行升级,AboveCable无线产品完全支持WiFiTM标准,只需要简单的软件升级就可以实现对TKIP的支持。
AES
IEEE 802.11i中还定义了一种基于“高级加密标准”AES的全新加密算法,以实施更强大的加密和信息完整性检查。AES是一种对称的块加密技术,提供比WEP/TKIP中RC4算法更高的加密性能,它将在IEEE 802.11i最终确认后,成为取代WEP的新一代的加密技术,为无线网络带来更强大的安全防护。
端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)
IEEE802.1x是一种基于端口的网络接入控制技术,在网络设备的物理接入级对接入设备进行认证和控制。IEEE802.1x可以提供一个可靠的用户认证和密钥分发的框架,可以控制用户只有在认证通过以后才能连接网络。IEEE802.1x本身并不提供实际的认证机制,需要和上层认证协议(EAP)配合来实现用户认证和密钥分发。EAP允许无线终端可以支持不同的认证类型,能与后台不同的认证服务器进行通讯,如远程接入拨入用户服务(RADIUS)。
AboveCable HotSopt AP已经加入了对IEEE802.1x和EAP的支持,大大提高了无线网络的安全性能,为各行业安全地使用无线网络提供了坚实的基础,完全可以满足企业、学校、物流仓储等对网络安全要求较高的无线用户的需求。
IEEE802.1x认证过程如下:
1) 无线终端向AP发出请求,试图与AP进行通讯;
2) AP将加密的数据发送给验证服务器进行用户身份认证;
3) 验证服务器确认用户身份后,AP允许该用户接入;
4) 建立网络连接后授权用户通过AP访问网络资源;
WPA(WiFi Protected Access)规范
WPA是一种可替代 WEP的无线安全技术,在 IEEE 802.11i 标准最终确定前,将为IEEE802.11 无线局域网 (WLAN)提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。
WPA考虑到不同的用户和不同的应用安全需要,例如:企业用户需要很高的安全保护(企业级),否则可能会泄漏非常重要的商业机密;而家庭用户往往只是使用网络来浏览 Internet、收发email、打印和共享文件,这些用户对安全的要求相对较低。为了满足不同要求用户的需要,WPA中规定了两种应用模式:
企业模式:通过使用认证服务器和复杂的安全认证机制来保护无线网络通信安全。
家庭模式(包括小型办公室):在AP(或者无线路由器)以及连接无线网络的无线终端上输入共享密钥来保护无线链路的通信安全。
IEEE802.1x认证过程