无线网络安全技术标准.docx

无线网络安全技术标准 信息安全永远是重中之重。随着无线网络安全技术的发展，WLAN的安全性也得到了明显提升，从原来的不堪一击发展到如今的无懈可击，这也是越来越多的用户热衷于WLAN的一个重要因素。由于无线技术发展相对较晚，大部分用户对网络安全技术及标准的了解和应用较少，因此下面重点介绍一下当前WLAN中常用的安全技术。 1.配置SSID SSID (Service Set Identifier，服务集标识符)技术将一个无线局域网分为几个需要不同身份验证的子网，每一个子网都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的二r网络，以防止未被授权的用户进入本网络，同时对资源的访问权限进行区别限制。SSID是相邻的无线AP区分的标志，无线接入用户必须设定SSID才能和AP通信。 通常SSID必须事先设置于所有使用者的无线网卡及AP中。尝试连接到无线网络的系统在被允许进入之前必须提供SSID，这是唯一标识网络的字符串.需要注意的足，因为SSID对于网络中所有用户都是相同的字符串，其安全性较差，任何人都可以轻易地从每个信息包的明文里窃取到。 2. MAC地址过滤 使用MAC地址过滤技术，可在无线局域网的排一个AP设置一个许可接入的用户MAC地址清单，MAC地址不在清单中的用户，接入点将拒绝其接入请求。 需要注意的是，媒体访问控制只适用于小型网络规模。其主要原因如下。 MAC地址在网上足明码模式传送，只要监听网络便可从中截取或盗用该MAC地进而伪装使用者潜入企业或组织内部窃取机密资料。几乎所有的无线网卡都允许通过软件来更改其MAC地址，通过编程将想用的地址写入网卡，就可以胃充这个合法的MAC地址.因此可通过访问控制的检查而获取访问受保护网络的权限。媒体访问控制属于硬件认证，而不是用户认证。 3.WEP加密 WEP是早期比较常见的一种加密方式，它源自RC4的RSA数据加密技术，rir满足用户更高层次的网络安全需求。在链路层采用RC4对称加密技术。当用户的加密密钥与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的!即听以及非法用户的访问。 WEP的工作原理是通过一组40位或128位的密钥作为认证u令，当WEP功能启动时，每台工作站都使用这个密钥，将准备传输的资料加密运算形成新的资料，并通过无线电波传送，另一工作站在接收到资料时，也利用同一组密钥来确认资料并做解码动作，以获得原始资料。 WEP的日的是向无线局域网提供与有线网络相同级别的安全保护，用于保障无线通信信号的安全，即保密性和完整性。现在，由于WEP安全技术木身的技术缺陷和安全性不高等因素，很容易被恶意用户破解，所以很少使用。 4. WPA加密 WPA (Wi-Fi Protected Access, Wi-Fi保护性接入)是继承T WEP基本原理而又解决了WEP缺点的一种新技术。其原理为根据通用密钥，配合表示计算机MAC地址和分组信息顺序号的编号，分别为每个分组信息生成不同的密钥。然后与WEP一样，将此密钥RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的;密钥加密而成。WPA还具有防止数据中途被篡改的功能和认证功能，目前应用非常广泛。 5.WAPIP WAPI (Wireless LAN Authentication and Privacy Infrastructure,无线局域网鉴别保密丛础结构)是针对IEEE 802。日中WEP协议安全问题，在中国无线局域网国家标准GB 15629.11中提出的WLAN安全解决方案.WAPI采用公开密钥体制的椭圆曲线密码算法和对称密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和川户信息在无线传输状态下的加密保护。 WAPI的主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间的双向鉴别。从应用模式上可分为单点式和集中式。采用WAPI可以彻底扭转月前WLAN多种安全机制并存且互不兼容的现状，从而根木上解决安全和兼容性问题。 6. IEEE 802.1X身份验证 IEEE 802.1X(端口访问控制技术)是由IEEE定义的，用于以太网和无线局域网中的:端口访问与控制。该协议定义了认证和授权，可以用于局域网，也可以用于城域网。IEEE802.1 X引入了PPP协议定义的扩展认证协议EAP. EAP采用更多的认证机制，如MD5,一次性口令等，从而提供更高级别的安全。 实际上，IEEE 802.IX是运行在无线网设备关联之后.其认证层次包括两方而:客户端到认证端，认证端到认证服务器。IEEE 802.1 X定义客户端到认证端采用EAP协议，认证端到认证服务器采用EAP IEEE 802. I X要求无线工作站安装IEEE 802. I X客户端软件，无线访问站点要内IEEE。 7.虚拟专用网络 虚拟专用网络(Virtual Private Network. VPN)是一种使用互联网连接物理上分散的系统来模拟单一专用网的安全方式，通过隧道和加密技术保证专用数据的网络安全性。保护内部网免遭公共互联网攻击的技术是VPN防火墙。同样，W LAN也可以采用VPN安全框架，即安装两道防火墙，一个作为进入内部网的网关，另一个处于WLAN和内部网之间。无线防火墙只允许VPN通信。 无线用户可以向无线基础设施认证自己。实际上，把无线网络和有线网络隔离，只允许VPN通信经过，是利用了缓冲区的办法来增强网络安全性。此外，基于IPSec的VPN技术采用一IP层加密协议，可以防止通信被窃听。 VPN可以替代无线对等加密解决方案和物理地址过滤解决方案，也可以与WEP协议互补使用。但是VPN技术应用于无线网络存在如下局限性。 运行脆弱 因突发干扰或AP间越区切换等因素导致的无线链路质童波动或短时中断是很常见的。 吞吐量小 在VPN网络里进行的任何交换都必须经过VPN服务器，一台典型的VPN服务器仅能达到30-50Mb/s的数据吞吐量。 通用性差 VPN在国内、其至在国际上也没有一个统一的开发标准。 扩展性差 改变一个VPN网络的拓扑结构或内容，用户将不得不重新规划并进行网络配置。 成本高 VPN产品价格通常都比较高。 10m独享光纤