国产探花免费观看_亚洲丰满少妇自慰呻吟_97日韩有码在线_资源在线日韩欧美_一区二区精品毛片,辰东完美世界有声小说,欢乐颂第一季,yy玄幻小说排行榜完本

首頁 > 學(xué)院 > 網(wǎng)絡(luò)通信 > 正文

企業(yè)的無線安全問題綜合解決方案

2019-11-04 20:26:09
字體:
供稿:網(wǎng)友

  與使用“深度防御”方法的所有較好的安全策略一樣,無線網(wǎng)絡(luò)的安全應(yīng)在多個(gè)層次上實(shí)現(xiàn)。企業(yè)級(jí)無線解決方案中最常見的安全措施包括身份認(rèn)證、加密和訪問控制。
  
  一、無線身份認(rèn)證
  傳統(tǒng)的有線網(wǎng)絡(luò)使用“用戶名和密碼”進(jìn)行身份認(rèn)證已經(jīng)有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-md5查詢是有線和撥號(hào)基礎(chǔ)設(shè)施中經(jīng)常使用的密碼查詢機(jī)制。這些身份認(rèn)證系統(tǒng)基于一個(gè)密碼散列以及身份認(rèn)證服務(wù)器發(fā)出的隨機(jī)查詢。雖然密碼散列/查詢系統(tǒng)在有線基礎(chǔ)設(shè)施中一直相當(dāng)可靠,但現(xiàn)在已經(jīng)證實(shí),以無線的方式部署相同的身份認(rèn)證機(jī)制是有缺陷的。通過捕捉或偵聽廣播頻率中的身份認(rèn)證數(shù)據(jù)包,黑客們可以使用常見的字典攻擊工具來發(fā)現(xiàn)空中傳輸?shù)拿艽a,通過中間人攻擊來竊取會(huì)話信息,或嘗試進(jìn)行重放攻擊。
  
  因?yàn)橛芯€網(wǎng)絡(luò)中使用的身份認(rèn)證方法存在的缺陷可以在無線網(wǎng)絡(luò)中很輕易地被利用,所以IETF和IEEE標(biāo)準(zhǔn)委員會(huì)已經(jīng)與領(lǐng)先的無線供給商合作,建立更可靠的無線身份認(rèn)證方法。IEEE802.1x就是目前一種最主要的無線身份認(rèn)證標(biāo)準(zhǔn)。
  
  二、802.1xWiFi身份認(rèn)證
  IEEE無線局域網(wǎng)委員會(huì)對(duì)802.1x進(jìn)行了增強(qiáng),并建議將其作為強(qiáng)化無線環(huán)境中用戶身份認(rèn)證的途徑。它解決了早期802.11b實(shí)現(xiàn)方案中常見的問題,并答應(yīng)使用可擴(kuò)展身份認(rèn)證協(xié)議(EAP)子協(xié)議來增加客戶端和身份認(rèn)證服務(wù)器之間身份認(rèn)證信息交換的安全性,以及對(duì)這些信息進(jìn)行加密。作為一種身份認(rèn)證框架,802.1x奠定了客戶端如何通過一個(gè)身份認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證的基礎(chǔ)。它是一種可以使用子協(xié)議對(duì)其進(jìn)行擴(kuò)展的開放標(biāo)準(zhǔn),而且沒有指定應(yīng)該優(yōu)先使用哪一種EAP身份認(rèn)證方法,這樣,當(dāng)開發(fā)出更新的身份認(rèn)證技術(shù)時(shí),就可以對(duì)其進(jìn)行擴(kuò)展和升級(jí)。
  
  802.1x使用一個(gè)外部身份認(rèn)證服務(wù)器(通常是RADIUS)對(duì)客戶端進(jìn)行身份認(rèn)證。目前,除了執(zhí)行簡(jiǎn)單的用戶身份認(rèn)證外,一些無線產(chǎn)品已經(jīng)開始使用身份認(rèn)證服務(wù)器來提供用戶策略或用戶控制功能。這些高級(jí)功能可能包括動(dòng)態(tài)VLAN分配和動(dòng)態(tài)用戶策略。
  
  與較早的802.11b實(shí)現(xiàn)方案相比,802.1x的優(yōu)勢(shì)包括:
  (1)身份認(rèn)證基于用戶,每一個(gè)訪問無線網(wǎng)絡(luò)的人都在RADIUS身份認(rèn)證服務(wù)器上擁有一個(gè)獨(dú)一無二的用戶賬戶。這樣,就不再需要那些依靠MAC地址過濾和靜態(tài)WEP密鑰(易于被偽造)的基于設(shè)備的身份認(rèn)證方法。
  
  (2)ADIUS服務(wù)器集中了所有的用戶賬戶和策略,不再要求每一接入點(diǎn)擁有身份認(rèn)證數(shù)據(jù)庫(kù)的一份拷貝,從而簡(jiǎn)化了賬戶信息的治理和協(xié)調(diào)。
  
  (3)RADIUS作為一種對(duì)遠(yuǎn)程接入進(jìn)行身份認(rèn)證的方法,多年以來得到了普遍認(rèn)可和采納。人們對(duì)它十分了解,而且它本身也是一種成熟的技術(shù)。
  
  (4)公司可以選擇最適合其安全需求的EAP身份認(rèn)證協(xié)議——在要求高安全性的情況下可選擇雙向證書,在其他情況下可選擇單向證書以加快實(shí)現(xiàn)速度和降低維護(hù)成本。流行的EAP類型包括EAP-TLS、EAP-TTLS和PEAP。
  
  (5)為提供所要求的可擴(kuò)展性,可以以分層的方式部署身份認(rèn)證服務(wù)器
  
  (6)與將用戶賬戶存放在每一接入點(diǎn)上的獨(dú)立接入點(diǎn)治理解決方案相比,802.1x的總擁有成本(TCO)更低。
  
  三、擴(kuò)展身份認(rèn)證協(xié)(EAP)
  EAP的類型多種多樣。EAP是802.1x的一種子協(xié)議,用于幫助保護(hù)客戶端和認(rèn)證方之間的身份認(rèn)證信息的傳輸。根據(jù)所使用的EAP類型,還可以指定相關(guān)的數(shù)據(jù)安全機(jī)制。常見的EAP類型見表1所示。
  
  無線安全需求推動(dòng)了802.1x和安全數(shù)據(jù)傳輸?shù)陌l(fā)展,為此將開發(fā)更新的EAP身份認(rèn)證協(xié)議來解決各種安全問題。根據(jù)IEEE802.1x和EAP標(biāo)準(zhǔn),這些新的EAP安全協(xié)議應(yīng)繼續(xù)使用現(xiàn)有的硬件。
  
  四、無線加密
  與無線網(wǎng)絡(luò)相關(guān)的另一個(gè)擔(dān)心的問題是數(shù)據(jù)保密問題,而這對(duì)有線網(wǎng)絡(luò)來說并不是一個(gè)大問題。對(duì)于使用現(xiàn)代交換機(jī)的有線網(wǎng)絡(luò),因?yàn)榫W(wǎng)絡(luò)交換機(jī)只在發(fā)送方和接收方之間轉(zhuǎn)發(fā)單播流量,所以竊聽不是一個(gè)很大的問題。而無線網(wǎng)絡(luò)中的數(shù)據(jù)包是在開放廣播頻率上傳輸,所以數(shù)據(jù)保密就成為一個(gè)重大的擔(dān)憂。因此,用于保護(hù)無線數(shù)據(jù)包的加密方法必須足夠穩(wěn)定和可靠,而且在客戶端和接入點(diǎn)之間進(jìn)行密鑰交換時(shí),必須進(jìn)行身份認(rèn)證和加密處理。
  
  IEEE802.11i標(biāo)準(zhǔn)的推出目的就是在于解決無線數(shù)據(jù)保密方面的缺陷。
  
  五、WEP與802.1x的配合
  由于對(duì)密鑰進(jìn)行加密的短初始化向量的弱點(diǎn)以及密鑰本身的靜態(tài)屬性,使用早期802.11b技術(shù)的傳統(tǒng)WEP是一個(gè)十分薄弱的加密系統(tǒng)。每一用戶必須手工將靜態(tài)WEP密鑰輸入到自己的便攜機(jī)中,而這些靜態(tài)密鑰經(jīng)常因?yàn)椴辉父冻龈郊拥木S護(hù)開銷而保持不變。假如便攜機(jī)被竊或被破壞,這些WEP密鑰就可能被竊,從而危及無線網(wǎng)絡(luò)的安全。
  
  利用802.1x身份認(rèn)證和WEP,可以通過增強(qiáng)功能來解決傳統(tǒng)靜態(tài)WEP存在的問題。通過實(shí)現(xiàn)到RADIUS服務(wù)器的EAP和身份認(rèn)證,802.1x解決了靜態(tài)WEP密鑰所存在的安全問題,其解決途徑是在每次執(zhí)行802.1x身份認(rèn)證時(shí)都重發(fā)新的密鑰,從而實(shí)現(xiàn)了動(dòng)態(tài)WEP。這樣,用戶不再需要在便攜機(jī)上輸入一個(gè)靜態(tài)WEP密鑰,因?yàn)橛脩裘看芜M(jìn)行身份認(rèn)證時(shí)都會(huì)為其生成一個(gè)新的隨機(jī)密鑰。另外,其他一些實(shí)現(xiàn)方法還答應(yīng)在特定的一段時(shí)間重新生成WEP加密密鑰,或強(qiáng)制要求在一定的時(shí)間間隔之后才能再次進(jìn)行身份認(rèn)證。
  
  在802.1xWEP加密技術(shù)中,WEP加密方法仍然使用,但持續(xù)變化的密鑰消除了靜態(tài)密鑰和薄弱的短初始化向量帶來的危險(xiǎn)。現(xiàn)在,人們可以不再那么擔(dān)心便攜機(jī)和手持設(shè)備被竊,因?yàn)殪o態(tài)密鑰將不會(huì)存放在這些設(shè)備上。
  
  六、AES和IEEE802.11i
  IEEE802.11涉及到無線安全的所有方面,包括身份認(rèn)證、數(shù)據(jù)保密(AES)、數(shù)據(jù)完整性、安全快速的跨區(qū)、安全的分離認(rèn)證、安全的數(shù)據(jù)分離以及安全的IBSS。
  
  802.11i標(biāo)準(zhǔn)中包括的一項(xiàng)重大數(shù)據(jù)保密增強(qiáng)內(nèi)容是美國(guó)商務(wù)部頒發(fā)的NIST高級(jí)加密標(biāo)準(zhǔn)(AES)。AES是一項(xiàng)聯(lián)邦信息處理標(biāo)準(zhǔn)(FipS出版物編號(hào)197),定義了美國(guó)政府應(yīng)該如何保護(hù)敏感的一般性信息。AES可在不同的模式下或算法中使用,同時(shí),IEEE802.11i的實(shí)現(xiàn)將基于CBCMAC計(jì)數(shù)器模式(CCM),即使用計(jì)數(shù)器模式實(shí)現(xiàn)數(shù)據(jù)保密,使用CBC-MAC保護(hù)數(shù)據(jù)完整性。
  
  AES是一種對(duì)稱迭代數(shù)據(jù)塊密碼技術(shù),使用相同的加密密鑰進(jìn)行加密和解密。加密過程在802.11數(shù)據(jù)包的數(shù)據(jù)部分使用了多次迭代,并在離散的固定長(zhǎng)度塊中對(duì)明文的文本數(shù)據(jù)進(jìn)行加密。AES使用128位數(shù)據(jù)塊(配置128位加密密鑰)對(duì)數(shù)據(jù)進(jìn)行加密,同時(shí)基于TKIP和MIC提供的增強(qiáng)功能,并使用很多類似的算法來實(shí)現(xiàn)高水平的數(shù)據(jù)保護(hù)。
  
  因?yàn)锳ES增加了處理方面的開銷,所以需要購(gòu)買新的客戶端和接入點(diǎn)或無線局域網(wǎng)交換機(jī),以支持802.11i的增強(qiáng)數(shù)據(jù)保密功能。802.11i已經(jīng)獲得批準(zhǔn),而802.11i兼容的產(chǎn)品應(yīng)該在2004年第4季度開始有限供給市場(chǎng)。擁有較老硬件的企業(yè)需要確定是否值得為了安全性的增強(qiáng)而付出購(gòu)買802.11i兼容硬件的成本。


發(fā)表評(píng)論 共有條評(píng)論
用戶名: 密碼:
驗(yàn)證碼: 匿名發(fā)表
主站蜘蛛池模板: 无为县| 铜鼓县| 余庆县| 崇州市| 磐安县| 济南市| 双辽市| 盖州市| 利津县| 峨眉山市| 巴楚县| 崇义县| 时尚| 汕头市| 营口市| 五华县| 滨海县| 茌平县| 汝南县| 安多县| 伽师县| 左权县| 达日县| 余姚市| 宁乡县| 武清区| 军事| 昌都县| 杂多县| 兴国县| 山东| 怀化市| 华池县| 南投县| 合江县| 伊通| 涟源市| 天祝| 南江县| 高唐县| 鹰潭市|