【文章內(nèi)容簡介】 接入數(shù)據(jù)的安全。l 明文數(shù)據(jù)該種服務(wù)本質(zhì)上為無安全保護的WLAN 服務(wù)，所有的數(shù)據(jù)報文都沒有通過加密處理。l WEP加密WEP(Wired Equivalent Privacy，有線等效加密)用來保護無線局域網(wǎng)中的授權(quán)用戶所交換的數(shù)據(jù)的機密性，防止這些數(shù)據(jù)被隨機竊聽。在實際實現(xiàn)中，已經(jīng)廣泛使用104 位密鑰的WEP 來代替40位密鑰的WEP，104 位密鑰的WEP 稱為WEP104。雖然WEP104 在一定程度上提高了WEP 加密的安全性，但是受到RC4 加密算法以及靜態(tài)配置密鑰的限制，WEP加密還是存在比較大的安全隱患。l TKIP加密TKIP 是一種加密方法，用于增強preRSN 硬件上的WEP 協(xié)議的加密的安全性，其加密的安全性高于WEP。WEP 主要的缺點在于，盡管IV（Initial Vector，初始向量）改變，但在所有的幀中使用相同的密鑰，而且缺少密鑰管理系統(tǒng)，不可靠。TKIP 和WEP 加密機制都是使用RC4 算法，但是相比WEP 加密機制，TKIP 加密機制可以為WLAN服務(wù)提供更加安全的保護。首先，TKIP 通過增長了算法的IV 長度，提高了WEP 加密的安全性；其次，TKIP 支持密鑰的動態(tài)協(xié)商，解決了WEP 加密需要靜態(tài)配置密鑰的限制；另外，TKIP 還支持了MIC 認證（Message Integrity Check，信息完整性校驗）和Countermeasure 功能。l CCMP加密CCMP(Counter mode with CBCMAC Protocol，[計數(shù)器模式]搭配[區(qū)塊密碼鎖鏈－信息真實性檢查碼]協(xié)議)加密機制是基于AES（Advanced Encryption Standard，高級加密標準）加密機制的CCM（CounterMode/CBCMAC，區(qū)塊密碼鎖鏈－信息真實性檢查碼）方法，僅用于RSNA客戶端。CCM 結(jié)合CTR（Counter mode，計數(shù)器模式）進行機密性校驗，同時結(jié)合CBCMAC（區(qū)塊密碼鎖鏈－信息真實性檢查碼）進行認證和完整性校驗。CCM 可以保護MPDU 數(shù)據(jù)段和IEEE 。CCMP 中所有的AES 處理進程都使用128 位的密鑰和128 位的塊大小。CCM 中每個會話都需要一個新的臨時密鑰。CCMP 使用48 位的PN（packet number）來實現(xiàn)這個目的。對于同一個臨時密鑰，重復(fù)使用PN 會使所有的安全保證無效。為充分保障數(shù)據(jù)在傳輸過程中的安全，防止竊取和破解，方案中選擇CCMP協(xié)議對無線傳輸?shù)臄?shù)據(jù)進行加密。(三) 無線認證方式l PSK 認證PSK 認證需要實現(xiàn)在無線客戶端和設(shè)備端配置相同的預(yù)共享密鑰。如果密碼相同，PSK 接入認證成功；如果密鑰不同，PSK 接入認證失敗。l 認證 協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network access control protocol）。這種認證方式在WLAN 接入設(shè)備的端口這一級對所接入的用戶設(shè)備進行認證和控制。連接在端口上的用戶設(shè)備如果能通過認證，就可以訪問WLAN 中的資源；如果不能通過認證，則無法訪問WLAN 中的資源。l Web認證Web Portal認證又稱為強制WEB認證或WEB+DHCP，其對具有對新業(yè)務(wù)支撐能力強大、無需安裝客戶軟件、與組網(wǎng)設(shè)備無關(guān)等特點。受到越來越多用戶的歡迎。Portal認證業(yè)務(wù)可以為管理者提供方便的管理功能，如要求所有的用戶都到門戶網(wǎng)站去認證，門戶網(wǎng)站可以開展廣告、信息服務(wù)、個性化的業(yè)務(wù)等，為信息傳播提供一個良好的載體。(四) 密鑰協(xié)商協(xié)議l WPA方式WPA(WiFi Protected Access) 是WiFi聯(lián)盟為了適應(yīng)市場需求定制的無線安全方案。WPA密鑰協(xié)商協(xié)議也被稱為WPA1，一般與TKIP數(shù)據(jù)保密算法一起使用。l RSN方式RSN(Robust Secure Network，魯棒性安全網(wǎng)絡(luò))。RSN密鑰協(xié)商協(xié)議也被稱為WPA2，一般與CCMP數(shù)據(jù)保密算法一起使用。 WEB無感知認證(一) 場景分析在傳統(tǒng)的web認證方案中，用戶普遍反應(yīng)web易用性差，每次都需要連接SSID，打開瀏覽器，輸入用戶名和密碼，操作步驟多，而且掉線了還不能夠自動登錄，依然需要手動輸入用戶名和密碼進行在此認證。為了使所有的web認證用戶永遠在線，無感知的接入網(wǎng)絡(luò)，在用戶首次web認證之后，就可以無感知接入網(wǎng)絡(luò)的體驗，不需要再次進行web認證的配置。(二) 實際操作實例所有客戶端操作步驟都如下，此處以win7為例。關(guān)聯(lián)上hexinbiaotest的SSID。打開IE瀏覽器，AC將強推彈出web認證界面，輸入用戶名密碼，點擊登錄。Web認證成功。(三) 首次web認證后自動注冊MAC地址查看在線用戶，如下圖。查看注冊的移動終端，如下圖。（用戶組開啟注冊移動終端之后，所屬該用戶組的用戶web認證之后，自動注冊移動終端，如果用戶注冊的移動終端超過管理員允許的上線，則系統(tǒng)自動刪除最早注冊的移動終端）。注冊移動終端是為了后續(xù)的mac by pass認證能夠通過，不在彈出web認證界面。(四) 客戶端MacByPass無感知認證當用戶第一次web認證后，用戶下線。第二次系統(tǒng)檢測到移動終端進入到hexinbiaotest的wifi信號區(qū)時，將自動連接到該SSID，AC通過MAC地址認證直接發(fā)送報文到SMP統(tǒng)一認證平臺，SMP由于記錄了該用戶首次web認證的mac地址，發(fā)送ACCETP報文給AC，AC記錄用戶認證成功，不在推送web界面給用戶。用戶無需任何操作，即可上網(wǎng)。 微信認證患者及其家屬到醫(yī)院打點滴、住院等，通常時間都比較長，醫(yī)院可以為客戶提供只有關(guān)注醫(yī)院的微信即可免費享受WLAN上網(wǎng)服務(wù)，可以使等待的時間更容易打發(fā)，避免感到不耐煩或因排隊太久而焦急。從而也可讓患者及其家屬通過微信了解醫(yī)院相關(guān)信息、醫(yī)療常識等，提供病患及其家屬對醫(yī)院的認知、親密度以及滿意度。微信認證具體流程如下：(一) 重定向到微信引導(dǎo)界面1. 用戶使用終端瀏覽器進行網(wǎng)絡(luò)訪問時，會發(fā)起網(wǎng)頁訪問請求；2. 如果該網(wǎng)頁資源不是NAS(認證節(jié)點，該方案是的是AC控制器)放行的資源，那么NAS對用戶請求進行攔截，并進行重定向到SMP(認證平臺)提供的WEB微信認證引導(dǎo)界面；3. 用戶瀏覽器根據(jù)重定向地址，訪問SMP的微信認證引導(dǎo)界面。(二) 微信APP認證流程1. 打開公眾號關(guān)注微信：可通過掃描引導(dǎo)界面的二維碼圖片，圖片可通過保存到手機相冊再進行掃描，或者直接輸入公眾號查找關(guān)注。1. 點擊一鍵上網(wǎng)的菜單鏈接發(fā)送HTTP請求，AC和SMP配合校驗上網(wǎng)鏈接URL的合法性，并在SMP生成微信賬號。2. SMP將認證結(jié)果填入頁面，和門戶網(wǎng)站一起推送給客戶。如果配置了上線公告地址，則會彈出右邊的門戶主頁頁面。 (三) 退出認證流程1） 用戶主動下線用戶發(fā)起下線請求到SMP（內(nèi)置Portal），只有存在在線界面有下線按鈕的情況下才可主動發(fā)起下線；管理員強制下線和用