【文章內(nèi)容簡(jiǎn)介】 接入數(shù)據(jù)的安全。l 明文數(shù)據(jù)該種服務(wù)本質(zhì)上為無(wú)安全保護(hù)的WLAN 服務(wù)，所有的數(shù)據(jù)報(bào)文都沒(méi)有通過(guò)加密處理。l WEP加密WEP(Wired Equivalent Privacy，有線等效加密)用來(lái)保護(hù)無(wú)線局域網(wǎng)中的授權(quán)用戶(hù)所交換的數(shù)據(jù)的機(jī)密性，防止這些數(shù)據(jù)被隨機(jī)竊聽(tīng)。在實(shí)際實(shí)現(xiàn)中，已經(jīng)廣泛使用104 位密鑰的WEP 來(lái)代替40位密鑰的WEP，104 位密鑰的WEP 稱(chēng)為WEP104。雖然WEP104 在一定程度上提高了WEP 加密的安全性，但是受到RC4 加密算法以及靜態(tài)配置密鑰的限制，WEP加密還是存在比較大的安全隱患。l TKIP加密TKIP 是一種加密方法，用于增強(qiáng)preRSN 硬件上的WEP 協(xié)議的加密的安全性，其加密的安全性高于WEP。WEP 主要的缺點(diǎn)在于，盡管IV（Initial Vector，初始向量）改變，但在所有的幀中使用相同的密鑰，而且缺少密鑰管理系統(tǒng)，不可靠。TKIP 和WEP 加密機(jī)制都是使用RC4 算法，但是相比WEP 加密機(jī)制，TKIP 加密機(jī)制可以為WLAN服務(wù)提供更加安全的保護(hù)。首先，TKIP 通過(guò)增長(zhǎng)了算法的IV 長(zhǎng)度，提高了WEP 加密的安全性；其次，TKIP 支持密鑰的動(dòng)態(tài)協(xié)商，解決了WEP 加密需要靜態(tài)配置密鑰的限制；另外，TKIP 還支持了MIC 認(rèn)證（Message Integrity Check，信息完整性校驗(yàn)）和Countermeasure 功能。l CCMP加密CCMP(Counter mode with CBCMAC Protocol，[計(jì)數(shù)器模式]搭配[區(qū)塊密碼鎖鏈－信息真實(shí)性檢查碼]協(xié)議)加密機(jī)制是基于AES（Advanced Encryption Standard，高級(jí)加密標(biāo)準(zhǔn)）加密機(jī)制的CCM（CounterMode/CBCMAC，區(qū)塊密碼鎖鏈－信息真實(shí)性檢查碼）方法，僅用于RSNA客戶(hù)端。CCM 結(jié)合CTR（Counter mode，計(jì)數(shù)器模式）進(jìn)行機(jī)密性校驗(yàn)，同時(shí)結(jié)合CBCMAC（區(qū)塊密碼鎖鏈－信息真實(shí)性檢查碼）進(jìn)行認(rèn)證和完整性校驗(yàn)。CCM 可以保護(hù)MPDU 數(shù)據(jù)段和IEEE 。CCMP 中所有的AES 處理進(jìn)程都使用128 位的密鑰和128 位的塊大小。CCM 中每個(gè)會(huì)話都需要一個(gè)新的臨時(shí)密鑰。CCMP 使用48 位的PN（packet number）來(lái)實(shí)現(xiàn)這個(gè)目的。對(duì)于同一個(gè)臨時(shí)密鑰，重復(fù)使用PN 會(huì)使所有的安全保證無(wú)效。為充分保障數(shù)據(jù)在傳輸過(guò)程中的安全，防止竊取和破解，方案中選擇CCMP協(xié)議對(duì)無(wú)線傳輸?shù)臄?shù)據(jù)進(jìn)行加密。(三) 無(wú)線認(rèn)證方式l PSK 認(rèn)證PSK 認(rèn)證需要實(shí)現(xiàn)在無(wú)線客戶(hù)端和設(shè)備端配置相同的預(yù)共享密鑰。如果密碼相同，PSK 接入認(rèn)證成功；如果密鑰不同，PSK 接入認(rèn)證失敗。l 認(rèn)證 協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議（port based network access control protocol）。這種認(rèn)證方式在WLAN 接入設(shè)備的端口這一級(jí)對(duì)所接入的用戶(hù)設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶(hù)設(shè)備如果能通過(guò)認(rèn)證，就可以訪問(wèn)WLAN 中的資源；如果不能通過(guò)認(rèn)證，則無(wú)法訪問(wèn)WLAN 中的資源。l Web認(rèn)證Web Portal認(rèn)證又稱(chēng)為強(qiáng)制WEB認(rèn)證或WEB+DHCP，其對(duì)具有對(duì)新業(yè)務(wù)支撐能力強(qiáng)大、無(wú)需安裝客戶(hù)軟件、與組網(wǎng)設(shè)備無(wú)關(guān)等特點(diǎn)。受到越來(lái)越多用戶(hù)的歡迎。Portal認(rèn)證業(yè)務(wù)可以為管理者提供方便的管理功能，如要求所有的用戶(hù)都到門(mén)戶(hù)網(wǎng)站去認(rèn)證，門(mén)戶(hù)網(wǎng)站可以開(kāi)展廣告、信息服務(wù)、個(gè)性化的業(yè)務(wù)等，為信息傳播提供一個(gè)良好的載體。(四) 密鑰協(xié)商協(xié)議l WPA方式WPA(WiFi Protected Access) 是WiFi聯(lián)盟為了適應(yīng)市場(chǎng)需求定制的無(wú)線安全方案。WPA密鑰協(xié)商協(xié)議也被稱(chēng)為WPA1，一般與TKIP數(shù)據(jù)保密算法一起使用。l RSN方式RSN(Robust Secure Network，魯棒性安全網(wǎng)絡(luò))。RSN密鑰協(xié)商協(xié)議也被稱(chēng)為WPA2，一般與CCMP數(shù)據(jù)保密算法一起使用。 WEB無(wú)感知認(rèn)證(一) 場(chǎng)景分析在傳統(tǒng)的web認(rèn)證方案中，用戶(hù)普遍反應(yīng)web易用性差，每次都需要連接SSID，打開(kāi)瀏覽器，輸入用戶(hù)名和密碼，操作步驟多，而且掉線了還不能夠自動(dòng)登錄，依然需要手動(dòng)輸入用戶(hù)名和密碼進(jìn)行在此認(rèn)證。為了使所有的web認(rèn)證用戶(hù)永遠(yuǎn)在線，無(wú)感知的接入網(wǎng)絡(luò)，在用戶(hù)首次web認(rèn)證之后，就可以無(wú)感知接入網(wǎng)絡(luò)的體驗(yàn)，不需要再次進(jìn)行web認(rèn)證的配置。(二) 實(shí)際操作實(shí)例所有客戶(hù)端操作步驟都如下，此處以win7為例。關(guān)聯(lián)上hexinbiaotest的SSID。打開(kāi)IE瀏覽器，AC將強(qiáng)推彈出web認(rèn)證界面，輸入用戶(hù)名密碼，點(diǎn)擊登錄。Web認(rèn)證成功。(三) 首次web認(rèn)證后自動(dòng)注冊(cè)MAC地址查看在線用戶(hù)，如下圖。查看注冊(cè)的移動(dòng)終端，如下圖。（用戶(hù)組開(kāi)啟注冊(cè)移動(dòng)終端之后，所屬該用戶(hù)組的用戶(hù)web認(rèn)證之后，自動(dòng)注冊(cè)移動(dòng)終端，如果用戶(hù)注冊(cè)的移動(dòng)終端超過(guò)管理員允許的上線，則系統(tǒng)自動(dòng)刪除最早注冊(cè)的移動(dòng)終端）。注冊(cè)移動(dòng)終端是為了后續(xù)的mac by pass認(rèn)證能夠通過(guò)，不在彈出web認(rèn)證界面。(四) 客戶(hù)端MacByPass無(wú)感知認(rèn)證當(dāng)用戶(hù)第一次web認(rèn)證后，用戶(hù)下線。第二次系統(tǒng)檢測(cè)到移動(dòng)終端進(jìn)入到hexinbiaotest的wifi信號(hào)區(qū)時(shí)，將自動(dòng)連接到該SSID，AC通過(guò)MAC地址認(rèn)證直接發(fā)送報(bào)文到SMP統(tǒng)一認(rèn)證平臺(tái)，SMP由于記錄了該用戶(hù)首次web認(rèn)證的mac地址，發(fā)送ACCETP報(bào)文給AC，AC記錄用戶(hù)認(rèn)證成功，不在推送web界面給用戶(hù)。用戶(hù)無(wú)需任何操作，即可上網(wǎng)。 微信認(rèn)證患者及其家屬到醫(yī)院打點(diǎn)滴、住院等，通常時(shí)間都比較長(zhǎng)，醫(yī)院可以為客戶(hù)提供只有關(guān)注醫(yī)院的微信即可免費(fèi)享受WLAN上網(wǎng)服務(wù)，可以使等待的時(shí)間更容易打發(fā)，避免感到不耐煩或因排隊(duì)太久而焦急。從而也可讓患者及其家屬通過(guò)微信了解醫(yī)院相關(guān)信息、醫(yī)療常識(shí)等，提供病患及其家屬對(duì)醫(yī)院的認(rèn)知、親密度以及滿(mǎn)意度。微信認(rèn)證具體流程如下：(一) 重定向到微信引導(dǎo)界面1. 用戶(hù)使用終端瀏覽器進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)，會(huì)發(fā)起網(wǎng)頁(yè)訪問(wèn)請(qǐng)求；2. 如果該網(wǎng)頁(yè)資源不是NAS(認(rèn)證節(jié)點(diǎn)，該方案是的是AC控制器)放行的資源，那么NAS對(duì)用戶(hù)請(qǐng)求進(jìn)行攔截，并進(jìn)行重定向到SMP(認(rèn)證平臺(tái))提供的WEB微信認(rèn)證引導(dǎo)界面；3. 用戶(hù)瀏覽器根據(jù)重定向地址，訪問(wèn)SMP的微信認(rèn)證引導(dǎo)界面。(二) 微信APP認(rèn)證流程1. 打開(kāi)公眾號(hào)關(guān)注微信：可通過(guò)掃描引導(dǎo)界面的二維碼圖片，圖片可通過(guò)保存到手機(jī)相冊(cè)再進(jìn)行掃描，或者直接輸入公眾號(hào)查找關(guān)注。1. 點(diǎn)擊一鍵上網(wǎng)的菜單鏈接發(fā)送HTTP請(qǐng)求，AC和SMP配合校驗(yàn)上網(wǎng)鏈接URL的合法性，并在SMP生成微信賬號(hào)。2. SMP將認(rèn)證結(jié)果填入頁(yè)面，和門(mén)戶(hù)網(wǎng)站一起推送給客戶(hù)。如果配置了上線公告地址，則會(huì)彈出右邊的門(mén)戶(hù)主頁(yè)頁(yè)面。 (三) 退出認(rèn)證流程1） 用戶(hù)主動(dòng)下線用戶(hù)發(fā)起下線請(qǐng)求到SMP（內(nèi)置Portal），只有存在在線界面有下線按鈕的情況下才可主動(dòng)發(fā)起下線；管理員強(qiáng)制下線和用