【文章內(nèi)容簡介】 許訪問WALN。當客戶試圖連接到 WLAN 時，首先要向 AP 發(fā)送身份驗證請求。 在這個請求中包含 了 目標網(wǎng)絡(luò)的 SSID， SSID需要在 AP 中設(shè)置，如果網(wǎng)絡(luò)為開放網(wǎng)絡(luò)， SSID就為空，否則就不為空。 無線 AP 就是根據(jù)客戶端發(fā)送的 SSID 來判斷是否通過 了 驗證，當驗證通過后客戶端設(shè)備就可以連接 AP。 而 此時就發(fā)生了 MAC地址 的 過濾 ， MAC 地址過濾有兩種方式，第一種 為 白名單方式， 是 指允許指定的 MAC 地址信息通過而拒絕其他 MAC地址通過。另一種 為 黑名單方式，指定的 MAC地址信息被拒絕通過外 ， 其他的地址均可通過[5]。白名單方式的限制相對比較多，安全性較高，適合終端設(shè)備比較固定的場合使用，而黑名單方式主要是為封堵部分 的 用戶而實現(xiàn)。 MAC 地址過濾位 是在 AP 中，起到阻止非信任終端設(shè)備訪 問的作用。在終端設(shè)備試圖與 AP 連接之前， MAC 地址過濾 就 會識別出非信任的 MAC 地址并阻止 了 通信，使其不能 夠 訪問信任 的 網(wǎng)絡(luò)，但終端設(shè)備仍然可以連接到 AP，只是被禁止進一步的訪問。 MAC地址的優(yōu)點： （ 1） 接受預(yù)先確定的用戶； （ 2） 過濾的 MAC地址不能進行訪問； （ 3） 提供第一層的防護。 MAC地址的缺點： （ 1） 管理負擔； （ 2） 在一些無線設(shè)備中，可以對 MAC地址進行編程。 有線等效保密 （ WEP）協(xié)議全稱為有線對等保密（ Wired Equivalent Privacy， WEP）是一種數(shù)據(jù)加密 的 算法。 WEP 協(xié)議是由 標準定義的，用于無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。 WEP 使用 了 40位鑰匙，采用 RSA開發(fā)的 RC4對稱加密算法，在鏈路層加密數(shù)據(jù) 的 [6]。 WEP 加密采用靜態(tài)保密密鑰，各 個 WLAN終端使用 了 相同的密鑰訪問無線網(wǎng)絡(luò)。 WEP 也提供 了認證功能 ， 當加密機制功能啟用 時， 客戶端要嘗試連上 AP， AP 就 會發(fā)出一個 Challenge Packet給客戶端，客戶端利用共享密鑰將此值加密后送回 到 存取 點以進行認證 匹配 ，如果正確無誤，才能 夠 獲準存取網(wǎng)絡(luò)資源 [7]。 40 位 WEP 具有很好互操作性，所有通過 WiFi組織認證的產(chǎn)品都可實現(xiàn) WEP 互操作?，F(xiàn)在的 WEP 一般也支持 128位的密鑰，提供 了 更高等 級 的安全加密。 WEP 優(yōu)點： （ 1） 全部報文使用檢驗和加密，提供一定的抵抗篡改的能力； （ 2） 通過加密來維護一定的保密性。如果沒有了密鑰就不能把報文解密； （ 3） 非常容易實現(xiàn) WEP。在 AP 和每個客戶端都設(shè)置加密就可以； （ 4） 可以由用戶進行定義 WEP密鑰，而且沒有限制。不必使用預(yù)定的密鑰，可以經(jīng)常更改密鑰。 WEP 缺點： （ 1） RC4加密算法是一個公開流加密算法。為了加密，它使用了有限 密鑰生成無限的偽隨機密碼； （ 2） 必須在每個客戶端和每個 AP 實現(xiàn) WEP,WEP才可以生效； （ 3） 一旦修改了密鑰，必須告訴每個人，告訴人數(shù)越多，信息變得越公開。 WiFi網(wǎng)絡(luò)安全存取 WPA是一種基于標準的可互操作 WLAN安全性增強解決方案，可 以 大大增強現(xiàn)有以及未來 的 無線局域網(wǎng)系統(tǒng)的數(shù)據(jù)保護和訪問控制水平。 WPA源于正在制定中 的 且 將與之保持前向兼容 [8]。 若 部署適當， WPA可 以 保證 WLAN用戶的 數(shù)據(jù)受到保護，并且只有授權(quán)網(wǎng)絡(luò)用戶才可以訪問WLAN網(wǎng)絡(luò)。 (1) 認證 WPA 要求用戶必須提供某種形式的證據(jù)來證明它是合法 的 用戶，才能 夠 擁有對某些網(wǎng)絡(luò)資源訪問權(quán)，并且這是強制性的。 WPA的認證 可 分為兩種：第一種 是 采用 +EAP（ Extensible Authentication Protocol）的方式，用戶提供認證所需憑證，如用戶名密碼，通過特定的用戶認證服務(wù)器來實現(xiàn) 的 。另 7 一種 是 WPA預(yù)共享密鑰方式，要求在每個無線局域網(wǎng) 的 節(jié)點（ AP、 STA等）預(yù)先輸入一個密鑰，只要密鑰 符合 就可獲得無線局域網(wǎng) 的訪問權(quán)。 (2) 加密 WPA采用 TKIP（ Temporal Key Integrity Protocol，臨時密鑰完整性協(xié)議）為 了 加密引入新的機制，它 是 使用 了 一種密鑰構(gòu)架和管理方法，通過由認證服務(wù)器動態(tài)生成、分發(fā)密鑰 用 來取代單個靜態(tài)密鑰、把密鑰 的 首部長度從 24 位增加到 了 128位 的 方法增強 了 安全性。而且， TKIP 利用 。認證服務(wù)器在接受用戶身份后，使用 。然后， TKIP把這密鑰通過安全通道分發(fā)到 了 AP 和客戶端，并 且 建立一個密鑰構(gòu)架和管理系統(tǒng)，使 用主密鑰為用戶動態(tài)產(chǎn)生 了一個唯一的數(shù)據(jù)加密密鑰，來加密每一個無線通訊數(shù)據(jù) 的 報文。 (3) 消息完整性校驗 除了保留 CRC校驗 以 外， WPA還 為每個數(shù)據(jù)分組增加了一個 8字節(jié)的消息完整性校驗值，以防止攻擊者截獲、篡改及重發(fā)數(shù)據(jù)報文。 WAPI鑒別與保密 無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)（ WLAN Authentication and Privacy Infrastructure， WAPI）是我國無線局域網(wǎng)國家標準制定，是由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（ WLAN uthentication Infrastructure， WAI）和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（ WLAN Privacy Infrastructure ， WPI）組成。 WAPI是采用公開密鑰體制橢圓曲線密碼算法和對稱密鑰體制分組密碼算法，分別用在 WLAN 設(shè)備數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)了設(shè)備的身份鑒別、鏈路驗證、訪問控制以及用戶信息在無線傳輸狀態(tài)下的加密保護。 在 WAPI中身份鑒別的基本功能就是實現(xiàn)對接入設(shè)備得用戶證書和身份的鑒別，若鑒別成功則允許其接入網(wǎng)絡(luò)，否則解除關(guān)聯(lián)，鑒別流程包含以下幾個步驟： （ 1）鑒別激活：當 STA登錄 至 AP 時，由 AP 向 STA發(fā)送認證激活啟動認證過程； （ 2）接入鑒別請求：工作站 STA向 AP 發(fā)出接入認證請求時，將 STA證書與 STA的當前系統(tǒng)時間（接入認證請求時間）發(fā)向 AP； （ 3）證書鑒別請求： AP 收到了 STA接入認證請求后，向 AS（認證服務(wù)器）發(fā)出證書認證的請求，將 STA證書、接入認證請求時間、 AP 證書以及用 AP 的私鑰對上述字段簽名，構(gòu)成了認證請求報文發(fā)送給 AS。 （ 4）證書鑒別響應(yīng)： AS 收到 AP 的證書認證請求，驗證 AP 的簽名及 AP 和 STA證書的合法性。驗證完畢后， AS 將 STA證書認證結(jié)果的信息 (包括 STA證書、認證結(jié)果及 AS 對它們的簽名 )、 AP 證書認證結(jié)果信息 (包括 AP 證書、認證結(jié)果、接入認證請求時間及 AS 對它們的簽名 )構(gòu)成證書認證響應(yīng)報文發(fā)給 AP。 （ 5）接入鑒別響應(yīng)： AP 對 AS 返回證書認證響應(yīng)進行了簽名驗證，得到 STA 證書認證結(jié)果。 AP將 STA證書認證結(jié)果的信息、 AP 證書認證結(jié)果信息及 AP 對它們的簽名組成了接入認證響應(yīng)報文送回至 STA。 STA驗證 AS 的簽名后，得到了 AP 證書的認證結(jié)果。 STA根據(jù)該認證結(jié)果決定是否接入 AP。 8 4 校園無線網(wǎng)絡(luò)安全關(guān)鍵技術(shù) 端口訪問控制技術(shù)（ IEEE ） IEEE 協(xié)議 是基于 Client/Server訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶 /設(shè)備通過接入 該 端口 (access port)訪問 LAN/WLAN。獲得交換機或 LAN 提供各種業(yè)務(wù)之前， 于 連接到交換機端口上的用戶 /設(shè)備進行 了 認證 [9]。在認證通過之前， 只允許 EAPoL（基于局域網(wǎng)的擴展認證協(xié)議） 的 數(shù)據(jù)通過設(shè)備連接交換機端口；認證通過后，正常的數(shù)據(jù)可以順利通過以太網(wǎng)端口。 IEEE 基于以太網(wǎng)端口認證的 以 下特點： （ 1） IEEE 是 二層協(xié)議，不需要到達三層，對設(shè)備的整體性要求不高，可以有效降低建網(wǎng) 的 成本； （ 2） 借用在 RAS系統(tǒng)中常用的 EAP（擴展認證協(xié)議），可提供良好的擴展性和適應(yīng)性，實現(xiàn) 了 傳統(tǒng) PPP認證架構(gòu)的兼容； （ 3） 的認證體系結(jié)構(gòu)采用了 可控端口 和 不可控端口 的邏輯功能，從而實現(xiàn)業(yè)務(wù)與認證的分離，由 RADIUS 服務(wù)器 和交換機利用不可控的邏輯端口共同完成 了 對用戶的認證與控制，業(yè)務(wù)報文直接承載 了 正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝純數(shù)據(jù)包； （ 4） 可以使用現(xiàn)有 后臺 認證系統(tǒng)降低部署成本，并有豐富的業(yè)務(wù)支持；可以映射不同用戶認證等級到不同 VLAN；可以使交換端口和無線 LAN 具有安全的認證接入功能。 IEEE 認證過程 (1)當用戶上網(wǎng)需求時打開 程序，輸入已經(jīng)申請、登記過的用戶名和口令，發(fā)起連接請求?？蛻舳顺绦?qū)l(fā)出請求認證的報文給交換機，開始啟動一次認證過程。 (2)交換機收到 了 請求認證的數(shù)據(jù)幀后，將發(fā)出一個請求幀要求用戶客戶 端程序?qū)⑤斎氲挠脩裘蜕蟻怼? (3)客戶端程序響應(yīng)交換機發(fā)出的請求，將用戶名 的 信息通過數(shù)據(jù)幀送給交換機。交換機將客戶端送上來數(shù)據(jù)幀經(jīng)過封包處理后送 回 給認證服務(wù)器進行處理。 (4)認證服務(wù)器收到 了 交換機轉(zhuǎn)發(fā)上來用戶名信息后，將該信息與數(shù)據(jù)庫中的用戶名表 進行 比對，找到該用戶名對應(yīng)口令信息，用隨機生成的一個加密字對它進行加密，同時也將此加密字傳給交換機，由交換機傳給客戶端程序。 (5)客戶端程序收到由交換機傳來的加密字，用該加密字對口令部分進行加密處理（此種加密算法通常是不可逆的），并通過 了 交換機傳給認證服 務(wù)器。 (6)認證服務(wù)器將送上來加密后的口令信息和自己經(jīng)過加密運算后的口令信息進行 了 對比 。 如果相同，則認為該用戶 是 合法用戶，反饋認證通過消息，并向交換機發(fā)出打開端口指令，允許用戶業(yè)務(wù)流通過端口訪問網(wǎng)絡(luò)。否則，反饋認證失敗的消息，并保持交換機端口 為 關(guān)閉狀態(tài)，只允許認證信息數(shù)據(jù)通過 ， 不允許業(yè)務(wù)數(shù)據(jù)通過。 IEEE 綜合 ，其具有的優(yōu)勢可以總結(jié)為以下幾點 ： 簡潔高效：純以太網(wǎng)技術(shù) 的 內(nèi)核，保持了 IP 網(wǎng)絡(luò)無連接 的 特性，不需要進行協(xié)議間多層封裝，去除不 必要的開銷和冗余；消除網(wǎng)絡(luò) 的 認證計費瓶頸和單點故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。 （ 1） 容易實現(xiàn)： 網(wǎng)絡(luò)綜合 造價成本低，保留了傳統(tǒng) AAA認證 的網(wǎng)絡(luò)架構(gòu)，可利用現(xiàn)有的 RADIUS設(shè)備。 （ 2） 安全可靠：在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證，結(jié)合 MAC 地址 、端口、賬戶、 VLAN 和密碼等；綁定技術(shù)具有很高安全性，在無線局域網(wǎng)環(huán)境中 結(jié)合 EAP－ TLS， EAP－ TTLS,可實現(xiàn)對 WEP證書密鑰動態(tài)分配，克服無線局域網(wǎng)接入的安全漏洞。 （ 3） 行業(yè)標準： IEEE標準，和以太網(wǎng)標準同源，可實現(xiàn)和以太網(wǎng)技術(shù)的融合，幾乎 所有的主流數(shù) 9 據(jù)設(shè)備廠商在設(shè)備，包括 路由器 、交換機和無線 AP 上都提供 了 對該協(xié)議的支持。在客戶端方面 微軟Windows XP 操作系統(tǒng) 內(nèi)置支持， Linux也提供對該協(xié)議的支持。 （ 4） 應(yīng)用靈活：可以靈活控制認證顆粒度，用于對單個用戶 的 連接、用戶 ID 或者是對接入設(shè)備進行 的 認證，認證的層次可以進行靈活的組合，滿足特定接入技術(shù)或是業(yè)務(wù)的需要。 （ 5） 易于運營：控制流和業(yè)務(wù)流完全 的 分離，易于實現(xiàn)跨平臺多業(yè)務(wù) 的 運營，少量改造傳統(tǒng)包月制等單一收費制網(wǎng)絡(luò)即可 以 升級成運營級網(wǎng)絡(luò)，而且網(wǎng)絡(luò)的運營成本也有 可能會 降低。 擴 展認證協(xié)議（ EAP）