【導(dǎo)讀】安徽交通職業(yè)技術(shù)學(xué)院。無線校園網(wǎng)的構(gòu)建。系（部）城市軌道與信息工程系。2021～2021學(xué)年第2學(xué)期

　　

【正文】 無線子系統(tǒng)中所有的工作站（包括客戶機和訪問點）共享一套四個缺省的密鑰。當(dāng)一個客戶機得到缺省的密鑰后，它可以安全地和系統(tǒng)中其它所有的工作站進行通信。這種缺省密鑰的問題在于它們越是廣泛地進行分配，也就越有可能暴露。在第二種方案中，每個客戶機 建立和其它工作站 密鑰映射 關(guān)系。這種方案工作起來更為安全，因為擁有密鑰的工作站更少。但是當(dāng)工作站的數(shù)量不斷增加時，分配這樣一個獨一無二的密鑰會變得很困難。 17 身份驗證 一個客戶機在進行身份驗證之前不能接入到無線 LAN 中。 IEEE 標(biāo)準(zhǔn)定義了兩種身份驗證的方法：開放和共享密鑰。身份驗證必須在每臺客戶機上進行設(shè)置，并且這些設(shè)置應(yīng)該能夠與想和客戶機通信的所有訪問點相匹配。 開放式身份驗證為缺省的方法，整個驗證過程以明碼電文的方式完成，客戶機即使沒有提供正確的 WEP 密鑰也能和訪問點進 行通信。在共享密鑰的方法中，訪問點發(fā)送給客戶機一個詢問文本信息包，客戶機必須使用正確的 WEP 密鑰對它進行編碼，并且把它返回訪問點。如果客戶機提供的密鑰錯誤或者根本沒有提供密鑰，說明身份驗證失敗，它將不會被允許和訪問點進行通信。 一些無線 LAN 廠商支持基于客戶機物理地址，或者說基于介質(zhì)訪問控制（ MAC）地址的身份驗證方法。只有當(dāng)客戶機的 MAC 地址與訪問點所使用的驗證表中的地址相匹配時，訪問點才允許客戶機與它進行通信 。 硬件被竊 靜態(tài)地指定 WEP 密鑰給一臺客戶機是很常見的方法，密鑰或者存儲在客戶 機的磁盤存儲器中，或者存儲在客戶機的無線 LAN 適配器的內(nèi)存中。當(dāng)這些步驟完成后，客戶機處理器就擁有了客戶機的 MAC 地址和 WEP 密鑰，并且可以利用這些單元獲得對無線 LAN 的訪問權(quán)了。如果多個用戶共用一臺客戶機，這些用戶將有效地共享 MAC 地址和 WEP 密鑰。 當(dāng)客戶機丟失或被盜時，該客戶機的正常用戶將不再擁有對 MAC 地址和 WEP密鑰的訪問權(quán)，而非正常用戶則有了這些權(quán)限。此時管理員要想檢測網(wǎng)絡(luò)的安全性是否被破壞是不可能的；原有的機主應(yīng)該及時通知網(wǎng)絡(luò)管理員。當(dāng)網(wǎng)絡(luò)管理員接到通知后，必須改變安全方案，使 MAC 地址和 WEP 密鑰在訪問無線 LAN 和對傳送的數(shù)據(jù)進行解密時變得無效。同時，網(wǎng)絡(luò)管理員還必須對與丟失或被盜的客戶機密鑰相同的其它客戶機的靜態(tài)密鑰全部進行重新編碼?？蛻魴C的數(shù)目越多，對WEP 密鑰進行重新編程的工作量也就越大。 所需要的安全方案 ? 無線 LAN 身份驗證基于設(shè)備獨立的項目，如用戶名和口令等，不論在哪一部客戶機上運行，這些項目都由用戶擁有和使用 ? 使用由用戶身份驗證動態(tài)產(chǎn)生的 WEP 密鑰，并不是和客戶機物理相關(guān)的靜態(tài)密鑰 虛假訪問點 共享密鑰驗證使用單向，非相互的身份驗證方 法。訪問點可以驗證用戶的身份，但是用戶并不能驗證訪問點的身份。如果一個虛假訪問點放置到無線 LAN 中，它可以通過 劫持 合法用戶客戶機來成為發(fā)動拒絕服務(wù)攻擊的平臺。 18 因此在客戶機和驗證服務(wù)器之間需要一個相互驗證方法，雙方都應(yīng)在一個合理的時間證明它們的合法性。因為客戶機和驗證服務(wù)器通過訪問點進行通信，訪問點必須支持雙向的身份驗證方法。雙向的身份驗證使檢測和隔離虛假訪問點成為可能。 其它隱患 標(biāo)準(zhǔn)的 WEP 支持每個信息包加密功能，但是并不支持對每個信息包的驗證。黑客可從對已知數(shù)據(jù)包的響應(yīng)來重構(gòu)信息 流，從而能夠發(fā)送欺騙信息包。彌補這個安全弱點的途徑之一是定期更換 WEP 密鑰。 通過監(jiān)視 控制和數(shù)據(jù)通道，黑客可以得到如下信息： ? 客戶機和訪問點 MAC地址 ? 內(nèi)部主機的 MAC地址 ? 進行通信 /斷開通信的時間 黑客可能使用這些信息來進行長期的流量測量和分析，從而獲悉用戶和設(shè)備的詳細信息。為預(yù)防此類黑客活動，站點應(yīng)使用每次會話 WEP 密鑰 。 解決安全性時所遇到的隱患 總的來說，為了確保本部分所提到的安全性，無線 LAN安全方案應(yīng)做到： ? 無線 LAN 身份驗證基于與設(shè)備獨立的項目，如用戶 名和口令等，不論在哪一部客戶機上運行，這些項目都由用戶擁有和使用 ? 支持客戶機和驗證（ RADIUS）服務(wù)器之間的雙向身份驗證 ? 使用由用戶身份驗證動態(tài)產(chǎn)生的 WEP 密鑰，并不是和客戶機物理相關(guān)的靜態(tài)密鑰 ? 支持基于會話的 WEP密鑰 第一代無線 LAN 安全性能依賴于訪問控制和保密的靜態(tài) WEP 密鑰，它并不能解決以上這些需求。 完整的安全解決方案 我們所需要的無線 LAN 安全解決方案，應(yīng)該利用基于標(biāo)準(zhǔn)的和開放的結(jié)構(gòu)，充分利用 安全部件，提供最高級別的可用安全性，實現(xiàn)從一個中央控制點進行有 效的安全管理。一個對安全做出承諾的安全解決方案應(yīng)該遵循 IEEE 提案中的關(guān)鍵內(nèi)容，這個提案由 Cisco、 Microsoft 和其它公司聯(lián)合提出。它的中心問題集中在以下幾個方面： ? 可擴展身份驗證協(xié)議（ EAP），是使無線客戶機適配器與 RADIUS服務(wù)器進行通信的遠程訪問撥號用戶服務(wù)（ RADIUS）的擴展 ? IEEE ，用于控制端口通信的推薦標(biāo)準(zhǔn) 在使用安全解決方案時，在用戶進行網(wǎng)絡(luò)登錄之前，與訪問點通信的無線客戶機并不能獲得網(wǎng)絡(luò)訪問權(quán)。用戶在網(wǎng)絡(luò)登錄對話框或與之功能相似的對話框中 19 鍵入用戶名和口令之 后，客戶機和 RADIUS 服務(wù)器（或其它驗證服務(wù)器）通過用戶所提供的用戶名和口令進行雙向的身份驗證，對被驗證的客戶機進行檢驗。RADIUS 服務(wù)器和客戶機利用客戶機所提供的特定 WEP 密鑰進行登錄對話連接。所有敏感的信息如口令等都受到保護，不會被被動監(jiān)聽和其它攻擊方法所截獲。如果沒有保護措施，沒有什么能在空氣中暢行無阻、絕對安全地傳播。 這個過程的順序如下： ? 無線客戶機與訪問點進行通信 ? 在登錄到網(wǎng)絡(luò)之前，訪問點拒絕所有客戶機的對網(wǎng)絡(luò)資源的訪問。 ? 客戶機上的用戶在網(wǎng)絡(luò)登錄對話框或類似功能的對話框中提供用戶名 和口令。 ? 利用 和 EAP，無線 LAN 上的客戶機和 RADIUS 服務(wù)器通過訪問點進行雙向身份驗證。有幾種驗證身份的方法備選。在 Cisco 的身份驗證方法中， RADIUS 服務(wù)器發(fā)送一個驗證詢問信息到客戶機。客戶機利用用戶提供的單向口令散列信息來生成對詢問的響應(yīng)，并把這個響應(yīng)送到 RADIUS 服務(wù)器。 RADIUS 服務(wù)器根據(jù)它的用戶數(shù)據(jù)庫中的信息，自己產(chǎn)生一個響應(yīng)，并與客戶機所送來響應(yīng)進行比較。一旦 RADIUS 服務(wù)器驗證了客戶機的身份，上述過程逆向重復(fù)。 ? 當(dāng)這個雙向的驗證過程全部完成后， RADIUS 服務(wù)器 和客戶機確定一個有別于客戶機的 WEP 密鑰，并為客戶機提供合適級別的網(wǎng)絡(luò)訪問權(quán)限，為個人臺式機提供與有線交換部分相似的安全性。然后，客戶機加載密鑰，準(zhǔn)備把它應(yīng)用到登錄會話過程中。 ? RADIUS 服務(wù)器通過有線 LAN 發(fā)送一個稱為會話密鑰的 WEP密鑰到訪問點。 ? 訪問點利用會話密鑰對廣播密鑰進行加密，把經(jīng)過加密的密鑰送到客戶機，客戶機利用會話密鑰進行解密。 ? 客戶機和訪問點激活 WEP，并把會話和廣播密鑰應(yīng)用到后續(xù)會話的所有通信過程中。 EAP 和 在遵循 WEP的基礎(chǔ)上，提供了一個集中管理、基于標(biāo)準(zhǔn)、開放的方法來解決 標(biāo)準(zhǔn)在安全方面的局限。同時， EAP框架是對有線網(wǎng)絡(luò)的擴展，使企業(yè)為每個訪問方法提供一個單獨的安全結(jié)構(gòu)。 看起來許多廠商都會在他們的無線 LAN 產(chǎn)品中支持 和 EAP。由于認(rèn)識到 ， Cisco公司現(xiàn)在已經(jīng)支持這個即將實施的標(biāo)準(zhǔn)，提供完全符合 標(biāo)準(zhǔn)的、完整的、端到端的安全解決方案。這個解決方案在站點用戶使用 Cisco Airo無線客戶機適配器和訪問點以及 Cisco安全訪問 20 服務(wù)器時可以得到。要想獲悉更多的信息，請參考 Cisco Connection Online： 在使用了 Cisco 的無線 LAN安全解決方案之后，任何公司都將： ? 使由于硬件丟失或被盜、虛假訪問點、黑客攻擊造成的安全隱患最小 ? 使用在用戶登錄時動態(tài)創(chuàng)建的、特定用戶的、基于會話的 WEP 密鑰，而不是存儲在客戶機設(shè)備和訪問點的靜態(tài) WEP 密鑰 ? 從一個集中控制點管理所有無線用戶的安全性 Cisco 無線安全服務(wù)與有線 LAN 的安全性能相當(dāng)，完全可滿足一個穩(wěn)定、可靠、安全的可移動網(wǎng)絡(luò)解決方案的需求。 21 第 五 章 總結(jié) 致謝 從組建網(wǎng)絡(luò)技術(shù)上看：現(xiàn)在計算機網(wǎng)絡(luò)技術(shù)已經(jīng)相當(dāng)成熟，無論是何種情況，都可以很好的解決。并 且目前隨著信息化社會的不斷發(fā)展，信息交流速度十分的快速，如果校園還未實現(xiàn)信息化，那么校園 的發(fā)展將受到制約。所以組建局域網(wǎng)是十分必要的。無線網(wǎng)的空間量很大，將來的局域網(wǎng)擴建也是十分有必要的；避免了在有限局域網(wǎng)中的局限性。 參考文獻 [1] 張保通 李偉紅 Cisco 網(wǎng)絡(luò)互連技術(shù) 2021 年 7 月第 9次印刷 [2] 劉瑞挺 網(wǎng)絡(luò)安全技術(shù) 2021 年 8 月第 4次印刷