【正文】 些實(shí)體都是網(wǎng)絡(luò)設(shè)備的邏輯實(shí)體，認(rèn)證者一般為 AP。非受控端口過(guò)濾所有的網(wǎng)絡(luò)數(shù)據(jù)流只允許 EAP幀通過(guò)。 IEEE ： 1） 無(wú)線終端向 AP發(fā)出請(qǐng) 求，試圖與 AP進(jìn)行通信； 2） AP將加密的數(shù)據(jù)發(fā)送給驗(yàn)證服務(wù)器進(jìn)行用戶身份認(rèn)證； 3） 驗(yàn)證服務(wù)器確認(rèn)用戶身份后， AP允許該用戶接入； 4） 建立網(wǎng)絡(luò)連接后授權(quán)用戶通過(guò) AP訪問(wèn)網(wǎng)絡(luò)資源。 EAP協(xié)議并不是認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器通信的惟一方式，其他的通信通道也可以使用。 13 EAP（可擴(kuò)展認(rèn)證協(xié)議）認(rèn)證對(duì) IEEE 3點(diǎn)改進(jìn)：一是雙向認(rèn)證機(jī)制，這一機(jī)制有效地消除了中間人攻擊（ MITM），如假冒的 AP 和遠(yuǎn)端認(rèn)證服務(wù)器 。 三是定義了集中策略控制，當(dāng)會(huì)話超時(shí)時(shí)，將觸發(fā)重新認(rèn)證和生成新的密鑰。 在 這種方式下 , Radius 服務(wù)器不需要證書(shū)或 者安裝在無(wú)線工作站中的其它安全信 息 。 EAP MD5 只提供認(rèn) 證 ,因此為安全起見(jiàn) ,應(yīng)該 與標(biāo)準(zhǔn) 的 802 . 11 安全協(xié) 議 WEP/ WEP2 組合使 用 ,采 用 40 位 / 128 位共享密鑰實(shí) 現(xiàn)加 密 。 EAP TLS EAP TLS ( EAP Transport Layer Security) 既提 供 認(rèn) 證 ,又提 供動(dòng)態(tài)會(huì)話鑰匙分發(fā) 。 在交換證書(shū)的 同 時(shí) ,客戶端和服務(wù)器要 協(xié)商出一個(gè)基于會(huì)話的鑰 匙 , 一 旦認(rèn)證通 過(guò) ,服務(wù)器將會(huì)話鑰匙傳給客戶端并通 知無(wú)線訪問(wèn)點(diǎn)允許該客戶端使用網(wǎng)絡(luò)服 務(wù) 。 然 而 ,需要客戶 機(jī) ─ ─ 服務(wù)器證書(shū)也意味 著 EAP TLS 需 要 進(jìn)行繁瑣的證書(shū)管理 。 802 . 1x 一個(gè)安全方案的實(shí)現(xiàn) 主要實(shí)現(xiàn)過(guò)程描述如 下 : (1) 在一 個(gè) WLAN 中 ,客戶機(jī)與接入點(diǎn)之間產(chǎn) 生 通 信請(qǐng) 求 ,接入 點(diǎn)隨之中止所有客戶機(jī)對(duì)網(wǎng)絡(luò)資源 的訪 問(wèn) 。 以 Cisco 公司提供的方法為例進(jìn) 行 說(shuō) 明 : RADIUS 服務(wù)器發(fā)送一個(gè)驗(yàn)證詢問(wèn)信息 到客 戶 機(jī) ,客戶機(jī)利 用用戶提供的單向口令散列信息進(jìn) 行 響 應(yīng) 。 RADIUS 服務(wù)器驗(yàn)證了客戶機(jī)的身份 后 ,這個(gè)過(guò) 程逆 向重 復(fù) ,以完成客戶機(jī)對(duì)接入點(diǎn)的身份驗(yàn) 證 。 接 著 ,客戶機(jī)加載密 鑰 ,準(zhǔn)備用到登錄 會(huì) 話過(guò)程 中 。 (5) 客戶機(jī)和接入點(diǎn)激活 WEP , 并把會(huì)話密鑰 和廣播密鑰應(yīng)用到后續(xù)會(huì)話的所有 通信過(guò)程 中 。 虛擬專用網(wǎng) (Virtual Private Network) 是 指在一個(gè) 公共 IP 網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密 技 術(shù)保證專用 數(shù)據(jù)的網(wǎng)絡(luò)安全性 ,VPN 是部署于公 共 網(wǎng)絡(luò)基礎(chǔ)設(shè) 施中的一種 網(wǎng)絡(luò) ,它能實(shí)現(xiàn)與專用網(wǎng)絡(luò) 相同的安 全性 、可管理性以及服務(wù)質(zhì)量策略 。 通過(guò) 透明運(yùn)行在 WLAN 上的 VPN ,便可實(shí) 現(xiàn)高級(jí)別的安 全 。 IPsec 是標(biāo)準(zhǔn)的第三層安全協(xié)議 , 用于保 護(hù) IP 數(shù)據(jù)包或上層數(shù) 據(jù) ,它可以定義哪些數(shù) 據(jù) 流需要保 護(hù) ,怎樣保護(hù)以及應(yīng)該將這些受保護(hù)的 數(shù) 據(jù)流轉(zhuǎn)發(fā) 給誰(shuí) 。 在無(wú) 線局域網(wǎng)環(huán)境 ,主要采用客戶端到網(wǎng) 關(guān) 組網(wǎng) 方式 。 SMC 無(wú)線安全解決方案的具體實(shí)現(xiàn)過(guò)程 是 : (1) 客戶機(jī) 開(kāi)始請(qǐng)求訪問(wèn)網(wǎng)絡(luò)資 源 ,請(qǐng)求 信息到 達(dá)訪問(wèn)管理 器 。 (3) 控制服務(wù)器檢查自己的數(shù)據(jù) 庫(kù) ,若該 用戶沒(méi) 有經(jīng)過(guò)認(rèn) 證 ,則發(fā)送一條要求認(rèn)證的通知 ,請(qǐng)求客 戶 端的登錄信 息 。 (5) 控制 服務(wù)器通過(guò)內(nèi)建的或者外部的認(rèn)證服 務(wù)器認(rèn)證用 戶 。 (7) 用戶得以訪問(wèn)其權(quán)限內(nèi)的網(wǎng)絡(luò)資 源 ,而沒(méi)有 權(quán)限的網(wǎng)絡(luò)資源將不能訪 問(wèn) 。 該實(shí)現(xiàn)過(guò)程 是 : ① 已經(jīng)通過(guò)認(rèn)證的客戶從訪問(wèn)管理器 A 移動(dòng) 訪問(wèn)管理 器 B 。 ③ 控制服務(wù)器協(xié)調(diào)訪問(wèn)管理器 A 和 B ,了解到 該 用戶已經(jīng)通 過(guò)認(rèn)證 ,并把該用戶的權(quán)限通知訪問(wèn) 管理 器 B 。 VPN 技術(shù)不屬 于 802 . 11 標(biāo)準(zhǔn)定義 ,它是一種以 更 強(qiáng) 大 ,更可靠 的加密方法來(lái)保證傳輸 15 安全新的一 種 技 術(shù) ,嚴(yán)格來(lái)講它可以替代 WEP 解決方案以及 MAC 地址 過(guò)濾解決方案 , 也可以與 WEP 協(xié)議互補(bǔ) 使用 。 隨著無(wú)線技術(shù)的發(fā)展 ,無(wú)線網(wǎng)絡(luò)越來(lái)越走近人 們 的生 活 ,同時(shí) 安全問(wèn)題也成為無(wú)線技術(shù)發(fā)展中的 重 中之 重 。 5 無(wú)線網(wǎng)絡(luò)最佳安全 方案 無(wú)線 網(wǎng)絡(luò)迅速滲透到人們工作 、生活的各 個(gè) 領(lǐng) 域，認(rèn)清網(wǎng)絡(luò)中存在的安全性問(wèn)題 , 制定有效地安 全策略 ,做好安全防護(hù) ,對(duì)網(wǎng)絡(luò)的正 常運(yùn)營(yíng)有著重大的意 義 。 無(wú)線局域網(wǎng) A P (接入 點(diǎn) ) 的物理位置和訪 問(wèn) 對(duì) 于安全性來(lái) 說(shuō) ,無(wú) 線 A P 的物理位置非常關(guān) 鍵 。 A P 應(yīng)放置在攻擊者很難修改的位置 。 而 且 ,還要確保入侵者無(wú)法通過(guò)使 用 無(wú) 線適 配器重新配置 A P , 這樣可以避免遇到 A P 被篡改的巨大風(fēng)險(xiǎn) 。 一定要調(diào)查自己的環(huán) 境 ,把設(shè) 備放在能夠把信號(hào)向外傳遞給用戶的位 置 ,并確保距 離窗戶盡可能的遠(yuǎn) ,信號(hào)在自己的環(huán) 境中較 強(qiáng) ,而在承諾的范圍之外變 弱 。 (1) 支 持 SS ID (服務(wù)集標(biāo)識(shí) 符 ) 網(wǎng)絡(luò)接入控 制 SS ID 網(wǎng)絡(luò)接入 控制技術(shù)對(duì)一個(gè)或一組 A P 組 成的無(wú)線網(wǎng)絡(luò)都適 用 ,它提供了一種把無(wú)線局域 網(wǎng) 分割成由多個(gè)接 入子網(wǎng) ( 一個(gè)或多個(gè) A P) 的功能 。 但是這只是一個(gè)簡(jiǎn)單的 口 令 ,所有使用該網(wǎng)絡(luò)的人都 知道該 SS ID ,很容易 泄 漏 , 所以 SS ID 只能為無(wú)線 L AN 提供初步的安 全 性 。 因?yàn)槿魏螞](méi) 有配置指定的 SS ID 的 無(wú)線終端也都可以收到該 A P 的 SS ID , 并接入 A P 這將繞過(guò) SS ID 的安全功能 。 (3) 支 持 MAC 地址過(guò)濾控 制 每個(gè)無(wú)線客戶端網(wǎng)卡都由唯一的物理地址標(biāo) 識(shí) ,因此可以在 A P 中手工維護(hù)一組允許訪問(wèn)的 MAC 地址列 表 ,實(shí)現(xiàn)物理地址過(guò) 濾 。 16 (4) 支 持 W EP (有線等效保 密 ) 安全機(jī) 制 安全設(shè)計(jì)方案 當(dāng) L AN 中 安裝了無(wú)線 A P 的時(shí)候 , 整個(gè)網(wǎng)絡(luò) 就 開(kāi)始 處于風(fēng)險(xiǎn)之中 。 應(yīng)該把無(wú)線網(wǎng) 絡(luò) A P 看作非信任設(shè) 備 ,并根據(jù)自己的具體情況防止在 網(wǎng) 絡(luò) 中 。 僅僅依靠基本的安全機(jī)制并不能夠很好的防 范各 種 各 樣 的 攻 擊 , 可 以 通 過(guò) 使 用 虛 擬 專 用 網(wǎng) ( V PN) 來(lái)提供內(nèi)部網(wǎng)絡(luò)的連 接 。 V PN 可以 替 代連線對(duì)等 保密解決方案以及物理地址過(guò)濾解 決 方 案 。 V PN技 術(shù)是透明 運(yùn)行在 WL AN 上的安全機(jī)制 ,因?yàn)? V PN 的使 用 獨(dú) 立 于 任 何 本 地 WL AN 方 案 , 不 屬 于 I EEE802 . 11 標(biāo)準(zhǔn)界定的 MAC 層的安全技術(shù) , 因 此 ,它是一種增強(qiáng)型的網(wǎng)絡(luò)解決方 案 。 而 且 V PN 方案具有較強(qiáng)的擴(kuò)充 、升 級(jí) 性 能 ,可應(yīng)用于大規(guī)模的無(wú)線網(wǎng)絡(luò) 。 其結(jié) 構(gòu)如 圖 1 所 示 : 圖 1 中可以看到 ,該網(wǎng)絡(luò)擁有兩個(gè)防火墻 ,一 個(gè) 防火 墻用于保護(hù)內(nèi)部網(wǎng)絡(luò) , 另一個(gè)防火墻面向 Inter 。 V PN 則 位 于該 范圍內(nèi) 。 創(chuàng)建一個(gè)新的網(wǎng)絡(luò)來(lái)容 納無(wú) 線 A P 和 17 無(wú)線用戶 ,并只允許他們同 DM Z 中 的 V PN 服 務(wù)器通信 。 因 此 ,在 設(shè) 計(jì) 網(wǎng)絡(luò)的時(shí)候 決不允許外部連接直接連入到內(nèi)部 機(jī)器 上 。 (2) 入侵監(jiān)測(cè)系 統(tǒng) ( IDS) 的接 入 除 此之 外在放置無(wú)線 A P 的相同網(wǎng)段也應(yīng)該 添 加 入 侵 監(jiān) 測(cè) 系 統(tǒng) ( IDS , Int rusion DetectionSystem)并為公共入侵監(jiān)測(cè)系統(tǒng)布置監(jiān)測(cè)器 ,這樣 有 助于提醒 自己可能發(fā)生的潛在威脅 。 如果攻擊者正在掃描防火 墻 ,也可 以 馬 上知 道 。 要正確維 護(hù) IDS ,經(jīng)常讀取警告 日 志 ,這樣才能 夠發(fā)現(xiàn)并防治攻 擊 。 把安全策略看作一個(gè)活動(dòng) 文 檔 ,而且能夠方便的修改和連續(xù)的更 新 。 安全 策 略中還應(yīng)該 詳細(xì)描述的過(guò)程就是更新用戶工作 站 的 W EP 密鑰方法 。 進(jìn) 行“ 入侵駕 駛 ” 攻 擊 “ 入侵駕 駛 ” 攻擊使得攻擊者攻擊無(wú)線網(wǎng)絡(luò)變 得 更加容 易 ,攻擊者只要使用筆記本電腦 、無(wú)線網(wǎng) 絡(luò) 接口卡和無(wú) 線漫游就可以 對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行非法 訪 問(wèn) 。 最佳安全性方案的實(shí)現(xiàn) 通過(guò)上述分析 ,最佳安全性方案應(yīng)該由以下幾 部分組成 : (1) 決定自己的需要。 (2) 檢查周圍的環(huán)境 ,判斷 AP 的最佳位置 。進(jìn)行事先的準(zhǔn)備工作 ,了解信號(hào)傳播的最大距離。 (4) 重新改寫(xiě) AP 的全部初始缺省設(shè)置 ,確保使用新的 SSID 和密碼 ,禁止 AP 進(jìn)行 SSID 播報(bào)。 (6) 組建網(wǎng)絡(luò) ,將 AP 放置在防火墻后 ,添加入侵監(jiān)測(cè)系統(tǒng)。 (9) 在實(shí)際運(yùn)行之前 ,通過(guò)“入侵駕駛”攻擊手段測(cè)試系統(tǒng)的弱點(diǎn)。 18 附錄： VB版 rc4算法 Public Sub main() Dim key As String For i = 1 To 16 Randomize key = key amp。 Chr(Asc(Mid(inp, x, 1)) Xor Y) Next RC4 = Outp End Function 總結(jié) 無(wú)線這個(gè)術(shù)語(yǔ)表示了某些不受拘束的 事物，這有助于理解無(wú)線技術(shù)帶給用戶的自由性和移動(dòng)性。所有這些聯(lián)想都是 有依據(jù)的。 經(jīng)過(guò)這個(gè)畢業(yè)課題的訓(xùn)練，使我 全面的認(rèn)識(shí)無(wú)線網(wǎng)絡(luò)。 在無(wú)線網(wǎng)絡(luò)設(shè)計(jì)上有了更深的認(rèn)識(shí)。北京：人民郵電出版社 [2]. 牛偉 .無(wú)線局域網(wǎng)，北京： 人民郵電出版社 ， [3]. 孫龍杰 .移動(dòng)通信與終端設(shè)備 [M]. 北京 : 電子工業(yè)出版社 ,2021 [4]. [ 美 ]J am e s D. Solom n 著 . 移動(dòng) IP. 北 京 : 機(jī)械工 業(yè)出版社 , 2021: 31～ 112 [5]. 樓穎明 ,羅漢文 . 802 . 11 無(wú)線局域網(wǎng)的安全方案分 析 J . 通信技術(shù) ,2021 , (9) [6]. Tara M . Swaminat ha , Charles R. Elden. Wireless Securit y and Privacy : Best Practices and Design Techniques M . 2021 21 致謝 首先，我要感謝我的指導(dǎo)教師許婭麗老師！感謝許老師抽出他寶貴的時(shí)間與我們共同討論交流，使我們受益匪淺！同樣要感謝給予的我?guī)椭渌笥选?