??在点对多点的桥接模式中,连接在同一个无线桥接器的各个远程链接点共享?随着无线技术运用的日益广泛,无线
网络的安全问题越来越受到人们的关注。通常
网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发射的数据只能被所期望的用户所接收和理解。对于有线
网络来说,访问控制往往以物理端口接入方式进行监控,它的数据输出通过电缆传输到特定的目的地,一般情况下,只有在物理链路遭到破坏的情况下,数据才有可能被泄漏,而无线
网络的数据传输则是利用微波在空气中进行辐射传播,因此只要在Access Point (AP)覆盖的范围内,所有的无线终端都可以接收到无线信号,AP无法将无线信号定向到一个特定的接收设备,因此无线的安全保密问题就显得尤为突出。
无线安全基本技术
??访问控制:利用ESSID、MAC限制,防止非法无线设备入侵
??为了提高无线
网络的安全性,在IEEE802.11b协议中包含了一些基本的安全措施,包括:无线
网络设备的服务区域
认证ID (ESSID)、MAC地址访问控制以及WEP加密等技术。IEEE802.11b利用设置无线终端访问的 ESSID来限制非法接入。在每一个AP内都会设置一个服务区域
认证ID ,每当无线终端设备要连上AP时,AP会检查其ESSID是否与自己的ID一致,只有当AP和无线终端的ESSID相匹配时,AP才接受无线终端的访问并提供
网络服务,如果不符就拒绝给予服务。利用ESSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题。
??每个AP可以设置特定的ESSID(可以相同),同时每块无线网卡也可以设置ESSID,只有当AP和网卡的ESSID匹配时,AP才接受无线网卡的访问。利用ESSID,可以很好地进行用户群体分组,避免任意漫游带来的安全和访问性能的问题
??另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线
网络。由于每一块无线网卡拥有唯一的MAC地址,在AP内部可以建立一张“MAC地址控制表”(Access Control),只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线
网络。
??每一块无线网卡拥有唯一的MAC地址,由厂方出厂前设定,无法更改。AP内部可以建立一张“MAC地址控制表”,只有在表中列出的MAC才是合法可以连接的无线网卡,否则会被拒绝连接
?
??使用ESSID和MAC地址限制来控制访问权限的方法相当于在无线
网络的入口增加了一把锁,提高了无线
网络使用的安全性。在搭建小型无线局域网时,使用该方法最为简单、快捷,
网络管理员只需要通过简单的
配置就可以完成访问权限的设置,十分经济有效。
数据加密:基于WEP的安全解决
方案
??无线
网络安全的另一重要方面数据加密可以通过 WEP(Wired Equivalent Privacy)协议来进行。WEP是IEEE802.11b协议中最基本的无线安全加密措施。WEP是所有经过 WiFiTM认证的无线局域
网络产品所支持的一项标准功能,由国际电子与电气工程师协会(IEEE)制定,其主要用途是:
??提供接入控制,防止未授权用户访问
网络;
??WEP加密算法对数据进行加密,防止数据被攻击者窃听;?
??防止数据被攻击者中途恶意纂改或伪造。
??WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线
网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取
网络的资源。AboveCable所有型号的AP都支持64位或(与)128位的静态WEP加密,有效地防止数据被窃听盗用。
??利用128位WEP加密,使得数据在无线发射之前进行复杂的编码处理,在接受之后通过反向处理获取原数据。这种加密方式确保数据如果泄漏,也不会暴露数据的原值
??由于WEP密钥必须通过人工手动设置,因此AboveCable建议在无线覆盖范围不是很大,终端用户数量不是很多,且对安全要求不是很高的应用环境下使用该技术是最经济且方便的。
??无线安全基本技术特别适合一些小型企业 、家庭用户等小型环境的无线
网络应用 ,无需额外的设备支出,配置方便,且安全防护性好,从终端的访问控制到数据链路中的数据加密都定义了有效的解决方案。有了这些技术,用户可以快速地建立起一个安全的无线
网络环境,即节约了成本又可达到预计的安全目标, 使无线
网络的使用价值大大提高。
??新一代无线安全技术——IEEE802.11i
在某些场合,如大型企业、银行、证券行业,其现有的
网络结构比较复杂且对
网络的安全性要求很高,仅使用基本的安全措施并不能完全达到其安全需求。为了进一步加强无线
网络的安全性, IEEE802.11工作组目前正在开发作为新的安全标准的“IEEE802.11i”,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准草案中主要包含加密技术:TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard),以及认证协议:IEEE802.1x。
??在 IEEE 802.11i 标准最终确定前,WPA(WiFiTM Protected Access)技术将成为代替WEP的无线安全标准协议,为IEEE 802.11 无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。
??IEEE802.11i是新一代的无线安全标准。在 IEEE 802.11i 标准最终确定前,WPA技术将成为代替WEP的无线安全标准协议。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP
TKIP
??新一代的加密技术TKIP与WEP一样基于RC4加密算法,且对现有的WEP进行了改进,在现有的WEP加密引擎中追加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。TKIP与当前WiFiTM 产品向后兼容,而且可以通过软件进行升级,AboveCable无线产品完全支持WiFiTM标准,只需要简单的软件升级就可以实现对TKIP的支持。
??IEEE 802.11i中还定义了一种基于“高级加密标准”AES的全新加密算法,以实施更强大的加密和信息完整性检查。AES是一种对称的块加密技术,提供比WEP/TKIP中RC4算法更高的加密性能,它将在IEEE 802.11i最终确认后,成为取代WEP的新一代的加密技术,为无线
网络带来更强大的安全防护。
??端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)
IEEE802.1x是一种基于端口的
网络接入控制技术,在
网络设备的物理接入级对接入设备进行认证和控制。IEEE802.1
2001-2007 Comsenz Inc.
