我们都知道
无线网络比有线网络要方便很多,目前,城市很多的区域内都有覆盖无线网络,像地铁、高铁、图书馆、各种餐厅等都有无线网络覆盖,让我们的生活非常的方便,但是无线传输与有线不同,有线的通讯数据直接从发送端到达接收端,而无线网络的数据会在覆盖范围内广泛传播,所有网络中相同设置的AP与客户端都能接收到信息。因此,无线网络更需要有效的安全机制加强数据的私密性、完整性,防范恶意监听与破坏。下面
河姆渡小编就详细地为您介绍一下无线网络的安全机制及无线网络安全相关技术。
一、无线安全机制
1、网络接入
认证
无线网络中并不应该允许所有客户端都能连接,为了限制有风险的客户端接入,无线网络可以先对客户端进行认证。无线认证的种类比较多,有些认证将信息直接
存储在AP或客户端设备上,一些安全性更高的将登陆信息
存储在
服务器上,其他人无法从客户端等设备上取得账号及密码
2、数据传输认证
无线网络的通讯是范围内传播的,即使客户端没有接入AP,也能监听到通讯信息。为了保护数据安全,数据传输时应该对每个无线帧加密后再发送,接收端收到数据后再进行认证和解密。同一个AP与不同的客户端通讯使用不同的认证密钥,以此保证不同客户端之间不会出现相互监听的情况;但同时AP也能创建一个“组密钥”来同时向所有客户端发送数据。
3、消息完整性检查
消息完整性检查(MIC)是一种检测数据是否被篡改的机制。其实现方法是在传输的数据末尾加上一个基于数据内容的校验码,该校验码与数据内容相对应,如果接收到的数据被篡改,根据接收到的数据计算出的校验码与数据携带的不一致,就能判断数据传输中已经被篡改。
二、无线安全相关技术
1、开放式认证与WEP
最初的802.11标准仅规定了两种客户端认证方法:开放式认证和WEP。
开放式认证为客户端提供WLAN的开放接入,仅要求客户端使用802.11认证请求连接AP,不需其它加密,通常被用于公共场合的无线热点。
WEP(无线等效私密性)使用RC4密码算法保证每个无线数据整得私密性,该算法使用一个比特串作为秘钥,可以让无线链路的安全性等效于有线连接。但由于后续人们发现了WEP加密机制的脆弱性,所以逐渐被其他无线安全方法替代。
2、802.1x/EAP
EAP是一种可扩展的协议,并不由任何一种认证方法组成。EAP定义了一组通用功能,实际的认证方法都可以用其认证用户。
对于开放式认证和WEP而言,秘钥等认证只需在AP本地进行即可,但802.1x认证不同,客户端首先通过开放式认证与AP建立关联,在于专用认证服务器进行身份认证。并且802.1x只有通过了EAP方式的认证,客户端才能访问网络。
3、TKIP
TKIP(临时秘钥完整性协议)在传统硬件和底层WEP加密机制的基础上,增加了MIC(一种消息完整性认证算法)、时间戳、发送端MAC地址、TKIP序列计数器、秘钥混合算法等安全功能。
TKIP在802.11i标准发布前是一种有效的安全协议,但目前已经出现专门针对TKIP的攻击手段,所以应当避免继续使用,而且TKIP已经被802.11-2012标准废除了。
4、CCMP
CCMP(计数器/CBC-MAC)包含两个算法:AES计数器模式加密与用于消息完整性检查的CBC-MAC(密码块链接的消息认证码)。AES是一种开放、可公开访问的加密算法,是目前最安全的一种加密方法。
5、WPA和WPA2
WPA(WiFi保护接入)有WPA和WPA2两个标准,是一种保护无线网络安全的系统。WPA和WPA2认证都可采用预共享密钥或802.1x(通常我们使用的WPA-PSK就是预共享密钥认证),WPA加密方式采用TKIP而WPA2采用TKIP或 CCMP,目前常用的加密方式是WPA2-PSK/WPA-PSK。
基于不同的部署规模,WPA和WPA2支持两种认证模式:
1)个人模式:使用预共享密钥来认证WLAN上的客户端
2)企业模式:必须使用802.1x基于EAP的认证方法来认证客户端。
6、私有协议
除了上述的几种通用的加密协议来提高安全性之外,还有一些非通用的方法增加通讯的私密性,如软件上使用私有协议。使用私有协议的设备只有AP与Client端都支持同一种私有协议才能相互通讯连接,不支持协议的Client端无法接入AP。由于通用设备无法正常接入私有协议设备,所以私有协议设备一般也不需要再设置加密。常见的无线私有协议有西门子的IFeatures。
7、AC控制器
目前为了管理无线网络并增加安全性,会使用
无线控制器。无线控制器相当于之前提到的认证服务器(支持EAP, EAP-TLS, EAP-MS-CHAP, PEAP等认证服务),具有黑白名单功能,可以选择允许/不允许接入的IP地址,绑定设备的IP与MAC地址,处理接入设备的身份认证,阻止风险设备的连入。