企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò )安全問(wèn)題的綜合解決方案

　　與使用“深度防御”方法的所有較好的安全策略一樣，無(wú)線(xiàn)網(wǎng)絡(luò )的安全應在多個(gè)層次上實(shí)現。企業(yè)級無(wú)線(xiàn)解決方案中最常見(jiàn)的安全措施包括身份認證、加密和訪(fǎng)問(wèn)控制。
　　
　　一、無(wú)線(xiàn)身份認證

　　傳統的有線(xiàn)網(wǎng)絡(luò )使用“用戶(hù)名和密碼”進(jìn)行身份認證已經(jīng)有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查詢(xún)是有線(xiàn)和撥號基礎設施中經(jīng)常使用的密碼查詢(xún)機制。這些身份認證系統基于一個(gè)密碼散列以及身份認證服務(wù)器發(fā)出的隨機查詢(xún)。雖然密碼散列/查詢(xún)系統在有線(xiàn)基礎設施中一直相當可靠，但現在已經(jīng)證明，以無(wú)線(xiàn)的方式部署相同的身份認證機制是有缺陷的。通過(guò)捕獲或偵聽(tīng)廣播頻率中的身份認證數據包，黑客們可以使用常見(jiàn)的字典攻擊工具來(lái)發(fā)現空中傳輸的密碼，通過(guò)中間人攻擊來(lái)竊取會(huì )話(huà)信息，或嘗試進(jìn)行重放攻擊。

　　因為有線(xiàn)網(wǎng)絡(luò )中使用的身份認證方法存在的缺陷可以在無(wú)線(xiàn)網(wǎng)絡(luò )中很容易地被利用，所以IETF和IEEE標準委員會(huì )已經(jīng)與領(lǐng)先的無(wú)線(xiàn)供應商合作，建立更可靠的無(wú)線(xiàn)身份認證方法。IEEE802.1x就是目前一種最主要的無(wú)線(xiàn)身份認證標準。

　　二、802.1xWiFi身份認證

　　IEEE無(wú)線(xiàn)局域網(wǎng)委員會(huì )對802.1x進(jìn)行了增強，并建議將其作為強化無(wú)線(xiàn)環(huán)境中用戶(hù)身份認證的途徑。它解決了早期802.11b實(shí)現方案中常見(jiàn)的問(wèn)題，并允許使用可擴展身份認證協(xié)議(EAP)子協(xié)議來(lái)增加客戶(hù)端和身份認證服務(wù)器之間身份認證信息交換的安全性，以及對這些信息進(jìn)行加密。作為一種身份認證框架，802.1x奠定了客戶(hù)端如何通過(guò)一個(gè)身份認證服務(wù)器進(jìn)行身份認證的基礎。它是一種可以使用子協(xié)議對其進(jìn)行擴展的開(kāi)放標準，而且沒(méi)有指定應該優(yōu)先使用哪一種EAP身份認證方法，這樣，當開(kāi)發(fā)出更新的身份認證技術(shù)時(shí)，就可以對其進(jìn)行擴展和升級。

　　802.1x使用一個(gè)外部身份認證服務(wù)器(通常是RADIUS)對客戶(hù)端進(jìn)行身份認證。目前，除了執行簡(jiǎn)單的用戶(hù)身份認證外，一些無(wú)線(xiàn)產(chǎn)品已經(jīng)開(kāi)始使用身份認證服務(wù)器來(lái)提供用戶(hù)策略或用戶(hù)控制功能。這些高級功能可能包括動(dòng)態(tài)VLAN分配和動(dòng)態(tài)用戶(hù)策略。

　　與較早的802.11b實(shí)現方案相比，802.1x的優(yōu)勢包括：

　　(1)身份認證基于用戶(hù)，每一個(gè)訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò )的人都在RADIUS身份認證服務(wù)器上擁有一個(gè)獨一無(wú)二的用戶(hù)賬戶(hù)。這樣，就不再需要那些依靠MAC地址過(guò)濾和靜態(tài)WEP密鑰(易于被偽造)的基于設備的身份認證方法。

　　(2)ADIUS服務(wù)器集中了所有的用戶(hù)賬戶(hù)和策略，不再要求每一接入點(diǎn)擁有身份認證數據庫的一份拷貝，從而簡(jiǎn)化了賬戶(hù)信息的管理和協(xié)調。

　　(3)RADIUS作為一種對遠程接入進(jìn)行身份認證的方法，多年以來(lái)得到了普遍認可和采納。人們對它十分了解，而且它本身也是一種成熟的技術(shù)。

　　(4)公司可以選擇最適合其安全需求的EAP身份認證協(xié)議——在要求高安全性的情況下可選擇雙向證書(shū)，在其他情況下可選擇單向證書(shū)以加快實(shí)現速度和降低維護成本。流行的EAP類(lèi)型包括EAP-TLS、EAP-TTLS和PEAP。

　　(5)為提供所要求的可擴展性，可以以分層的方式部署身份認證服務(wù)器

　　(6)與將用戶(hù)賬戶(hù)存放在每一接入點(diǎn)上的獨立接入點(diǎn)管理解決方案相比，802.1x的總擁有成本(TCO)更低。

　　三、擴展身份認證協(xié)(EAP)

　　EAP的類(lèi)型多種多樣。EAP是802.1x的一種子協(xié)議，用于幫助保護客戶(hù)端和認證方之間的身份認證信息的傳輸。根據所使用的EAP類(lèi)型，還可以指定相關(guān)的數據安全機制。常見(jiàn)的EAP類(lèi)型見(jiàn)表1所示。

　　無(wú)線(xiàn)安全需求推動(dòng)了802.1x和安全數據傳輸的發(fā)展，為此將開(kāi)發(fā)更新的EAP身份認證協(xié)議來(lái)解決各種安全問(wèn)題。根據IEEE802.1x和EAP標準，這些新的EAP安全協(xié)議應繼續使用現有的硬件

　　四、無(wú)線(xiàn)加密

　　與無(wú)線(xiàn)網(wǎng)絡(luò )相關(guān)的另一個(gè)擔心的問(wèn)題是數據保密問(wèn)題，而這對有線(xiàn)網(wǎng)絡(luò )來(lái)說(shuō)并不是一個(gè)大問(wèn)題。對于使用現代交換機的有線(xiàn)網(wǎng)絡(luò )，因為網(wǎng)絡(luò )交換機只在發(fā)送方和接收方之間轉發(fā)單播流量，所以竊聽(tīng)不是一個(gè)很大的問(wèn)題。而無(wú)線(xiàn)網(wǎng)絡(luò )中的數據包是在開(kāi)放廣播頻率上傳輸，所以數據保密就成為一個(gè)重大的擔憂(yōu)。因此，用于保護無(wú)線(xiàn)數據包的加密方法必須足夠穩定和可靠，而且在客戶(hù)端和接入點(diǎn)之間進(jìn)行密鑰交換時(shí)，必須進(jìn)行身份認證和加密處理。

　　IEEE802.11i標準的推出目的就是在于解決無(wú)線(xiàn)數據保密方面的缺陷。

　　五、WEP與802.1x的配合

　　由于對密鑰進(jìn)行加密的短初始化向量的弱點(diǎn)以及密鑰本身的靜態(tài)屬性，使用早期802.11b技術(shù)的傳統WEP是一個(gè)十分薄弱的加密系統。每一用戶(hù)必須手工將靜態(tài)WEP密鑰輸入到自己的便攜機中，而這些靜態(tài)密鑰經(jīng)常因為不愿付出附加的維護開(kāi)銷(xiāo)而保持不變。如果便攜機被竊或被破壞，這些WEP密鑰就可能被竊，從而危及無(wú)線(xiàn)網(wǎng)絡(luò )的安全。

　　利用802.1x身份認證和WEP，可以通過(guò)增強功能來(lái)解決傳統靜態(tài)WEP存在的問(wèn)題。通過(guò)實(shí)現到RADIUS服務(wù)器的EAP和身份認證，802.1x解決了靜態(tài)WEP密鑰所存在的安全問(wèn)題，其解決途徑是在每次執行802.1x身份認證時(shí)都重發(fā)新的密鑰，從而實(shí)現了動(dòng)態(tài)WEP。這樣，用戶(hù)不再需要在便攜機上輸入一個(gè)靜態(tài)WEP密鑰，因為用戶(hù)每次進(jìn)行身份認證時(shí)都會(huì )為其生成一個(gè)新的隨機密鑰。另外，其他一些實(shí)現方法還允許在特定的一段時(shí)間重新生成WEP加密密鑰，或強制要求在一定的時(shí)間間隔之后才能再次進(jìn)行身份認證。

　　在802.1xWEP加密技術(shù)中，WEP加密方法仍然使用，但持續變化的密鑰消除了靜態(tài)密鑰和薄弱的短初始化向量帶來(lái)的危險?，F在，人們可以不再那么擔心便攜機和手持設備被竊，因為靜態(tài)密鑰將不會(huì )存放在這些設備上。

　　六、AES和IEEE802.11i

　　IEEE802.11涉及到無(wú)線(xiàn)安全的所有方面，包括身份認證、數據保密(AES)、數據完整性、安全快速的跨區、安全的分離認證、安全的數據分離以及安全的IBSS。

　　802.11i標準中包括的一項重大數據保密增強內容是美國商務(wù)部頒發(fā)的NIST高級加密標準(AES)。AES是一項聯(lián)邦信息處理標準(FIPS出版物編號197)，定義了美國政府應該如何保護敏感的一般性信息。AES可在不同的模式下或算法中使用，同時(shí)，IEEE802.11i的實(shí)現將基于CBCMAC計數器模式(CCM)，即使用計數器模式實(shí)現數據保密，使用CBC-MAC保護數據完整性。

　　AES是一種對稱(chēng)迭代數據塊密碼技術(shù)，使用相同的加密密鑰進(jìn)行加密和解密。加密過(guò)程在802.11數據包的數據部分使用了多次迭代，并在離散的固定長(cháng)度塊中對明文的文本數據進(jìn)行加密。AES使用128位數據塊(配置128位加密密鑰)對數據進(jìn)行加密，同時(shí)基于TKIP和MIC提供的增強功能，并使用很多類(lèi)似的算法來(lái)實(shí)現高水平的數據保護。

　　因為AES增加了處理方面的開(kāi)銷(xiāo)，所以需要購買(mǎi)新的客戶(hù)端和接入點(diǎn)或無(wú)線(xiàn)局域網(wǎng)交換機，以支持802.11i的增強數據保密功能。802.11i已經(jīng)獲得批準，而802.11i兼容的產(chǎn)品應該在2004年第4季度開(kāi)始有限供應市場(chǎng)。擁有較老硬件的企業(yè)需要確定是否值得為了安全性的增強而付出購買(mǎi)802.11i兼容硬件的成本。