- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- BOB登陆 人才研學中心
- 關於我們
WLAN具有安裝便捷、使用靈活、經濟節約、易於擴展等有線網絡無法比擬的優點,但是由於無線局域網信道開放的特點,使攻擊者能夠很容易的進行竊聽,惡意修改,因此安全性成為阻礙無線局域網發展的最重要因素。
802.11協議提供的無線安全性能可以很好地抵禦一般性網絡攻擊,但是仍有少數黑客能夠入侵無線網絡,從而無法充分保護包含敏感數據的網絡。為了更好的防止未授權用戶接入網絡,需要實施一種性能高於802.11的高級安全機製。
H3C的WLAN安全完全實現了IEEE802.11協議以及WPA規定的服務的安全標準,而且可以配合的端口安全特性使用,提供更安全的接入保護、更靈活的服務應用組合以適應各種網絡需要。
AC和FAT AP支持本文所介紹的所有WLAN安全技術,為方便描述,這裏以AC為例。
開放係統認證是缺省使用的認證機製,也是最簡單的認證算法,即不認證。如果認證類型設置為開放係統認證,則所有請求認證的客戶端都會通過認證。開放係統認證包括兩個步驟:第一步是請求認證,第二步是返回認證結果。
圖1 開放係統認證過程
共享密鑰認證是除開放係統認證以外的另外一種認證機製。共享密鑰認證需要客戶端和設備端配置相同的共享密鑰。
共享密鑰認證的認證過程為:客戶端先向設備發送認證請求,無線設備端會隨機產生一個Challenge包(即一個字符串)發送給客戶端;客戶端會將接收到字符串拷貝到新的消息中,用密鑰加密後再發送給無線設備端;無線設備端接收到該消息後,用密鑰將該消息解密,然後對解密後的字符串和最初給客戶端的字符串進行比較。如果相同,則說明客戶端擁有無線設備端相同的共享密鑰,即通過了Shared Key認證;否則Shared Key認證失敗。
圖2 共享密鑰認證過程
相對於有線網絡,WLAN存在著與生俱來的數據安全問題。在一個區域內的所有的WLAN設備共享一個傳輸媒介,任何一個設備可以接收到其他所有設備的數據,這個特性直接威脅到WLAN接入數據的安全。
802.11協議也在致力於解決WLAN的安全問題,主要的方法為對數據報文進行加密,保證隻有特定的設備可以對接收到的報文成功解密。其他的設備雖然可以接收到數據報文,但是由於沒有對應的密鑰,無法對數據報文解密,從而實現了WLAN數據的安全性保護。目前支持四種安全服務。
(1) 明文數據
該種服務本質上為無安全保護的WLAN服務,所有的數據報文都沒有通過加密處理。
(2) WEP加密
WEP(Wired Equivalent Privacy,有線等效加密)用來保護無線局域網中的授權用戶所交換的數據的機密性,防止這些數據被隨機竊聽。WEP使用RC4加密算法來保證數據的保密性,通過共享密鑰來實現認證,理論上增加了網絡偵聽,會話截獲等的攻擊難度,雖然WEP104在一定程度上提高了WEP加密的安全性,但是受到RC4加密算法、過短的初始向量和靜態配置密鑰的限製,WEP加密還是存在比較大的安全隱患。
WEP加密方式可以分別和Open system、Shared key鏈路認證方式使用。
l 采用Open system authentication方式:此時WEP密鑰隻做加密,即使密鑰配的不一致,用戶也是可以上線,但上線後傳輸的數據會因為密鑰不一致被接收端丟棄。
l 采用Shared key authentication方式:此時如果雙方密鑰不一致,客戶端就不能通過Shared key認證,無法上線。也就是說,當WEP和Shared key認證方式配合使用時,WEP也可以作為一種認證方法。
(3) TKIP加密
TKIP是一種加密方法,用於增強pre-RSN硬件上的WEP協議的加密的安全性,其加密的安全性遠遠高於WEP。WEP主要的缺點在於,盡管IV(Initial Vector,初始向量)改變但在所有的幀中使用相同的密鑰,而且缺少密鑰管理係統,不可靠。
TKIP和WEP加密機製都是使用RC4算法,但是相比WEP加密機製,TKIP加密機製可以為WLAN服務提供更加安全的保護。
首先,TKIP通過增長了算法的IV長度提高了WEP加密的安全性。相比WEP算法,TKIP將WEP密鑰的長度由40位加長到128位,初始化向量IV的長度由24位加長到48位;
其次,TKIP支持密鑰的動態協商,解決了WEP加密需要靜態配置密鑰的限製。TKIP使用一種密鑰構架和管理方法,通過由認證服務器動態生成分發的密鑰來取代單個靜態密鑰,雖然TKIP采用的還是和WEP一樣的RC4加密算法,但其動態密鑰的特性很難被攻破;
另外,TKIP還支持了MIC認證(Message Integrity Check,信息完整性校驗)和Countermeasure功能。當MIC發生錯誤的時候,數據很可能已經被篡改,係統很可能正在受到攻擊。此時,可以采取一係列的對策,來阻止黑客的攻擊。
(4) CCMP加密
CCMP(Counter mode with CBC-MAC Protocol,[計數器模式]搭配[區塊密碼鎖鏈-信息真實性檢查碼]協議)加密機製是基於AES(Advanced Encryption Standard,高級加密標準)加密機製的CCM(Counter-Mode/CBC-MAC,區塊密碼鎖鏈-信息真實性檢查碼)方法。CCM結合CTR(Counter mode,計數器模式)進行機密性校驗,同時結合CBC-MAC(區塊密碼鎖鏈-信息真實性檢查碼)進行認證和完整性校驗。CCM可以保護了MPDU數據段和IEEE 802.11首部中被選字段的完整性。CCMP中所有的AES處理進程都使用128位的密鑰和128位的塊大小。CCM中每個會話都需要一個新的臨時密鑰。對於每個通過給定的臨時密鑰加密的幀來說,CCM同樣需要確定唯一的隨機值(nonce)。CCMP使用48位的PN(packet number)來實現這個目的。對於同一個臨時密鑰,重複使用PN會使所有的安全保證無效。
(1) PSK認證
PSK認證需要實現在無線客戶端和設備端配置相同的預共享密鑰,如果密鑰相同, PSK接入認證成功;如果密鑰不同,PSK接入認證失敗。
圖3 PSK認證
(2) MAC接入認證
MAC地址認證是一種基於端口和MAC地址對用戶的網絡訪問權限進行控製的認證方法。通過手工維護一組允許訪問的MAC地址列表,實現對客戶端物理地址過濾,但這種方法的效率會隨著終端數目的增加而降低,因此MAC地址認證適用安全需求不太高的場合,如家庭、小型辦公室等環境。
MAC地址認證分為以下兩種方式:
l 本地MAC地址認證:當選用本地認證方式進行MAC地址認證時,需要在設備上預先配置允許訪問的MAC地址列表,如果客戶端的MAC地址不在允許訪問的MAC地址列表,將被拒絕其接入請求。
圖4 本地MAC地址認證
l 通過RADIUS服務器進行MAC地址認證:當MAC接入認證發現當前接入的客戶端為未知客戶端,會主動向RADIUS服務器發起認證請求,在RADIUS服務器完成對該用戶的認證後,認證通過的用戶可以訪問無線網絡以及相應的授權信息。
圖5 通過RADIUS服務器進行MAC地址認證
(3) 802.1x認證
802.1x協議是一種基於端口的網絡接入控製協議,該技術也是用於WLAN的一種增加網絡安全的解決方案。當客戶端與AP關聯後,是否可以使用AP提供的無線服務要取決於802.1x的認證結果。如果客戶端能通過認證,就可以訪問WLAN中的資源;如果不能通過認證,則無法訪問WLAN中的資源。
圖6 802.1x認證
對於小型企業和家庭用戶而言,無線接入用戶數量比較少,一般沒有專業的IT管理人員,通常情況下不會配備專用的認證服務器,對於這種對網絡安全性的要求相對較低的無線環境下,可采用“WPA-PSK+接入點隱藏”的安全策略來保證安全。
在倉庫物流、醫院、學校等環境中,考慮到網絡覆蓋範圍以及客戶端數量,AP和無線客戶端的數量必將大大增加,安全隱患也相應增加,此時簡單的WPA-PSK已經不能滿足此類用戶的需求,可以采用表1中的中級安全方案。使用支持IEEE 802.1x認證技術的AP作為無線網絡的安全核心,並通過Radius服務器進行用戶身份驗證,有效地阻止未經授權的用戶接入。
在各類公共場合以及網絡運營商、大中型企業、金融機構等環境中,有些用戶需要在熱點公共地區(如機場、咖啡店等)通過無線接入Internet,因此用戶認證問題就顯得至關重要。如果不能準確可靠地進行用戶認證,就有可能造成服務盜用,這種服務盜用會對無線接入服務提供商造成不可接受的損失,表1中的專業級解決方案可以較好地滿足用戶需求,通過用戶隔離技術、IEEE802.1i、Radius用戶認證以及計費方式確保用戶的安全。
表1 典型場合下的WLAN安全策略
安全級別 | 典型場合 | 安全策略 |
初級安全 | 小型企業,家庭用戶等 | WPA-PSK+接入點隱藏 |
中級安全 | 倉庫物流、醫院、學校、餐飲娛樂 | IEEE802.1x認證+TKIP加密 |
專業級安全 | 各類公共場合及網絡運營商、大中型企業、金融機構 | 用戶隔離技術+IEEE802.11i+Radius認證和計費(對運營商) |
售前谘詢
售後谘詢
人工在線谘詢
