亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　與使用“深度防御”方法的所有較好的安全策略一樣，無(wú)線網(wǎng)絡(luò)的安全應(yīng)在多個(gè)層次上實(shí)現(xiàn)。企業(yè)級(jí)無(wú)線解決方案中最常見的安全措施包括身份認(rèn)證、加密和訪問控制。

　　一、無(wú)線身份認(rèn)證

　　傳統(tǒng)的有線網(wǎng)絡(luò)使用“用戶名和密碼”進(jìn)行身份認(rèn)證已經(jīng)有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查詢是有線和撥號(hào)基礎(chǔ)設(shè)施中經(jīng)常使用的密碼查詢機(jī)制。這些身份認(rèn)證系統(tǒng)基于一個(gè)密碼散列以及身份認(rèn)證服務(wù)器發(fā)出的隨機(jī)查詢。雖然密碼散列/查詢系統(tǒng)在有線基礎(chǔ)設(shè)施中一直相當(dāng)可靠，但現(xiàn)在已經(jīng)證明，以無(wú)線的方式部署相同的身份認(rèn)證機(jī)制是有缺陷的。通過捕獲或偵聽廣播頻率中的身份認(rèn)證數(shù)據(jù)包，黑客們可以使用常見的字典攻擊工具來發(fā)現(xiàn)空中傳輸?shù)拿艽a，通過中間人攻擊來竊取會(huì)話信息，或嘗試進(jìn)行重放攻擊。

　　因?yàn)橛芯�網(wǎng)絡(luò)中使用的身份認(rèn)證方法存在的缺陷可以在無(wú)線網(wǎng)絡(luò)中很容易地被利用，所以IETF和IEEE標(biāo)準(zhǔn)委員會(huì)已經(jīng)與領(lǐng)先的無(wú)線供應(yīng)商合作，建立更可靠的無(wú)線身份認(rèn)證方法。IEEE802.1x就是目前一種最主要的無(wú)線身份認(rèn)證標(biāo)準(zhǔn)。

　　二、802.1xWiFi身份認(rèn)證

　　IEEE無(wú)線局域網(wǎng)委員會(huì)對(duì)802.1x進(jìn)行了增強(qiáng)，并建議將其作為強(qiáng)化無(wú)線環(huán)境中用戶身份認(rèn)證的途徑。它解決了早期802.11b實(shí)現(xiàn)方案中常見的問題，并允許使用可擴(kuò)展身份認(rèn)證協(xié)議(EAP)子協(xié)議來增加客戶端和身份認(rèn)證服務(wù)器之間身份認(rèn)證信息交換的安全性，以及對(duì)這些信息進(jìn)行加密。作為一種身份認(rèn)證框架，802.1x奠定了客戶端如何通過一個(gè)身份認(rèn)證服務(wù)器進(jìn)行身份認(rèn)證的基礎(chǔ)。它是一種可以使用子協(xié)議對(duì)其進(jìn)行擴(kuò)展的開放標(biāo)準(zhǔn)，而且沒有指定應(yīng)該優(yōu)先使用哪一種EAP身份認(rèn)證方法，這樣，當(dāng)開發(fā)出更新的身份認(rèn)證技術(shù)時(shí)，就可以對(duì)其進(jìn)行擴(kuò)展和升級(jí)。

　　802.1x使用一個(gè)外部身份認(rèn)證服務(wù)器(通常是RADIUS)對(duì)客戶端進(jìn)行身份認(rèn)證。目前，除了執(zhí)行簡(jiǎn)單的用戶身份認(rèn)證外，一些無(wú)線產(chǎn)品已經(jīng)開始使用身份認(rèn)證服務(wù)器來提供用戶策略或用戶控制功能。這些高級(jí)功能可能包括動(dòng)態(tài)VLAN分配和動(dòng)態(tài)用戶策略。

　　與較早的802.11b實(shí)現(xiàn)方案相比，802.1x的優(yōu)勢(shì)包括：

　　(1)身份認(rèn)證基于用戶，每一個(gè)訪問無(wú)線網(wǎng)絡(luò)的人都在RADIUS身份認(rèn)證服務(wù)器上擁有一個(gè)獨(dú)一無(wú)二的用戶賬戶。這樣，就不再需要那些依靠MAC地址過濾和靜態(tài)WEP密鑰(易于被偽造)的基于設(shè)備的身份認(rèn)證方法。

　　(2)ADIUS服務(wù)器集中了所有的用戶賬戶和策略，不再要求每一接入點(diǎn)擁有身份認(rèn)證數(shù)據(jù)庫(kù)的一份拷貝，從而簡(jiǎn)化了賬戶信息的管理和協(xié)調(diào)。

　　(3)RADIUS作為一種對(duì)遠(yuǎn)程接入進(jìn)行身份認(rèn)證的方法，多年以來得到了普遍認(rèn)可和采納。人們對(duì)它十分了解，而且它本身也是一種成熟的技術(shù)。

　　(4)公司可以選擇最適合其安全需求的EAP身份認(rèn)證協(xié)議——在要求高安全性的情況下可選擇雙向證書，在其他情況下可選擇單向證書以加快實(shí)現(xiàn)速度和降低維護(hù)成本。流行的EAP類型包括EAP-TLS、EAP-TTLS和PEAP。

　　(5)為提供所要求的可擴(kuò)展性，可以以分層的方式部署身份認(rèn)證服務(wù)器

　　(6)與將用戶賬戶存放在每一接入點(diǎn)上的獨(dú)立接入點(diǎn)管理解決方案相比，802.1x的總擁有成本(TCO)更低。

　　三、擴(kuò)展身份認(rèn)證協(xié)(EAP)

　　EAP的類型多種多樣。EAP是802.1x的一種子協(xié)議，用于幫助保護(hù)客戶端和認(rèn)證方之間的身份認(rèn)證信息的傳輸。根據(jù)所使用的EAP類型，還可以指定相關(guān)的數(shù)據(jù)安全機(jī)制。常見的EAP類型見表1所示。

　　無(wú)線安全需求推動(dòng)了802.1x和安全數(shù)據(jù)傳輸?shù)陌l(fā)展，為此將開發(fā)更新的EAP身份認(rèn)證協(xié)議來解決各種安全問題。根據(jù)IEEE802.1x和EAP標(biāo)準(zhǔn)，這些新的EAP安全協(xié)議應(yīng)繼續(xù)使用現(xiàn)有的硬件。

　　四、無(wú)線加密

　　與無(wú)線網(wǎng)絡(luò)相關(guān)的另一個(gè)擔(dān)心的問題是數(shù)據(jù)保密問題，而這對(duì)有線網(wǎng)絡(luò)來說并不是一個(gè)大問題。對(duì)于使用現(xiàn)代交換機(jī)的有線網(wǎng)絡(luò)，因?yàn)榫W(wǎng)絡(luò)交換機(jī)只在發(fā)送方和接收方之間轉(zhuǎn)發(fā)單播流量，所以竊聽不是一個(gè)很大的問題。而無(wú)線網(wǎng)絡(luò)中的數(shù)據(jù)包是在開放廣播頻率上傳輸，所以數(shù)據(jù)保密就成為一個(gè)重大的擔(dān)憂。因此，用于保護(hù)無(wú)線數(shù)據(jù)包的加密方法必須足夠穩(wěn)定和可靠，而且在客戶端和接入點(diǎn)之間進(jìn)行密鑰交換時(shí)，必須進(jìn)行身份認(rèn)證和加密處理。