无线网络的各种安全性类型文档格式.docx
《无线网络的各种安全性类型文档格式.docx》由会员分享,可在线阅读,更多相关《无线网络的各种安全性类型文档格式.docx(12页珍藏版)》请在冰点文库上搜索。
∙十六进制(64位):
输入10个十六进制字符:
0-9、A-F。
128位
∙口令短语(128位):
输入13个字母数字字符:
∙十六进制(128位):
输入26个十六进制字符:
在WEP数据加密中,一个无线站最多可配置四个密钥(密钥索引值1、2、3和4)。
当一个接入点(AP)或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时,被传输的消息指明用来加密消息正文的密钥索引。
接收的AP或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文。
开放和共享网络验证
IEEE802.11支持两类网络验证方法:
“开放系统”和“共享密钥”。
∙当使用开放验证时,任何无线站都可请求验证。
需要由另一个无线站验证的无线站发出一个验证管理请求,其中包含发送站的身份。
接收站或者接入点对任何验证请求授权。
开放验证允许任何设备获得网络访问权。
如果网络上未启用加密,任何知道该接入点的“服务集标识符”(SSID)的设备都可接入该网络。
∙使用共享密钥验证时,假定每个无线站都已通过一个独立于802.11无线网络通讯频道的安全频道接收到了一个秘密共享密钥。
您可以通过有线以太网连接共享此密钥,也可以通过USB闪存盘或CD物理共享此密钥。
共享密钥验证要求客户端配置一个静态WEP密钥。
只有当客户端通过了基于挑战的验证后,才允许其接入。
WEP
有线等同隐私(WEP)使用加密来帮助防止XX接收无线数据。
WEP使用加密密钥在传输数据之前对其加密。
只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的数据。
WEP加密提供两种等级的安全性:
64位密钥(有时称为40位)或128位密钥(又称为140位)。
为达到强劲安全性,应该使用128位密钥。
如果使用加密,无线网络上的所有无线设备必须使用相同的加密密钥。
接收的AP或无线站就可检索储存在该密钥索引中的密钥,并用它来解码加密的消息正文
由于WEP加密算法易受网络攻击的侵害,您应该考虑采用WPA-个人或WPA2-个人安全性。
WPA-个人
WPA-个人模式针对的是家庭和小型商业环境。
WPA个人要求在接入点和客户端上手动配置一个预配置共享密钥(PSK)。
不需要验证服务器。
在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。
安全性取决于密码的强度和机密性。
此密码越长,无线网络的安全性越强。
如果无线接入点或路由器支持“WPA-个人”和“WPA2-个人”,则应当在接入点予以启用并提供一个长而强的密码。
WPA-个人对TKIP和AES-CCMP数据加密算法可用。
WPA2-个人
WPA2-个人要求在接入点和客户端上手动配置一个预配置共享密钥(PSK)。
WPA2是对WPA的改进,它全面实现了IEEE802.11i标准。
WPA2对WPA向后兼容。
WPA2-个人对TKIP和AES-CCMP数据加密算法可用。
注意:
“WPA-个人”和“WPA2-个人”可以协调操作。
802.1X验证(企业安全性)
本章描述各大公司常用的安全性。
概述
什么是Radius?
802.1X验证的工作原理
802.1X功能
802.1X验证不受802.11验证过程约束。
802.11标准为各种验证和密钥管理协议提供一个框架。
802.1X验证有不同的类型;
每一类型提供一种不同的验证途径,但所有类型都应用相同的802.11协议和框架于客户端和接入点之间的通讯。
在多数协议中,在802.1X验证过程完成后,客户端会接收到一个密钥,用于数据加密。
参阅802.1X验证的工作原理了解更多信息。
在802.1X验证中,在客户端和连接到接入点的服务器(例如:
“远程验证拨入用户服务(RADIUS)”服务器)之间使用的一种验证方法。
验证过程使用身份验证(例如不通过无线网络传输的用户密码)。
大多数802.1X类型支持动态的每一用户、每次会话的密钥以加强密钥安全性。
802.1X验证通过使用一种称为“可扩展身份验证协议(EAP)”的现有身份验证协议而获益。
802.1X无线网络验证有三个主要组件:
∙验证方(接入点)
∙请求方(客户端软件)
∙验证服务器
802.1X验证安全性引发一个由无线客户端向接入点的授权请求,它将客户端验证到一台符合“可扩展身份验证协议”(EAP)标准的RADIUS服务器。
RADIUS服务器或者验证用户(通过密码或证书),或者验证系统(通过MAC地址)。
从理论上说,无线客户端要到整个事务完成后才能加入网络。
(并非所有的验证方法均使用RADIUS服务器。
WPA-个人和WPA2-个人使用一个必须在接入点和所有请求访问该网络的设备上输入的共同密码。
)
802.1X使用若干种验证算法。
以下为一些示例:
EAP-TLS、EAP-TTLS、保护性EAP(PEAP)和EAPCisco“无线轻量级可扩展身份验证协议”(LEAP)。
这些都是无线客户端向RADIUS服务器标识自身的方法。
Radius验证使用数据库来核对用户身份。
RADIUS由一组针对“验证、授权和会计(AAA)”的标准组成。
RADIUS包括一个在多服务器环境下确认客户端的代理过程。
IEEE802.1X标准提供一个机制,用以控制和验证对基于端口的802.11无线和有线以太网的接入。
基于端口的网络接入控制类似于交换的局域网(LAN)基础架构,后者验证挂接到LAN端口的设备并在验证过程失败时防止接入该端口。
什么是RADIUS?
RADIUS是“远程验证拨号用户服务”,一种授权、验证和会计(AAA)客户端-服务器协议,在AAA拨号客户端登录到“网络接入服务器”或从其注销时使用。
通常,RADIUS服务器用于因特网服务供应商(ISP)来执行AAA任务。
AAA的各阶段叙述如下:
∙验证阶段:
针对本地数据库校验用户名和密码。
校验用户身份后,开始授权过程。
∙授权阶段:
确定是否允许一个请求访问一个资源。
一个IP地址被分配给该拨号客户端。
∙会计阶段:
收集资源利用的信息,用于趋势分析、审计、会话时间收费或成本分配。
以下是对802.1X验证工作原理的简明描述。
1.客户端向接入点发送“请求接入”消息。
接入点要求客户端的身份。
2.客户端以其身份数据包回应,该身份数据包被送到验证服务器。
3.验证服务器发送“接受”数据包给接入点。
4.接入点将该客户端端口置于授权的状态,并允许进行数据通信。
以下验证方法在WindowsXP中受支持:
∙802.1X请求方协议支持
∙支持“可扩展身份验证协议”(EAP)-RFC2284
∙在WindowsXP中受支持的验证方法:
oEAPTLS身份验证协议-RFC2716和RFC2246
oEAP隧道TLS(TTLS)
oCiscoLEAP
oPEAP
oEAP-SIM
oEAP-FAST
oEAP-AKA
网络验证
Open(开放)
参阅开放验证。
Shared(共享)
参阅共享验证。
WPA-Personal(WPA-个人)
参阅WPA-个人。
WPA2-Personal(WPA2-个人)
参阅WPA2-个人。
WPA-Enterprise(WPA-企业)
企业模式验证针对的是公司和政府部门环境。
WPA企业通过RADIUS或其他验证服务器来验证网络用户。
WPA使用128位加密密钥和动态会话密钥来确保无线网络的隐私性和企业安全性。
选择一种与802.1X服务器的验证协议匹配的“身份验证类型”。
WPA2Enterprise(WPA2企业)
WPA企业验证针对的是公司和政府部门环境。
WPA2使用128位加密密钥和动态会话密钥来确保无线网络的隐私性和企业安全性。
企业模式针对的是公司和政府部门环境。
数据加密
AES-CCMP
高级加密标准-CounterCBC-MACProtocol。
在IEEE802.11i标准中制订的无线传输隐私保护的新方法。
AES-CCMP提供了比TKIP更强有力的加密方法。
如果强有力的数据保护至为紧要,请选用AES-CCMP加密方法。
AES-CCMP对WPA/WPA2个人/企业网络验证可用。
有些安全性解决方案可能不受您计算机上操作系统的支持,并且可能要求额外的软件或硬件以及无线LAN基础架构的支持。
向计算机制造商查询了解详细信息。
TKIP(时间性密钥完整性协议)
TKIP提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。
TKIP对WPA/WPA2个人/企业网络验证可用。
CKIP
参阅CKIP。
企业WEP和个人WEP不完全相同:
前者允许您选择开放网络验证,然后单击启用802.1X,以从所有客户端验证类型中选择一项。
在个人WEP中则不能选择验证类型。
验证类型
TLS
一种典型的验证方法,采用“可扩展身份验证协议”(EAP)和称为“传输层安全性”(TLS)的安全性协议。
EAP-TLS使用证书,而证书使用密码。
EAP-TLS验证支持动态WEP密钥管理。
TLS协议旨在通过数据加密而保护和验证公共网络通信。
TLSHandshakeProtocol(TLS握手协议)允许服务器和客户端提供交互验证,并且协商加密算法及加密密钥,然后再传输数据。
TTLS
这些设置定义用来验证用户的协议和凭证。
在TTLS(隧道传输层安全性)中,客户端使用EAP-TLS来证实服务器,并在客户端与服务器之间创建一个TLS加密的频道。
客户端可使用另一个验证协议。
基于密码的协议通常在非暴露的TLS加密信道上挑战。
目前的TTLS实现支持所有EAP定义的方法,以及若干较陈旧的方法(PAP、CHAP、MS-CHAP和MS-CHAP-V2)。
通过定义新属性来支持新协议,可以方便地将TTLS扩展用于新协议。
PEAP
PEAP是一种新的“可扩展身份验证协议”(EAP)IEEE802.1X验证类型,旨在利用服务器侧的EAP-传输层安全性(EAP-TLS),并支持多种验证方法,包括用户的密码、一次性密码,以及“通用令牌卡(GenericTokenCard)”。
LEAP(轻量级可扩展身份验证协议)
可扩展身份验证协议(EAP)的一个版本。
LEAP是Cisco开发的专属可扩展验证协议,它提供挑战与响应验证机制和动态密钥指派。
EAP-SIM
“GSM订购者身份”(EAP-SIM)的可扩展身份验证协议方法是用于身份验证和会话密钥分发的一种机制。
它使用“全球移动通信系统(GSM)订购者身份模块(SIM)。
EAP-SIM使用动态的,基于会话的WEP密钥(由客户端适配器和RADIUS服务器衍生而来)为数据加密。
EAP-SIM要求您输入用户验证代码,或PIN,以便与“订购者身份模块”(SIM)通讯。
SIM卡是一种特殊的智能卡,用于基于“移动通信全球系统”(GSM)的数字式手机网络。
RFC4186描述EAP-SIM。
EAP-AKA
EAP-AKA(UMTS身份验证和密钥协议的可扩展身份验证协议方法)是用于身份验证和会话密钥分发的一种机制;
它使用“通用移动通信系统”(UMTS)订购者身份模块(USIM)。
USIM卡是一种特殊的智能卡,用于数字网络对网络上的给定用户进行验证。
身份验证协议
PAP
“密码验证协议”是设计用于PPP的双通握手协议。
“密码验证协议”是用在老式的SLIP系统上的纯文本密码。
它不具安全性。
仅对TTLS验证类型可用。
CHAP
“挑战握手验证协议”是一种三通握手协议,据认为它比“密码验证协议”较安全。
MS-CHAP(MD4)
使用Microsoft版本的RSAMessageDigest4挑战-回应协议。
它仅在Microsoft系统上工作,并启用数据加密。
选择此验证方法使所有数据都加密。
MS-CHAP-V2
推出一项在MS-CHAP-V1或标准CHAP验证中不包含的额外功能:
更改密码功能。
此功能允许客户端在RADIUS服务器报告密码过期时更改帐户密码。
对TTLS和PEAP验证类型可用。
GenericTokenCard(通用令牌卡-GTC)
载有用户专用的令牌卡用于验证。
GTC的主要功能就是基于“数字证书/令牌卡”的验证。
此外,GTC还能在TLS加密隧道建立之前隐藏用户的名身份,以此提供了额外保密性:
即在验证阶段中不会将用户名向外广播。
仅对PEAP验证类型可用。
Cisco功能
CiscoLEAP
CiscoLEAP(Cisco轻量级EAP)是一种通过用户提供的登录密码实现的服务器和客户端802.1X验证。
当一个无线接入点与一个启用了CiscoLEAP的RADIUS(Cisco安全接入控制服务器[ACS])通讯时,CiscoLEAP通过客户端无线适配器与无线网络之间的交互验证而提供接入控制,并且还提供动态的个别用户加密密钥来帮助保护传输数据的隐私。
Cisco欺诈接入点安全性功能
“Cisco欺诈AP”功能提供安全性保护的机制是引入一个欺诈接入点,该欺诈接入点能够模仿网络上的合法接入点以便抽取用户身份凭证和身份验证协议的信息从而可能危及安全性。
此功能只适用于Cisco的LEAP验证。
标准的802.11技术对引入欺诈接入点的网络不提供保护。
参阅LEAP验证获得更多信息。
802.11b和802.11g混合环境保护协议
有些接入点,例如Cisco350或Cisco1200,所支持的环境中,并非所有客户站都支持WEP加密;
这称为“混合单元模式”。
当这些无线网络以“可选加密”模式运行时,以WEP模式加入的客户站发出的所有消息都加密,而使用标准模式的客户站发出的所有消息都不加密。
这些接入点广播网络不使用加密,但允许使用WEP模式的客户加入。
当在配置式中启用“混合单元”时,它允许连接到配置为“可选加密”的接入点。
Cisco密钥完整性协议(CKIP)是Cisco专有的安全性协议,用于加密802.11媒体。
CKIP使用以下功能来提高802.11在基础架构模式中的安全性:
∙密钥排列(KP)
∙消息顺序号
CKIP不用于WPA/WPA2个人/企业网络验证。
CKIP仅通过在WindowsXP上使用WiFi连接实用程序受支持。
FastRoaming(快速漫游-CCKM)
当一个无线LAN被配置为重新连接时,一个LEAP启用的客户端能够从一个接入点漫游到另一个接入点而不涉及主要服务器。
使用“Cisco集中的密钥管理”(CCKM),一个经配置而提供“无线域服务”(WDS)的接入点将取代RADIUS服务器的位置并验证客户端,而语音或其他对时间要求高的应用程序并没有明显的延迟。
Mixed-CellMode(混合单元模式)
RadioManagement(无线电管理)
此功能启用时,无线适配器为Cisco基础架构提供无线电管理信息。
如果在该基础架构上使用“CiscoRadioManagement(Cisco无线电管理)”实用程序,它将配置无线电参数、检测干扰和欺诈接入点。
EAP-FAST
EAP-FAST,与EAP-TTLS和PEAP一样,也使用隧道来保护通信量。
主要的不同之处是EAP-FAST不使用证书来进行身份验证。
在服务器请求EAP-FAST时,EAP-FAST的提供仅由客户作为首次通信交换进行协商。
如果客户端没有预配置共享的秘密“保护性接入身分凭证”(PAC),它能够发起一个EAP-FAST交换以便从服务器动态获得一个。
EAP-FAST有两种方法提交PAC:
通过带外安全机制的手动提交和自动提供。
∙手动提交机制可以是网络管理员认为对网络足够安全的任何提交机制。
∙自动提供建立一条加密隧道以保护客户端验证并将PAC提交给客户端。
此机制,尽管不如手动方法安全,但比LEAP中使用的身份验证方法更安全。
EAP-FAST方法分为两部分:
提供和验证。
提供阶段包括向客户端初次递送PAC。
这一阶段对每个客户端和用户仅需要执行一次。
升级会员 