1、引言
隨著無線局域網(wǎng)應(yīng)用的日益廣泛,其安全問題也越來越受到人們的關(guān)注。對于有線網(wǎng)絡(luò),數(shù)據(jù)通過電纜傳輸?shù)教囟ǖ哪康牡兀ǔT谖锢礞溌吩獾狡茐牡那闆r下,數(shù)據(jù)才有可能泄露;而無線局域網(wǎng)中,數(shù)據(jù)是在空中傳播,只要在無線接入點(diǎn)(AP)覆蓋的范圍內(nèi),終端都可以接收到無線信號,無線接入點(diǎn)(AP)不能將信號定向到一個(gè)特定的接收設(shè)備,因此無線局域網(wǎng)的安全問題顯得尤為突出。
2、無線局域網(wǎng)安全技術(shù)研究
為了保證安全通信,無線局域網(wǎng)中應(yīng)采取必要的安全技術(shù),包括訪問控制、認(rèn)證、加密、數(shù)據(jù)完整性及不可否認(rèn)性等。
2.1認(rèn)證
認(rèn)證提供了關(guān)于用戶的身份的保證,這意味著當(dāng)用戶聲稱具有一個(gè)特別的身份時(shí),認(rèn)證將提供某種方法來證實(shí)這一聲明是正確的。用戶在訪問無線局域網(wǎng)之前,首先需要經(jīng)過認(rèn)證驗(yàn)證身份以決定其是否具有相關(guān)權(quán)限,再對用戶進(jìn)行授權(quán),允許用戶接入網(wǎng)絡(luò),訪問權(quán)限內(nèi)的資源。
盡管不同的認(rèn)證方式?jīng)Q定用戶身份驗(yàn)證的具體流程不同,但認(rèn)證過程中所應(yīng)實(shí)現(xiàn)的基本功能是一致的。目前無線局域網(wǎng)中采用的認(rèn)證方式主要有PPPoE認(rèn)證、WEB認(rèn)證和802.1X認(rèn)證。
2.1.1基于PPPoE的認(rèn)證
PPPoE認(rèn)證是出現(xiàn)最早也是最為成熟的一種接入認(rèn)證機(jī)制,現(xiàn)有的寬帶接入技術(shù)多數(shù)采用這種接入認(rèn)證方式。在無線局域網(wǎng)中,采用PPPoE認(rèn)證,只需對原有的后臺系統(tǒng)增加相關(guān)的軟件模塊,就可以到達(dá)認(rèn)證的目的,從而大大節(jié)省投資,因此使用較為廣泛。圖1是基于PPPoE認(rèn)證的無線局域網(wǎng)網(wǎng)絡(luò)框架。
![""]("http://network.51cto.com/files/uploadimg/20070521/1312390.jpg") 498)this.style.width=498;" border=0> |
| 圖1 基于PPPoE認(rèn)證的無線局域網(wǎng)網(wǎng)絡(luò)框架 |
PPPoE認(rèn)證是一種成熟的認(rèn)證方式,實(shí)現(xiàn)方便。但是由于它是基于用戶名/口令的認(rèn)證方式,并只能實(shí)現(xiàn)網(wǎng)絡(luò)對用戶的認(rèn)證。安全性有限;網(wǎng)絡(luò)中的接入服務(wù)器需要終結(jié)大量的PPP會(huì)話,轉(zhuǎn)發(fā)大量的IP數(shù)據(jù)包,在業(yè)務(wù)繁忙時(shí),很可能成為網(wǎng)絡(luò)性能的瓶頸,因此使用PPPoE認(rèn)證方式對組網(wǎng)方式和設(shè)備性能的要求較高;而且由于接入服務(wù)器與用戶終端之間建立的是點(diǎn)到點(diǎn)的連接。即使幾個(gè)用戶同屬于一個(gè)組播組,也要為每個(gè)用戶單獨(dú)復(fù)制一份數(shù)據(jù)流,才能夠支持組播業(yè)務(wù)的傳輸。
2.1.2基于WEB的認(rèn)證
WEB認(rèn)證相比于PPPoE認(rèn)證,一個(gè)非常重要的特點(diǎn)就是客戶端除了IE瀏覽器外不需要安裝認(rèn)證客戶端軟件,給用戶免去了安裝、配置與管理客戶端軟件的煩惱,也給運(yùn)營維護(hù)人員減少了很多相關(guān)的維護(hù)壓力。同時(shí),WEB認(rèn)證配合Portal服務(wù)器,還可在認(rèn)證過程中向用戶推送門戶網(wǎng)站,有助于開展新的增值業(yè)務(wù)。圖2是基于WEB認(rèn)證的無線局域網(wǎng)網(wǎng)絡(luò)框架。
![""]("http://network.51cto.com/files/uploadimg/20070521/1312391.jpg") 498)this.style.width=498;" border=0> |
| 圖2 基于WEB認(rèn)證的無線局域網(wǎng)網(wǎng)絡(luò)框架 |
在WEB認(rèn)證過程中,用戶首先通過DHCP服務(wù)器獲得IP地址,使用這個(gè)地址可以與Portal服務(wù)器通信,也可訪問一些內(nèi)部服務(wù)器。在認(rèn)證過程中,用戶的認(rèn)證請求被重定向到Portal服務(wù)器,由Portal服務(wù)器向用戶推送認(rèn)證界面。
2.1.3基于802.1X的認(rèn)證
802.1X認(rèn)證是采用IEEE802.1X協(xié)議的認(rèn)證方式的總稱。IEEE802.1X協(xié)議由IEEE于2001年6月提出,是一種基于端口的訪問控制協(xié)議(PortBasedNetwork Access Control Protocol),能夠?qū)崿F(xiàn)對局域網(wǎng)設(shè)備的安全認(rèn)證和授權(quán)。802.1X協(xié)議的基礎(chǔ)在于EAP(Extensible Authentication Protocol)認(rèn)證協(xié)議,即IETF提出的PPP協(xié)議的擴(kuò)展。EAP消息包含在IEEE 802.1X消息中,被稱為EAPOL(EAP over LAN)。IEEE 802.1X協(xié)議的體系結(jié)構(gòu)包括三個(gè)重要的部分,客戶端、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器。三者之間通過EAP協(xié)議進(jìn)行通信,基于802.1X認(rèn)證的無線局域網(wǎng)網(wǎng)絡(luò)框圖如圖3所示。可知,在一個(gè)802.1X的無線局域網(wǎng)認(rèn)證系統(tǒng)中,認(rèn)證不是由接入點(diǎn)AP完成,而是由一個(gè)專門的中心服務(wù)器完成。如果服務(wù)器使用Radius協(xié)議時(shí),則稱為Radius服務(wù)器。用戶可以通過任何一臺PC登陸到網(wǎng)絡(luò)上,而且很多AP可以共享一個(gè)單獨(dú)的Radius服務(wù)器來完成認(rèn)證,這使得網(wǎng)絡(luò)管理者能更容易地控制網(wǎng)絡(luò)接入。
