安全热点指数评点--无线安全

无线安全

网络安全十大热点词汇第三位

热度指数 ★★★★☆

据第三方市场调查数据显示，制约无线网络得到广泛应用的因素第一是价格，另外就是无线网络的安全性问题。如今，无线网络产品的价格已经下调到用户可以接受的程度，无线网络的安全问题就成为了当前发展无线网络产业的最大问题之一。无线网络的数据传输因为是利用微波在空气中进行辐射传播，因此只要在无线信号覆盖的范围内，所有的无线终端都可以接收到无线信号。但是AP（Access Point）无法将无线信号定向到一个特定的接收设备，因此无线的安全保密问题就显得尤为突出。从最初利用ESSID、MAC限制，防止非法无线设备入侵的访问控制，到基于WEP数据加密的解决方案，再到即将成为新标准的802.11i，以及从12月1日起我国开始施行的WLAN产品的新标准WAPI（无线局域网鉴别和保密基础结构），无线网络安全技术在很大的程度上已经得到了改善，即使这样，但要真正构建端到端的安全无线网络还任重道远。

WAPI利用证书进行用户设备和AP的双向认证，可为用户的身份认证提供更加强大的保护。此外，在通信一段时间或者交换一定数量的数据之后，客户端和AP之间还将重新协商会话密钥。

该标准在充分考虑和兼顾无线局域网产品互连互通的基础上，针对无线局域网的安全问题，给出了技术解决方案和规范要求。并且两项标准都具有自主知识产权的WLAN鉴别与保密基础结构（WAPI）协议，可替代国际标准中的WEP协议，能够解决困扰宽带无线产业发展的安全问题，将有效规范和引导无线局域网产品及技术在我国应用和发展。同时该标准与相应国际标准的区别主要表现在对安全机制的严格要求，即用WAPI协议取代了IEEE802.11标准中先天不足的WEP协议。

WEP（Wired Equivalent Privacy）是IEEE802.11b协议中最基本的无线安全加密措施，其主要用途包括提供接入控制，防止未授权用户访问网络；对数据进行加密，防止数据被攻击者窃听；防止数据被攻击者中途恶意纂改或伪造。此外，WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。AboveCable所有型号的AP都支持64位或（与）128位的静态WEP加密，有效地防止数据被窃听盗用。

该技术适合一些小型企业 、家庭用户等小型环境的无线网络应用，无需额外的设备支出，配置方便。但在无线行业应用中，基于WEP加密技术的安全缺陷饱受非议，因针对WEP数据包加密已有破译的方法，且使用这一方法破解WEP密钥的工具可以在互联网上免费下载。相应的，替代WEP的WPA标准已于2002年下半年出台了，通过暂时密钥集成协议（TKIP）增强了数据加密，提高无线网络的安全特性。

而在802.11i标准最终确定前，WPA技术将成为代替WEP的无线安全标准协议。WPA是IEEE802.11i的一个子集，其核心就是802.1x和TKIP。TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进，在现有的WEP加密引擎中追加了“密钥细分（每发一个包重新生成一个新的密钥）”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。此外，802.11i中还定义了一种基于“高级加密标准”AES的全新加密算法，以实施更强大的加密和信息完整性检查。

而802.1x是一种基于端口的网络接入控制技术，在网络设备的物理接入级对接入设备进行认证和控制。IEEE802.1x可以提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。虽然业界对802.11i无线安全技术普遍看好，但802.11i标准的正式颁布还需假以时日。

无线安全代表产品

★Cisco Aironet1200系列接入点为安全的、可管理的、可靠的无线局域网（WLAN）树立了企业级标准，同时它还可以为向未来的高速无线LAN技术进行移植提供一条平稳的途径，从而提供了投资保护。Cisco Aironet 1200系列软件建立在功能丰富的、客户驱动的Cisco Aironet软件的基础之上，包括802.1X支持、相互认证、动态加密密钥，以及通过SNMP、远程登录和Web浏览器进行管理。Cisco Aironet 1200系列的功能与现有的Cisco Aironet 340和350系列产品完全兼容。

★Summit300-48是Extreme推出的能在全集成式企业设施中提供有线应用和无线应用的一体化接入体系体系交换机，Altitude 300可直接在硬件中处理加密，通过和Summit 300-48一起运行，认证用户身份，采用IEEE 802.1x和RADIUS（远程认证拨入用户服务）服务器，准许或拒绝接入网络。其认证方式可以采用PEAP（保护扩展认证协议）、EAP-TLS（扩展认证协议-传输层安全性），EAP-TTLS（扩展认证协议-隧道型TLS）、EAP-MD5等，并且还支持WEP、802.11i草案、WPA、AES、TKIP等众多加密方式。

★DWL-2000AP+是D-Link新推出的802.11g+系列无线产品一款AP新品，采用D-Link特有的编解码技术，在特定的传输段信息传递速率最高可达到一般802.11b产品的8倍。在无线网络的安全问题上，DWL-2000AP+提供802.1x 认证、TKIP 和Pre-Shared 秘钥功能，支持DHCP server和64/128/256位WEP无线数据加密，为无线通信提供安全性更强的保护，并且有效防止入侵，还支持最新的WPA安全标准。