无线网络和无线局域网的应用扩展了网络用户的自由、解决了与线路有关的各种问题并且有时可以节约部署费用。然而,这种自由也同时带来了新的挑战。这些挑战包括安全性、漫游和网络配置问题。本文将针对无线局域网的安全性问题和Windows XP依据业界标准提供的解决方案作较为详细的介绍。
问题的提出
在有线网络中,在有线设备中传输的数据具备固有的安全性。潜在的数据窃贼也必须通过有线连接至电缆设备并受到其他安全手段的防范;当网络中没有连线时,网络用户获得的自由同样扩展到了潜在的数据窃贼手中。网络在过道、门厅甚至楼外都可以使用。在家庭的环境中,如果网络装置不采用安全措施或使用不当,您的网络将扩展到邻居的家中。
IEEE 802.11从一开始就已经提供了一些基本的安全机制使得这种增强的自由较少潜在的威胁。例如,802.11接入点(或多组接入点)可以用一个服务集标识(Service Set Identifier SSID)来配置。与接入点有关的网卡必须知道SSID以便在网络中发送和接收数据。但是,如果说不是毫无安全可言,这也是一个非常脆弱的安全。因为
所有的网卡和接入点都知道SSID
SSID通过明文在大气中传送,甚至被接入点广播
无论关联是否允许,是否知道SSID是由本地网卡或驱动程序控制的
整个系统中没有提供任何加密措施
尽管这一系统还有其它的问题,仅此它已不足以阻挡任何人,更何况黑客的攻击。
在802.11规范中通过有线同等保密(Wired Equivalent Privacy WEP)算法提供了附加的安全性。WEP向802.11提供了鉴权和加密服务。WEP算法定义了40位密钥用于鉴权和加密并且很多IEEE 802.11装置也允许104位密钥。这一算法提供了对反窃听的最大保护和可与有线网络相提并论的物理安全性。
这一安全机制的一个主要限制是标准没有规定一个分配密钥的管理协议。这就假定了共享密钥是通过独立于802.11的秘密渠道提供给无线台。当这种无线台的数量庞大时,将是一个很大的挑战。为了提供一个更好的接入控制和安全性机制,需要在规范中包括密钥管理协议。
解决方案
为了提供高于WEP的安全性,需要通过IEEE 802.1x协议。为此,Windows XP网络小组同IEEE,网络提供商和其它定义IEEE 802.1x的人员进行了协同努力。802.1x是一个基于端口的标准草案,网络接入控制用于提供以太网的网络接入的鉴权。这种基于端口的网络接入控制使用交换式局域网基础设施的物理特性来认证连接到局域网某个端口的设备。如果认证过程失败,端口接入将被阻止。尽管此标准是为有线以太网设计,它也可用于802.11无线局域网。
特别地对于无线网络,接入点将采用为客户证书认证的远程拨入用户认证服务(Remote Authentication Dial-In Service RADIUS)的服务器,作为网络接入的认证者。通信被允许通过一个逻辑"非控制端口"或信道来验证证书的有效性而通过一个逻辑"控制端口"获得接入网络的密钥。对接入点有效的密钥和客户是允许客户数据被加密和被接入点识别的交换结果。密钥管理协议因而得以添加到802.11的安全性中。
下述步骤是用户机纯粹无线接入网络的认证方式的过程:
没有认证密钥,接入点禁止流经其的所有业务。当无线台进入接入点的有效范围时,接入点会发出一个认证要求。
无线台接到请求时,可用其身份标识来响应。接入点转发此标识给RADIUS服务器进行验证服务。
然后,RADIUS服务器请求无线台的证书,指定要求确认无线台标识的证书类型。无线台将其证书发送至RADIUS服务器(通过接入点的“非控制端口”)。
接入点使用鉴权密钥秘密地向无线台传送适当的密钥,包括适用于该无线台的单播会话密钥和用于多播的通用会话密钥。
无线台可被要求周期性地重新认证以保持一定的安全级。
这种802.1x方式已被广泛采用而RADIUS鉴权的使用也在增加。如果需要的话,RADIUS服务器可以查询一个本地认证数据库。或者,请求也可以被传送给其他服务器进行有效性验证。当RADIUS决定机器可以准入网络时,将向接入点发送消息,接入点则允许数据业务流入网络。
为了提供这一安全性,微软在Windows XP中提供了一种802.1x客户装置并增强了Windows RADIUS服务器,Internet Authentication Server (ISA)以支持无线设备的认证。微软还与许多802.11设备提供商协同工作使他们的网卡驱动和接入点软件支持这一安全机制。目前许多最大的供应商已接近或正在出产他们支持802.1x的设备。
|