無(wú)線網(wǎng)絡(luò)安全解決方案

無(wú)線網(wǎng)絡(luò)安全解決方案WLAN的應(yīng)用現(xiàn)狀1.1Wi-Fi在全球范圍迅速發(fā)展的趨勢(shì)無(wú)線局域網(wǎng)(WLAN)作為一種能夠幫助移動(dòng)人群保持網(wǎng)絡(luò)連接的技術(shù)，在全球范圍內(nèi)受到來(lái)自多個(gè)領(lǐng)域用戶(hù)的支持，目前已經(jīng)獲得迅猛發(fā)展。無(wú)線局域網(wǎng)(WLAN)的發(fā)展主要從公共熱點(diǎn)(在公共場(chǎng)所部署的無(wú)線局域網(wǎng)環(huán)境)和企業(yè)組織機(jī)構(gòu)內(nèi)部架設(shè)兩個(gè)方向鋪開(kāi)。世界范圍內(nèi)的公共無(wú)線局域網(wǎng)(WLAN)熱點(diǎn)數(shù)量三年增加近60倍。預(yù)計(jì)將從2002年的14717個(gè)增長(zhǎng)到2006年的30多萬(wàn)個(gè)，用戶(hù)數(shù)量增加四倍。據(jù)IDC預(yù)測(cè)，到2004年全球的WLAN用戶(hù)將達(dá)到2460萬(wàn)，比2002年增長(zhǎng)近十倍；2002年銷(xiāo)售的全部筆記本電腦中只有10%支持WLAN，目前是31%，預(yù)計(jì)到2005年，售出的筆記本電腦中將有80%具備無(wú)線支持能力。在亞太區(qū)這一發(fā)展勢(shì)頭同樣強(qiáng)勁。市場(chǎng)調(diào)查公司GartnerDataquest指出，公共無(wú)線局域網(wǎng)(WLAN)服務(wù)在亞太地區(qū)將保持強(qiáng)勁的發(fā)展勢(shì)頭。至少在澳大利亞、香港、日本、新加坡、韓國(guó)和臺(tái)灣這六大市場(chǎng)，熱點(diǎn)的數(shù)量在迅速增加。2002年亞太地區(qū)只有1，625個(gè)熱點(diǎn)，預(yù)計(jì)到2007年，熱點(diǎn)的數(shù)量將接近3.8萬(wàn)。1.2在企業(yè)、學(xué)校等組織機(jī)構(gòu)內(nèi)部，筆記本電腦的普及也帶動(dòng)了無(wú)線局域網(wǎng)(WLAN)的普及。以英特爾公司為例，全球79，000名員工中有65%以上的人使用筆記本電腦，其中80%以上的辦公室都部署了無(wú)線局域網(wǎng)(WLAN),英特爾圍繞具備無(wú)線能力的筆記本電腦如何改變其員工的生活習(xí)慣和工作效率進(jìn)行了調(diào)查，結(jié)果表明，員工的工作效率平均每周提高了兩小時(shí)以上，遠(yuǎn)遠(yuǎn)超過(guò)了所花費(fèi)的升級(jí)成本，而且完成一般辦公室任務(wù)的速度提高了37%。此外，無(wú)線移動(dòng)性還迅速改變了員工的工作方式，使其能夠更加靈活自主地安排自己的工作。WLAN面臨的安全問(wèn)題由于無(wú)線局域網(wǎng)采用公共的電磁波作為載體，電磁波能夠穿過(guò)天花板、玻璃、樓層、磚、墻等物體，因此在一個(gè)無(wú)線局域網(wǎng)接入點(diǎn)（AccessPoint）所服務(wù)的區(qū)域中，任何一個(gè)無(wú)線客戶(hù)端都可以接受到此接入點(diǎn)的電磁波信號(hào)，這樣就可能包括一些惡意用戶(hù)也能接收到其他無(wú)線數(shù)據(jù)信號(hào)。這樣惡意用戶(hù)在無(wú)線局域網(wǎng)中相對(duì)于在有線局域網(wǎng)當(dāng)中，去竊聽(tīng)或干擾信息就來(lái)得容易得多。WLAN所面臨的安全威脅主要有以下幾類(lèi)：2.1網(wǎng)絡(luò)竊聽(tīng)一般說(shuō)來(lái)，大多數(shù)網(wǎng)絡(luò)通信都是以明文（非加密）格式出現(xiàn)的，這就會(huì)使處于無(wú)線信號(hào)覆蓋范圍之內(nèi)的攻擊者可以乘機(jī)監(jiān)視并破解（讀?。┩ㄐ?。這類(lèi)攻擊是企業(yè)管理員面臨的最大安全問(wèn)題。如果沒(méi)有基于加密的強(qiáng)有力的安全服務(wù)，數(shù)據(jù)就很容易在空氣中傳輸時(shí)被他人讀取并利用。AP中間人欺騙在沒(méi)有足夠的安全防范措施的情況下，是很容易受到利用非法AP進(jìn)行的中間人欺騙攻擊。解決這種攻擊的通常做法是采用雙向認(rèn)證方法（即網(wǎng)絡(luò)認(rèn)證用戶(hù)，同時(shí)用戶(hù)也認(rèn)證網(wǎng)絡(luò)）和基于應(yīng)用層的加密認(rèn)證（如HTTPS+WEB）。WEP破解現(xiàn)在互聯(lián)網(wǎng)上存在一些程序，能夠捕捉位于AP信號(hào)覆蓋區(qū)域內(nèi)的數(shù)據(jù)包，收集到足夠的WEP弱密鑰加密的包，并進(jìn)行分析以恢復(fù)WEP密鑰。根據(jù)監(jiān)聽(tīng)無(wú)線通信的機(jī)器速度、WLAN內(nèi)發(fā)射信號(hào)的無(wú)線主機(jī)數(shù)量，以及由于802.11幀沖突引起的IV重發(fā)數(shù)量，最快可以在兩個(gè)小時(shí)內(nèi)攻破WEP密鑰。MAC地址欺驪即使AP起用了MAC地址過(guò)濾，使未授權(quán)的黑客的無(wú)線網(wǎng)卡不能連接AP，這并不意味著能阻止黑客進(jìn)行無(wú)線信號(hào)偵聽(tīng)。通過(guò)某些軟件分析截獲的數(shù)據(jù)，能夠獲得AP允許通信的STAMAC地址，這樣黑客就能利用MAC地址偽裝等手段入侵網(wǎng)絡(luò)了。3.WLAN業(yè)界的安全技術(shù)早期的無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)安全性并不完善，技術(shù)上存在一些安全漏洞。但是另一方面，由于WLAN標(biāo)準(zhǔn)是公開(kāi)的，隨著使用的推廣，更多的專(zhuān)家參與了無(wú)線標(biāo)準(zhǔn)的制定，使其安全技術(shù)迅速成熟起來(lái)?，F(xiàn)在不只是在家庭，學(xué)校，中小企業(yè)里邊WLAN得到廣泛的應(yīng)用，在安全最敏感的大企業(yè)，大銀行戶(hù)頭(例如全球財(cái)富500強(qiáng))，政府機(jī)構(gòu)，WLAN的安全可靠性也得到了認(rèn)可，并大量地推廣使用。具體地講，為了有效保障無(wú)線局域網(wǎng)(WLAN)的安全性，就必須實(shí)現(xiàn)以下幾個(gè)安全目標(biāo)：提供接入控制：驗(yàn)證用戶(hù)，授權(quán)他們接入特定的資源，同時(shí)拒絕為未經(jīng)授權(quán)的用戶(hù)提供接入；確保連接的保密與完好：利用強(qiáng)有力的加密和校驗(yàn)技術(shù)，防止未經(jīng)授權(quán)的用戶(hù)竊聽(tīng)、插入或修改通過(guò)無(wú)線網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù);3.防止拒絕服務(wù)（DoS）攻擊:確保不會(huì)有用戶(hù)占用某個(gè)接入點(diǎn)的所有可用帶寬，從而影響其他用戶(hù)的正常接入。無(wú)線局域網(wǎng)的安全技術(shù)這幾年得到了快速的發(fā)展和應(yīng)用。下面是業(yè)界常見(jiàn)的無(wú)線網(wǎng)絡(luò)安全技術(shù)：?服務(wù)區(qū)標(biāo)識(shí)符（SSID）匹配；無(wú)線網(wǎng)卡物理地址（MAC）過(guò)濾；?有線等效保密（WEP）;?端口訪問(wèn)控制技術(shù)（IEEE802.1X）和可擴(kuò)展認(rèn)證協(xié)議（EAP）;WPA（Wi-Fi保護(hù)訪問(wèn)）技術(shù)；?高級(jí)的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)一IEEE802.11i；SSIDSSID（ServiceSetIdentifier）將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)不同的子網(wǎng)絡(luò)，每一個(gè)子網(wǎng)絡(luò)都有其對(duì)應(yīng)的身份標(biāo)識(shí)（SSID），只有無(wú)線終端設(shè)置了配對(duì)的SSID才接入相應(yīng)的子網(wǎng)絡(luò)。所以可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令，提供了口令認(rèn)證機(jī)制，實(shí)現(xiàn)了一定的安全性。但是這種口令極易被無(wú)線終端探測(cè)出來(lái)，企業(yè)級(jí)無(wú)線應(yīng)用絕不能只依賴(lài)這種技術(shù)做安全保障，而只能作為區(qū)分不同無(wú)線服務(wù)區(qū)的標(biāo)識(shí)。MAC地址過(guò)濾每個(gè)無(wú)線工作站網(wǎng)卡都由唯一的物理地址（MAC）標(biāo)識(shí)，該物理地址編碼方式類(lèi)似于以太網(wǎng)物理地址，是48位。網(wǎng)絡(luò)管理員可在無(wú)線局域網(wǎng)訪問(wèn)點(diǎn)AP中手工維護(hù)一組（不）允許通過(guò)AP訪問(wèn)網(wǎng)絡(luò)地址列表，以實(shí)現(xiàn)基于物理地址的訪問(wèn)過(guò)濾。MAC地址過(guò)濾的好處和優(yōu)勢(shì)?簡(jiǎn)化了訪問(wèn)控制?接受或拒絕預(yù)先設(shè)定的用戶(hù)?被過(guò)濾的MAC不能進(jìn)行訪問(wèn)?提供了第2層的防護(hù)MAC地址過(guò)濾的缺點(diǎn)?當(dāng)AP和無(wú)線終端數(shù)量較多時(shí)，大大增加了管理負(fù)擔(dān)?容易受到MAC地址偽裝攻擊3.3802.11WEPWEPIEEE80211.b標(biāo)準(zhǔn)規(guī)定了一種被稱(chēng)為有線等效保密（WEP）的可選加密方案，其目的是為WLAN提供與有線網(wǎng)絡(luò)相同級(jí)別的安全保護(hù)。WEP是采用靜態(tài)的有線等同保密密鑰的基本安全方式。靜態(tài)WEP密鑰是一種在會(huì)話過(guò)程中不發(fā)生變化也不針對(duì)各個(gè)用戶(hù)而變化的密鑰。WEP的好處和優(yōu)勢(shì)WEP在傳輸上提供了一定的安全性和保密性，能夠阻止有意或無(wú)意的無(wú)線用戶(hù)查看到在AP和STA之間傳輸?shù)膬?nèi)容，其優(yōu)點(diǎn)在于:?全部報(bào)文都使用校驗(yàn)和加密，提供了一些抵抗篡改的能力?通過(guò)加密來(lái)維護(hù)一定的保密性，如果沒(méi)有密鑰，就難把報(bào)文解密WEP非常容易實(shí)現(xiàn)WEP為WLAN應(yīng)用程序提供了非?；镜谋Ｗo(hù)WEP的缺點(diǎn)?靜態(tài)WEP密鑰對(duì)于WLAN上的所有用戶(hù)都是通用的這意味著如果某個(gè)無(wú)線設(shè)備丟失或者被盜，所有其他設(shè)備上的靜態(tài)WEP密鑰都必須進(jìn)行修改，以保持相同等級(jí)的安全性。這將給網(wǎng)絡(luò)的管理員帶來(lái)非常費(fèi)時(shí)費(fèi)力的、不切實(shí)際的管理任務(wù)。?缺少密鑰管理WEP標(biāo)準(zhǔn)中并沒(méi)有規(guī)定共享密鑰的管理方案，通常是手工進(jìn)行配置與維護(hù)。由于同時(shí)更換密鑰的費(fèi)時(shí)與困難，所以密鑰通常長(zhǎng)時(shí)間使用而很少更換。ICV算法不合適ICV是一種基于CRC-32的用于檢測(cè)傳輸噪音和普通錯(cuò)誤的算法。CRC-32是信息的線性函數(shù)，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV，使信息表面上看起來(lái)是可信的。RC4算法存在弱點(diǎn)在RC4中，人們發(fā)現(xiàn)了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個(gè)好密碼所應(yīng)具有的相關(guān)性。攻擊者收集到足夠使用弱密鑰的包后，就可以對(duì)它們進(jìn)行分析，只須嘗試很少的密鑰就可以接入到網(wǎng)絡(luò)中。認(rèn)證信息易于偽造基于WEP的共享密鑰認(rèn)證的目的就是實(shí)現(xiàn)訪問(wèn)控制，然而事實(shí)卻截然相反，只要通過(guò)監(jiān)聽(tīng)一次成功的認(rèn)證，攻擊者以后就可以偽造認(rèn)證。啟動(dòng)共享密鑰認(rèn)證實(shí)際上降低了網(wǎng)絡(luò)的總體安全性，使猜中WEP密鑰變得更為容易。WEP2為了提供更高的安全性，WiFi工作組提供了WEP2技術(shù)，該技術(shù)相比WEP算法，只是將WEP密鑰的長(zhǎng)度由40位加長(zhǎng)到128位，初始化向量IV的長(zhǎng)度由24位加長(zhǎng)到128位。然而WEP算法的安全漏洞是由于WEP機(jī)制本身引起的，與密鑰的長(zhǎng)度無(wú)關(guān)，即使增加加密密鑰的長(zhǎng)度，也不可能增強(qiáng)其安全程度。也就是說(shuō)WEP2算法并沒(méi)有起到提高安全性的作用。802.1x/EAP用戶(hù)認(rèn)證802.1x認(rèn)證技術(shù)802.1X是針對(duì)以太網(wǎng)而提出的基于端口進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制的安全性標(biāo)準(zhǔn)草案?；诙丝诘木W(wǎng)絡(luò)訪問(wèn)控制利用物理層特性對(duì)連接到LAN端口的設(shè)備進(jìn)行身份認(rèn)證。如果認(rèn)證失敗，則禁止該設(shè)備訪問(wèn)LAN資源。盡管802.1X標(biāo)準(zhǔn)最初是為有線以太網(wǎng)設(shè)計(jì)制定的，但它也適用于符合802.11標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)，且被視為是WLAN的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方

案。802.1x體系結(jié)構(gòu)包括三個(gè)主要的組件：?請(qǐng)求方(Supplicant)：提出認(rèn)證申請(qǐng)的用戶(hù)接入設(shè)備，在無(wú)線網(wǎng)絡(luò)中，通常指待接入網(wǎng)絡(luò)的無(wú)線客戶(hù)機(jī)STA。?認(rèn)證方(Authenticator)：允許客戶(hù)機(jī)進(jìn)行網(wǎng)絡(luò)訪問(wèn)的實(shí)體，在無(wú)線網(wǎng)絡(luò)中，通常指訪問(wèn)接入點(diǎn)AP。?認(rèn)證服務(wù)器(AuthenticationSever)：為認(rèn)證方提供認(rèn)證服務(wù)的實(shí)體。認(rèn)證服務(wù)器對(duì)請(qǐng)求方進(jìn)行驗(yàn)證，然后告知認(rèn)證方該請(qǐng)求者是否為授權(quán)用戶(hù)。認(rèn)證服務(wù)器可以是某個(gè)單獨(dú)的服務(wù)器實(shí)體，也可以不是，后一種情況通常是將認(rèn)證功能集成在認(rèn)證方Authenticator中。802.1x草案為認(rèn)證方定義了兩種訪問(wèn)控制端口：即”受控”端口和”非受控”端口?！笔芸囟丝凇狈峙浣o那些已經(jīng)成功通過(guò)認(rèn)證的實(shí)體進(jìn)行網(wǎng)絡(luò)訪問(wèn)；而在認(rèn)證尚未完成之前，所有的通信數(shù)據(jù)流從”非受控端口”進(jìn)出?！狈鞘芸囟丝凇敝辉试S通過(guò)802.1X認(rèn)證數(shù)據(jù)一旦認(rèn)證成功通過(guò)請(qǐng)求方就可以通過(guò)”受控端口”訪問(wèn)LAN資源和服務(wù)。下圖列出802.1X認(rèn)證前后的邏輯示意圖。1受!1受!1'J應(yīng)商iiS蘇一控端n 非受掠.「 1未認(rèn)證狀志—■1 ,認(rèn)］認(rèn)證后802.1X技術(shù)是一種增強(qiáng)型的網(wǎng)絡(luò)安全解決方案。在采用802.1X的無(wú)線LAN中無(wú)線用戶(hù)端安裝802.1X客戶(hù)端軟件作為請(qǐng)求方無(wú)線訪問(wèn)點(diǎn)AP內(nèi)嵌802.1X認(rèn)證代理作為認(rèn)證方，同時(shí)它還作為Radius認(rèn)證服務(wù)器的客戶(hù)端，負(fù)責(zé)用戶(hù)與Radius服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。802.1x認(rèn)證一般包括以下幾種EAP(ExtensibleAuthenticationProtocol)認(rèn)證模式：EAP-MD5EAP-TLS(TransportLayerSecurity)EAP-TTLS(TunnelledTransportLayerSecurity)EAP-PEAP(ProtectedEAP)EAP-LEAP(LightweightEAP)EAP-SIM802?1x認(rèn)證技術(shù)的好處和優(yōu)勢(shì)802.1x協(xié)議僅僅關(guān)注受控端口的打開(kāi)與關(guān)閉；?接入認(rèn)證通過(guò)之后，IP數(shù)據(jù)包在二層普通MAC幀上傳送；?由于是采用Radius協(xié)議進(jìn)行認(rèn)證，所以可以很方便地與其他認(rèn)證平臺(tái)進(jìn)行對(duì)接；?提供基于用戶(hù)的計(jì)費(fèi)系統(tǒng)。802.1X認(rèn)證技術(shù)的缺點(diǎn)?只提供用戶(hù)接入認(rèn)證機(jī)制。沒(méi)有提供認(rèn)證成功之后的數(shù)據(jù)加密。一般只提供單向認(rèn)證?它提供STA與RADIUS服務(wù)器之間的認(rèn)證，而不是與AP之間的認(rèn)證用戶(hù)的數(shù)據(jù)仍然是使用的RC4進(jìn)行加密。3.5WPA(802.11i)802.111——新一代WLAN安全標(biāo)準(zhǔn)為了使WLAN技術(shù)從安全性得不到很好保障的困境中解脫出來(lái)，IEEE802.11的i工作組致力于制訂被稱(chēng)為IEEE802.11i的新一代安全標(biāo)準(zhǔn)，這種安全標(biāo)準(zhǔn)是為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了RSN(RobustSecurityNetwork)的概念，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。IEEE802.11i規(guī)定使用802.1X認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP(TemporalKeyIntegrityProtocol)、CCMP(Counter-Mode/CBC-MACProtocol)和WRAP(WirelessRobustAuthenticatedProtocol)三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過(guò)在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法達(dá)到提高WLAN安全的目的°CCMP機(jī)制基于AE(AdvancedEncryptionStandard)加密算法和CCM(Counter-Mode/CBC-MAC)認(rèn)證方式，使得WLAN的安全程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。WPA—向IEEE802.111過(guò)渡的中間標(biāo)準(zhǔn)然而，市場(chǎng)對(duì)于提高WLAN安全的需求是十分緊迫的，IEEE802.11i的進(jìn)展并不能滿足這一需要。在這種情況下，Wi-Fi聯(lián)盟制定了WPA(Wi-FiProtectedAccess)標(biāo)準(zhǔn)。WPA是IEEE802.11i的一個(gè)子集，其核心就是IEEE802.1x和TKIP。WPA與IEEE802.11i的關(guān)系如下圖所示。802-111 :WPAWPA與IEEE802.11i的關(guān)系WPA采用了802.1X和TKIP來(lái)實(shí)現(xiàn)WLAN的訪問(wèn)控制、密鑰管理與數(shù)據(jù)加密。802.1X是一種基于端口的訪問(wèn)控制標(biāo)準(zhǔn)。TKIP雖然與WEP同樣都是基于RC4加密算法，但卻引入了4個(gè)新算法：?擴(kuò)展的48位初始化向量(IV)和IV順序規(guī)則(IVSequencingRules);每包密鑰構(gòu)建機(jī)制(per-packetkeyconstruction);Michael(MessageIntegrityCode，MIC)消息完整性代碼；?密鑰重新獲取和分發(fā)機(jī)制。WPA系統(tǒng)在工作的時(shí)候，先由AP向外公布自身對(duì)WPA的支持，在Beacons、ProbeResponse等報(bào)文中使用新定義的WPA信息元素(InformationElement)，這些信息元素中包含了AP的安全配置信息(包括加密算法和安全配置等信息)。STA根據(jù)收到的信息選擇相應(yīng)的安全配置，并將

所選擇的安全配置表示在其發(fā)出的AssociationRequest和Re-AssociationRequest報(bào)文中。WPA通過(guò)這種方式來(lái)實(shí)現(xiàn)STA與AP之間的加密算法以及密鑰管理方式的協(xié)商。在STA以WPA模式與AP建立關(guān)聯(lián)之后，如果網(wǎng)絡(luò)中有RADIUS服務(wù)器作為認(rèn)證服務(wù)器，那么STA就使用802.1X方式進(jìn)行認(rèn)證；如果網(wǎng)絡(luò)中沒(méi)有RADIUS，STA與AP就會(huì)采用預(yù)共享密鑰（PSK，Pre-SharedKey）的方式。在WPA中，AP支持WPA和WEP無(wú)線客戶(hù)端的混合接入。在STA與AP建立關(guān)聯(lián)時(shí)，AP可以根據(jù)STA的AssociationRequest中是否帶有WPA信息元素來(lái)確定哪些客戶(hù)端支持使用WPA。但是在混合接入的時(shí)候，所有WPA客戶(hù)端所使用的加密算法都得使用WEP，這就降低了無(wú)線局域網(wǎng)的整體安全性。盡管WPA在安全性方面相較WEP有了很大的改善和加強(qiáng)，但WPA只是一個(gè)臨時(shí)的過(guò)渡性方案，在WPA2（802.11i）中將會(huì)全面采用AES加密機(jī)制機(jī)制。4.企業(yè)4.企業(yè)/校園無(wú)線網(wǎng)安全解決方案校園4.1無(wú)線網(wǎng)安全性現(xiàn)狀分析企業(yè)對(duì)無(wú)線網(wǎng)絡(luò)的需求特征，安全因素被放在了首位，因安全方面的擔(dān)心而不愿采用Wi-Fi，是目前很多企業(yè)存在的現(xiàn)象。實(shí)際上，目前大多數(shù)企業(yè)或校園無(wú)線網(wǎng)絡(luò)提供的安全性如何？能否滿足企業(yè)或校園的需求呢？由于歷史原因，大多數(shù)企業(yè)或校園的無(wú)線局域網(wǎng)主要是依靠WEP方式對(duì)數(shù)據(jù)進(jìn)行加密，數(shù)據(jù)加密后的微波信號(hào)即使被人截獲，也不易破解，從而保證客戶(hù)傳輸?shù)臄?shù)據(jù)安全性。但是WEP存在著不理想的地方：一是密鑰共享。由于每個(gè)人都知道密鑰，則密鑰很容易泄漏不易管理。二是弱密鑰缺陷，導(dǎo)致WEP不能很好地抵御密碼學(xué)破解攻擊。其次，如果AP不做任何安全設(shè)定，則任何一個(gè)符合Wi-Fi的網(wǎng)卡都可以接入網(wǎng)絡(luò)，所以大多數(shù)無(wú)線局域網(wǎng)的用戶(hù)接入安全保障是采用MAC地址控制。但是這種接入控制方法對(duì)于大型企業(yè)或校園無(wú)線網(wǎng)，會(huì)存在管理麻煩、擴(kuò)展能力受限制等問(wèn)題。另外，黑客還可能會(huì)使用MAC欺騙技術(shù)入侵網(wǎng)絡(luò)。所以對(duì)于企業(yè)或校園無(wú)線網(wǎng)絡(luò)系統(tǒng)，如果不從整體上進(jìn)行規(guī)劃和設(shè)計(jì)，只孤立地采用單一的某項(xiàng)安全技術(shù)是無(wú)法滿足企業(yè)或校園的高安全性的要求的。反而會(huì)造成無(wú)線網(wǎng)絡(luò)不安全的印象，導(dǎo)致不能充分利用無(wú)線網(wǎng)絡(luò)所能提供的諸多特性和優(yōu)點(diǎn)來(lái)進(jìn)行資源共享和提高工作效率。下面就將介紹根據(jù)企業(yè)或校園無(wú)線網(wǎng)絡(luò)應(yīng)用的需求和要達(dá)到的目標(biāo)，整體規(guī)劃設(shè)計(jì)的一套適用于企業(yè)及校園的無(wú)線安全解決方案。4.2解決方案概述為了解決企業(yè)無(wú)線應(yīng)用的首要難題——安全性，該解決方案采用7WPA安全架構(gòu)的設(shè)計(jì)。同時(shí)，為了向企業(yè)外部來(lái)訪的用戶(hù)提供無(wú)線接入的靈活性和方便性，該方案還應(yīng)用了基于英特爾架構(gòu)的無(wú)線網(wǎng)絡(luò)控制器（WNC）和支持多SSID的AP（Cisco1100/1230），使企業(yè)無(wú)線網(wǎng)絡(luò)在保證企業(yè)信息安全的前提下，對(duì)多種接入認(rèn)證方式提供了必要的支持。為了使無(wú)線網(wǎng)絡(luò)系統(tǒng)能滿足企業(yè)或校園在功能性、靈活性和可擴(kuò)展性方面的眾多需求，中采用OcamarWNC（昂科無(wú)線網(wǎng)絡(luò)控制器）作為無(wú)線網(wǎng)絡(luò)管理和控制設(shè)備。昂科WNC除了實(shí)現(xiàn)了AC設(shè)備應(yīng)該具備的接入控制、身份認(rèn)證等功能，還能夠向企業(yè)提供策略路由、流量控制、無(wú)線設(shè)備管理、用戶(hù)管理和計(jì)費(fèi)等極具價(jià)值的功能，這使其成為對(duì)企業(yè)和校園無(wú)線應(yīng)用架構(gòu)起關(guān)鍵作用的設(shè)備。上海交通大學(xué)無(wú)線網(wǎng)案例下面以上海交通大學(xué)校園無(wú)線網(wǎng)項(xiàng)目為例，具體地闡述典型的企業(yè)及校園無(wú)線解決方案：上海交通大學(xué)是我國(guó)歷史最悠久的高等學(xué)府之一。近年來(lái)，隨著學(xué)校教學(xué)規(guī)模逐步擴(kuò)大，除擁有古色古香的百年徐家匯老校區(qū)外，還有現(xiàn)代化閔行新校區(qū)以及法華鎮(zhèn)路校區(qū)、上中校區(qū)、七寶校區(qū)等五個(gè)位于上海不同位置的校區(qū)。由于存在不同地點(diǎn)的校區(qū)，交大的教員和學(xué)生不得不在不同的校區(qū)來(lái)回，同時(shí)教學(xué)場(chǎng)所也經(jīng)常在各校區(qū)之間變換。這讓校園網(wǎng)絡(luò)出現(xiàn)了難題：1、 如何在不大幅度提高成本的情況下，校園網(wǎng)絡(luò)覆蓋五個(gè)不同位置的校區(qū)？2、 如何在校園的各個(gè)教學(xué)場(chǎng)所之間，提供無(wú)縫的網(wǎng)絡(luò)連接，完成教學(xué)任務(wù)？3、 如何連接五個(gè)不同位置的校區(qū)，同時(shí)又提供足夠的安全特性，保證安全通暢的網(wǎng)絡(luò)連接？4、 如何充分利用現(xiàn)有的資源，幫助教員和學(xué)生利用現(xiàn)代互聯(lián)網(wǎng)技術(shù)，提高教學(xué)效率和學(xué)習(xí)效率？針對(duì)學(xué)校面臨的以上難題，對(duì)無(wú)線網(wǎng)絡(luò)解決方案的要求確定如下:無(wú)線網(wǎng)絡(luò)信號(hào)覆蓋五個(gè)不同位置的校區(qū)；提供無(wú)縫的互聯(lián)網(wǎng)IP連接特性，保持教學(xué)網(wǎng)絡(luò)在校園之間無(wú)縫漫游；保障無(wú)線網(wǎng)絡(luò)安全性，對(duì)用戶(hù)和資源訪問(wèn)權(quán)限進(jìn)行管理；對(duì)不同的無(wú)線用戶(hù)提供不同的接入認(rèn)證方式，并對(duì)其應(yīng)用合適的路由策略；普及基于無(wú)線連接的筆記本電腦，充分提高教學(xué)和學(xué)習(xí)效率。為讓網(wǎng)絡(luò)應(yīng)用的價(jià)值最大化，從而為上海交通大學(xué)五個(gè)分散的校區(qū)內(nèi)構(gòu)建一個(gè)統(tǒng)一的、易接入、穩(wěn)定安全的校園無(wú)線網(wǎng)絡(luò)環(huán)境。針對(duì)解決方案的要求，經(jīng)過(guò)多次比較和反復(fù)技術(shù)論證，決定為上海交通大學(xué)無(wú)線網(wǎng)絡(luò)采用以下的解決方案：全面采用基于英特爾公司迅馳移動(dòng)技術(shù)的筆記本電腦作為無(wú)線終端，提高教與學(xué)的效率和移動(dòng)便利，同時(shí)保證高速的互聯(lián)網(wǎng)接入；采用符合802.11標(biāo)準(zhǔn)及通過(guò)Wi-Fi認(rèn)證的無(wú)線網(wǎng)絡(luò)產(chǎn)品，核心安全架構(gòu)采用WPA標(biāo)準(zhǔn)；采用具有多SSID和VLAN特性的CiscoAironet1200系列AP進(jìn)行基礎(chǔ)覆蓋；采用昂科WNC無(wú)線網(wǎng)絡(luò)接入控制器作為無(wú)線校園網(wǎng)的安全接入產(chǎn)品，為網(wǎng)絡(luò)安全和擴(kuò)展提供保證；采用昂科WNMS無(wú)線網(wǎng)絡(luò)管理系統(tǒng)，對(duì)整個(gè)無(wú)線網(wǎng)絡(luò)的基礎(chǔ)設(shè)施、用戶(hù)、安全策略和相關(guān)資源進(jìn)行統(tǒng)一管理和監(jiān)控。該解決方案還使得上海交大整個(gè)校園無(wú)線網(wǎng)絡(luò)具有高度可擴(kuò)展性和可升級(jí)

性，為將來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)升級(jí)和擴(kuò)展提供了極高的資源保護(hù)。整個(gè)方案由昂科信息技術(shù)（上海）公司提供系統(tǒng)集成和方案實(shí)施。昂科信息技術(shù)（上海）有限公司在充分了解上海交大現(xiàn)有網(wǎng)絡(luò)建設(shè)后，針對(duì)上海交大的實(shí)際情況，提出了校園無(wú)線網(wǎng)絡(luò)的整體解決方案。具體方案如拓?fù)鋱D所示:無(wú)戢閾管工作站bTServerTSrm腹務(wù)器6T）后臺(tái)底多系統(tǒng)管服務(wù)L3分換機(jī)eth2Lnlecnele線網(wǎng)管工作站1| 'jSSID;SecureI j VIj^:無(wú)戢閾管工作站bTServerTSrm腹務(wù)器6T）后臺(tái)底多系統(tǒng)管服務(wù)L3分換機(jī)eth2Lnlecnele線網(wǎng)管工作站1| 'jSSID;SecureI j VIj^:| i (W.lx! ! EiiEibled)XVUN-20注-J■I：17"t以*槌i：L成J,!一 無(wú)線接入圍務(wù)區(qū)-Olh-erVMNsVUN10VLAN20VUN40TrunkLink如圖，各無(wú)線覆蓋區(qū)域的AP就近接到接入層交換機(jī)上。因?yàn)榇嬖谛?nèi)教師、學(xué)生和校外來(lái)訪用戶(hù)等不同的無(wú)線用戶(hù)群，出于不同用戶(hù)群對(duì)安全性、易用性要求不同的考慮，采取802.1X和WEB認(rèn)證相結(jié)合的方式來(lái)提供用戶(hù)身份認(rèn)證。為了區(qū)分這兩種接入方式并將其分別關(guān)聯(lián)到一個(gè)對(duì)應(yīng)的VLAN，采用了支持多SSID(Multi-SSID)和802.1qVLAN特性的CiscoAironet1200系列AP。對(duì)于在校內(nèi)的學(xué)生和教師用戶(hù)將采用符合WPA安全架構(gòu)的802.1X標(biāo)準(zhǔn)認(rèn)證的接入方式，認(rèn)證通過(guò)的用戶(hù)將獲得一個(gè)每用戶(hù)唯一的主密鑰，通過(guò)該主密鑰客戶(hù)端和負(fù)責(zé)接入的AP將根據(jù)TKIP方法動(dòng)態(tài)生成每數(shù)據(jù)包唯一的加密密鑰，通信雙方以此進(jìn)行通信加密。在校園有線網(wǎng)L3分布層交換機(jī)上配置VLAN的子接口，利用該子接口作為這個(gè)SSID所代表的VLAN的網(wǎng)關(guān)，對(duì)其進(jìn)行路由轉(zhuǎn)發(fā)。從而使通過(guò)認(rèn)證的企業(yè)內(nèi)部用戶(hù)能夠如同用有線接入一樣訪問(wèn)整個(gè)企業(yè)網(wǎng)絡(luò)，但是由于對(duì)無(wú)線通信進(jìn)行了動(dòng)態(tài)加密，保證了校園的敏感數(shù)據(jù)在空中傳輸?shù)陌踩?，有效地解決了校園無(wú)線應(yīng)用的首要問(wèn)題。對(duì)于用WEB方式認(rèn)證的校外來(lái)訪用戶(hù)，當(dāng)利用基于英特爾公司迅馳移動(dòng)技術(shù)的筆記本電腦連接上無(wú)線接入點(diǎn)后