无线网络安全体系架构分析.docVIP

无线网络安全体系架构分析 Aruba Networks Inc. 2008.11  目 录 1. 前言 3 2. 无线网络安全体系架构 5 3. 无线网络中的用户数据安全——认证与加密 6 3.1 802.1x EAP认证 7 3.2 AES－CCMP加密算法 19 3.2.1 WPA2 的加密功能 19 3.2.2 WPA2 临时密钥 20 3.2.3 WPA2 加密和解密过程 21 3.3 认证与加密的具体实现及其安全性分析 27 3.3.1 认证及加解密点的部署 27 3.3.2 终端设备合法性确认： 31 4. 无线网络安全深层次分析 32 4.1 用户分级策略管理 32 4.2 非法入侵的检测和防范 33 4.2.1 客户端非法入侵 33 4.2.2 非法和仿冒AP 33 4.2.3 无线终端Ad-hoc模式连接 34 5. 结束语 36 前言 802.11无线网络在今天对于广大的网络用户来说已经不是什么新鲜事物了。由于其彻底解除了传统以太网线缆对用户接入的束缚，使用户能够更加便利地接入和使用网络（这有点类似于移动电话与传统固定电话的比较），因而可以大大提高企业员工的工作效率（据microsoft的一份内部调查显示，其员工普遍反映使用无线网络每周至少可节约5小时以上的工作时间）。而且显而易见，无线网络与传统的有线以太网络相比，无论是Capex（建设成本）还是Opex（运维成本）都具有巨大的优势。 正是由于无线网络具有如此显著的优势，因此其诞生以来一直受到网络用户的关注和青睐。但是广大用户尤其是对网络安全非常重视的企业用户，在考虑使用无线网络时，普遍存在一种顾虑。即无线网络是否真的安全？这种顾虑正是基于无线网络的基本物理特征：无线网络是以电磁波来发送数据，其传输介质是围绕在我们周围的空气！这就意味着无线网络的传输介质是开放的。任何人在该电磁波的覆盖范围内均可以接收到无线网络发送的数据（只要拥有相应的无线设备）！而我们传统的网络安全体系是建立在这样一个基础之上：即网络传输介质（以太网端口及线缆）是受到企业的围墙和大门保护的。未经授权的人员从物理上就无法接入企业内部网络！ 所以，无线网络从我们传统的网络安全体系来说存在一个巨大的风险，即第三者可以监听网络数据！也可以尝试闯入我们的网络！那么无线网络技术如何来防范这种风险呢？答案便是采用认证和加密技术，对所有接入无线网络的用户进行身份认证，对所有无线网络数据进行加密。使第三者完全无法利用其监听到的数据，也无法闯入我们的网络（因为其无法通过认证获得网络连接）。正如我们在Internet网络上使用IPSec或SSL VPN技术一样。 除了采用认证及加密技术来防范无线网络数据被非法窃听，在无线网络安全体系架构中还需要考虑一些更深层次的安全问题。如用户通过认证合法接入网络之后的安全权限管理、接入带宽管理及QoS管理。这也是目前在有线网络中令IT管理人员头痛不已，苦无良策的问题。此外在无线网络安全体系架构中还应该考虑到对伴随着无线网络技术的发展而出现的一系列针对无线网络的攻击、入侵行为的检测及防范。 无线网络安全体系架构 首先无线安全防护体系应该是一个独立的安全防护体系，这个安全防护体系应该是根据无线网络特性而专门设计的完整体系结构。而不应该是用传统有线网络的安全防护手段及设备来解决无线网络中的安全问题。正如我们在前言中提到的，传统有线网络的安全体系架构是建立在对内部网络及用户的信任基础之上的。虽然随着不断发生的内部网络安全事件使IT管理人员意识到其实内部用户也并不是完全可信，但是要在本身就是以这种信任关系为基础的传统安全体系中解决该问题是相当困难的。因为我们传统的有线网络安全体系架构中还存在一个问题：在网络中我们只是基于网络层信息来进行网络安全策略的实施和管理，如vlan或IP子网地址，而没有用户的概念。虽然如今802.1x认证也可以部署在有线网络之中，但是绝大多数的实现也只是用于决定是否允许用户接入而已，若要利用认证来实现基于用户身份的安全策略分级管理则非常困难，因为这涉及到Radius授权、动态安全策略应用等一系列难题。 普通的无线网络解决方案中同样存在上述问题。普通的无线安全防护体系通常只包括无线用户的认证和加密，用来解决在开放的空气介质中传输数据的安全问题。除此之外的所有安全问题都要依赖于有线网络来解决，而这对于有线网络安全体系来说更加困难。这对于那些对网络安全防护等级要求较高的用户，例如：银行，保险，证券等行业来说是不可接受的。 一套严密的无线网络安全体系应该包括以下几个部分： 无线用户的认证： 无线用户的认证可以保证只有合法用户接入网络，并可用于识别无线用户的不同登录身份； 无线数据加密： 无线数据加密可以保证无线数据在空口传输过程中的数据安全； 基于