WIFI的安全機制
連接到無線局域網通常是有密碼保護的。下面小編為大家介紹一下WIFI的安全機制相關知識吧,歡迎閲讀!
WIFI安全性主要包括訪問控制和加密兩大部分,訪問控制保證只有授權用户能訪問敏感數據,加密保證只有正確的接收方才能理解數據。為了解決WIFI網絡的安全問題,2003年WIFI聯盟推出了WIFI保護接入(Wi—Fi Protected Access,WPA)作為安全解決方案以滿足日益增長的安全機制的市場需求。
WPA技術
WPA是無線應用協議(Wireless Application Protocol)的簡稱,是一種開放式的全球規範。有WPA和WPA2兩個標準,是一種保護無線電腦網絡(Wi—Fi)安全的系統。WPA作為IEEE802.11i的一個子集,避開了WEP的眾多弱點,可大大增強現有以及未來無線局域網系統數據保護的訪問控制水平。WPA可保證WIAN用户的數據受到保護,並且只有授權用户才可訪問WLAN網絡。
WIFI網絡安全策略
加密方式
1)TKIP加密模式
WIFI無線網絡目前使用最廣泛的加密模式是WPA-PSK(TKIP)和WPA2-PSK(AES)兩種加密模式。TKIP的含義為暫時密鑰集成協議。TKIP使用的仍然是RC4算法,但在原有的WEP密碼認證引擎中添加了“信息包單加密功能”、“信息監測”、“具有序列功能的初始向量”和“密鑰生成功能”等4算法。
TKIP是包裹在已有WEP密碼外圍的一層“外殼”,這種加密方式在儘可能使用WEP算法的同時消除了已知的WEP缺點。專門用於糾正WEP安全漏洞,實現無線傳輸數據的加密和完整性保護。但是相比WEP加密機制,TKIP加密機制可以為WLAN服務提供更加安全的保護。主要體現在以下幾點:
①靜態WEP的密鑰為手工配置,且一個服務區內的所有用户都共享同一把密鑰。而TKIP的密鑰為動態協商生成,每個傳輸的數據包都有一個與眾不同的密鑰。
②TKIP將密鑰的長度由WEP的40位加長到128位,初始化向量IV的長度由24位加長到48位,提高了WEP加密的安全性。
③TKIP支持MIC認證(Message Integrity Cheek,信息完整性校驗)和防止重放攻擊功能。
2)AES加密模式
WPA2放棄了RC4加密算法,使用AES算法進行加密,是比TKIP更加高級的`加密技術。AES是一個迭代的、對稱密鑰分組的密碼,它可以使用128、192和256位密鑰,並且用128位(16字節)分組加密和解密數據。與公共密鑰密碼使用密鑰對不同,對稱密鑰密碼使用相同的密鑰加密和解密數據。通過分組密碼返回的加密數據的位數與輸入數據相同。迭代加密使用一個循環結構,在該循環中重複置換(permutations)和替換(substitutions)輸入數據。
認證方式
WPA給用户提供了一個完整的認證機制,AP根據用户的認證結果決定是否允許其介入無線網絡中;認證成功後可以根據多種方式動態地改變每個接入用户的加密密鑰。對用户在無線中傳輸的數據報進行MIC編碼,確保用户數據不會被其他用户更改。
WPA有2種認證模式:
1)是使用802.1x協議進行認證,即就是802.1x+=EPA方式(工業級的,安全要求高的地方用。需要認證服務器);
2)是預先共享密鑰PSK模式(家庭用的,用在安全要求低的地方。不需要服務器)。AP和客户端分享密鑰的過程叫做4次握手,過程如圖2所示。
1)客户端SrrA與無線接入點AP關聯;
2)STA需要向AP發送認證消息,在被授權以前,即使STA與AP始終關聯,TSA也不能夠訪問網絡,只能繼續向AP發送認證消息,經由遠程認證撥號用户服務AP將認證消息發送給後端服務器來認證;
3)客户端STA利用EAP協議,通過AP的非受控端口向認證服務器提交身份憑證,認證服務器負責對STA進行身份驗證;
4)如果STA未通過認證,客户端一直被阻止訪問網絡;如果認證成功,則認證服務器通知AP向該STA打開受控端口;
5)身份認證服務器利用TKIP協議自動將主配對密鑰分發給AP和客户端STA,主配對密鑰基於每用户、每個802.1x的認證進程是惟一的;
6)STA與AP再利用主配對密鑰動態生成基於每數據包惟一的數據加密密鑰;
7)利用該密鑰對STA與AP之間的數據流進行加密。
這樣就好象在兩者之間建立了一條加密隧道,保證了空中數據傳輸的高安全性。
存在問題
WPA-PSK/WPA2-PSK(TKIP、AES)是目前主流的加密方式,但由於TKIP與AES子算法自身的問題。使得WPA也將面臨着被徹底破解的威脅。
用户在使用無線網絡時應該注意以下幾點
1)對於自己搭建無線網絡的用户,至少要進行一些最基本的安全配置,如隱藏SSID,關閉DHCP,設置WEP密鑰,啟用內部隔離等。
2)如果安全要求再高一些,還可以啟用非法AP監測,配置MAC過濾,啟用WPA/WPA2,建立802.1x端口認證。
3)如果有更高的安全需求,那麼可以選擇的安全手段就更多,比如,使用定向天線,調整發射功率,把信號可能收斂在信任的範圍之內;還可以將無線局域網視為Internet一樣來防禦,甚至在接口處部署入侵檢測系統。
4)如果您是企業用户,千萬不要忘記建立完善的安全管理制度並分發至員工。當您需要在熱點區域使用無線網絡時,您需要能夠您所在網絡的安全程度,如果認定網絡不夠安全,那麼請儘量不要在此網絡中提交或透露敏感信息,並儘量縮短在線的時間。
-
CISCO交換機如何刪除Vlan大綱
CISCO交換機如何刪除Vlan呢?下文主要通過詳細的配置步驟向大家展示了CISCO交換機上刪除Vlan的過程,希望本文能夠幫助到大家。Vlan刪除操作步驟如下:在一個網絡系統中VLAN規劃好後一般是不需要對Vlan進行變更。實際應用中可能會因為網絡的'結構的變化,而對Vlan進行...
-
常見電腦病毒介紹大全
針對一些電腦病毒,我們進行具體的防範措施,那樣我們的電腦將會更加安全,所以今天YJBYS小編就來教大家關於病毒的知識,一起來學習一下吧。常見電腦病毒介紹一、根據病毒的傳染方式,我們可以分為駐留型病毒和非駐留型病毒。駐留型病毒:被這種病毒感染後的計算機,將自身...
-
路由器NAT功能介紹及配置
隨着Internet的網絡迅速發展,為了解決IP地址短缺這個問題,出現了多種解決方案。下面小編幾紹一種在目前網絡環境中比較有效的方法即地址轉換(NAT)功能。一、NAT簡介NAT(NetworkAddressTranslation)的功能,就是指在一個網絡內部,根據需要可以隨意自定義的IP地址,而不...
-
交換機的背板帶寬怎麼計算
交換機的背板帶寬,是交換機接口處理器或接口卡和數據總線間所能吞吐的最大數據量。背板帶寬標誌了交換機總的數據交換能力,單位為Gbps,也叫交換帶寬,一般的交換機的背板帶寬從幾Gbps到上百Gbps不等。一台交換機的背板帶寬越高,所能處理數據的能力就越強,但同時設計成...