2023年无线网络的各种安全性类型.docx

保护您的无线网络 在家庭无线网络中，您可以使用不同的简单安全性措施来保护您的网络和连接。您可以： · 启用 Wi-Fi 保护性接入〔WPA〕。 · 更改您的密码。 · 更改网络名称(SSID)。 Wi-Fi 保护性接入(WPA) 提供加密以帮助保护您在网络上数据。WPA 使用一种加密密钥〔称为预配置共享密钥 〕在数据传输之前对其加密。您需要在您的家庭或小商业网络上的所有计算机和接入点(AP)上输入相同的密码。只有使用相同加密密钥的设备才能访问该网络或解密其他计算机传输的加密数据。该密钥自动初始化用于数据加密过程的“时间性密钥完整性协议〞 (TKIP) 。 预配置共享密钥 WEP 加密提供两种级别的安全性： · 64 位密钥〔有时称之为 40 位〕 · 128 位密钥〔也称为 104 位〕 为提高安全性，使用 128 位密钥。如果使用加密，无线网络上的所有无线设备必须使用相同的密钥。 您可以自己创立密钥，并指定密钥的长度〔64 位或 128 位〕和密钥索引(存储某个特定密钥的位置)。密钥长度越长，该密钥就越安全。 密钥长度：64 位 · 口令短语〔64 位〕：输入 5 个字母数字字符：0-9、a-z 或 A-Z。 · 十六进制〔64 位〕：输入 10 个十六进制字符：0-9、A-F。 密钥长度：128 位 · 口令短语〔128 位〕：输入 13 个字母数字字符：0-9、a-z 或 A-Z。 · 十六进制〔128 位〕：输入 26 个十六进制字符：0-9、A-F。 在 WEP 数据加密中，一个无线站最多可配置四个密钥〔密钥索引值 1、2、3 和 4〕。当一个接入点 (AP) 或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时，被传输的消息指明用来加密消息正文的密钥索引。接收的 AP 或无线站就可检索储存在该密钥索引中的密钥，并用它来解码加密的消息正文。 开放和共享网络验证 IEEE 802.11 支持两类网络验证方法：“开放系统〞和“共享密钥〞。 · 当使用开放验证时，任何无线站都可请求验证。需要由另一个无线站验证的无线站发出一个验证管理请求，其中包含发送站的身份。接收站或者接入点对任何验证请求授权。开放验证允许任何设备获得网络访问权。如果网络上未启用加密，任何知道该接入点的“效劳集标识符〞(SSID) 的设备都可接入该网络。 · 使用共享密钥验证时，假定每个无线站都已通过一个独立于 802.11 无线网络通讯频道的安全频道接收到了一个秘密共享密钥。您可以通过有线以太网连接共享此密钥，也可以通过 USB 闪存盘或 CD 物理共享此密钥。共享密钥验证要求客户端配置一个静态 WEP 密钥。只有当客户端通过了基于挑战的验证后，才允许其接入。 WEP 有线等同隐私 (WEP) 使用加密来帮助防止未经授权接收无线数据。WEP 使用加密密钥在传输数据之前对其加密。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的数据。WEP 加密提供两种等级的安全性：64 位密钥〔有时称为 40 位〕或 128 位密钥〔又称为 140 位〕。为到达强劲安全性，应该使用 128 位密钥。如果使用加密，无线网络上的所有无线设备必须使用相同的加密密钥。 在 WEP 数据加密中，一个无线站最多可配置四个密钥〔密钥索引值 1、2、3 和 4〕。当一个接入点 (AP) 或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时，被传输的消息指明用来加密消息正文的密钥索引。接收的 AP 或无线站就可检索储存在该密钥索引中的密钥，并用它来解码加密的消息正文 由于 WEP 加密算法易受网络攻击的侵害，您应该考虑采用 WPA-个人或 WPA2-个人安全性。 WPA-个人 WPA-个人模式针对的是家庭和小型商业环境。WPA 个人要求在接入点和客户端上手动配置一个预配置共享密钥 (PSK)。不需要验证效劳器。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。安全性取决于密码的强度和机密性。此密码越长，无线网络的安全性越强。如果无线接入点或路由器支持“WPA-个人〞和“WPA2-个人〞，那么应当在接入点予以启用并提供一个长而强的密码。WPA-个人对 TKIP 和 AES-CCMP 数据加密算法可用。 WPA2-个人 WPA2-个人要求在接入点和客户端上手动配置一个预配置共享密钥 (PSK)。不需要验证效劳器。在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码。安全性取决于密码的强度和机密性。此密码越长，无线网络的安全性越强。WPA2 是对 WPA 的改良，它全面实现了 IEEE 802.11i 标准。WPA2 对 WPA 向后兼容。WPA2-个人对 TKIP 和 AES-CCMP 数据加密算法可用。 注意：“WPA-个人〞和“WPA2-个人〞可以协调操作。 802.1X 验证〔企业安全性〕 本章描述各大公司常用的安全性。 概述 什么是 Radius？ 802.1X 验证的工作原理 802.1X 功能 概述 802.1X 验证不受 802.11 验证过程约束。802.11 标准为各种验证和密钥管理协议提供一个框架。802.1X 验证有不同的类型；每一类型提供一种不同的验证途径，但所有类型都应用相同的 802.11 协议和框架于客户端和接入点之间的通讯。在多数协议中， 在 802.1X 验证过程完成后，客户端会接收到一个密钥，用于数据加密。参阅 802.1X 验证的工作原理了解更多信息。在 802.1X 验证中，在客户端和连接到接入点的效劳器〔例如：“远程验证拨入用户效劳〔RADIUS〕〞效劳器〕之间使用的一种验证方法。验证过程使用身份验证〔例如不通过无线网络传输的用户密码〕。大多数 802.1X 类型支持动态的每一用户、每次会话的密钥以加强密钥安全性。802.1X 验证通过使用一种称为“可扩展身份验证协议〔EAP〕〞的现有身份验证协议而获益。 802.1X 无线网络验证有三个主要组件： · 验证方〔接入点〕 · 请求方〔客户端软件〕 · 验证效劳器 802.1X 验证安全性引发一个由无线客户端向接入点的授权请求，它将客户端验证到一台符合“可扩展身份验证协议〞〔EAP〕标准的 RADIUS 效劳器。RADIUS 效劳器或者验证用户〔通过密码或证书〕，或者验证系统〔通过 MAC 地址〕。从理论上说，无线客户端要到整个事务完成后才能参加网络。〔并非所有的验证方法均使用 RADIUS 效劳器。WPA-个人和 WPA2-个人使用一个必须在接入点和所有请求访问该网络的设备上输入的共同密码。〕 802.1X 使用假设干种验证算法。以下为一些例如：EAP-TLS、EAP-TTLS、保护性 EAP (PEAP) 和 EAP Cisco“无线轻量级可扩展身份验证协议〞 (LEAP)。这些都是无线客户端向 RADIUS 效劳器标识自身的方法。Radius 验证使用数据库来核对用户身份。RADIUS 由一组针对“验证、授权和会计 (AAA)〞的标准组成。RADIUS 包括一个在多效劳器环境下确认客户端的代理过程。IEEE 802.1X 标准提供一个机制，用以控制和验证对基于端口的 802.11 无线和有线以太网的接入。基于端口的网络接入控制类似于交换的局域网〔LAN〕根底架构，后者验证挂接到 LAN 端口的设备并在验证过程失败时防止接入该端口。 什么是 RADIUS？ RADIUS 是“远程验证拨号用户效劳〞，一种授权、验证和会计 (AAA) 客户端-效劳器协议，在 AAA 拨号客户端到“网络接入效劳器〞或从其注销时使用。通常，RADIUS 效劳器用于因特网效劳供给商 (ISP) 来执行 AAA 任务。AAA 的各阶段表达如下： · 验证阶段：针对本地数据库校验用户名和密码。校验用户身份后，开始授权过程。 · 授权阶段：确定是否允许一个请求访问一个资源。一个 IP 地址被分配给该拨号客户端。 · 会计阶段：收集资源利用的信息，用于趋势分析、审计、会话时间收费或本钱分配。 802.1X 验证的工作原理 以下是对 802.1X 验证工作原理的简明描述。 1. 客户端向接入点发送“请求接入〞消息。接入点要求客户端的身份。 2. 客户端以其身份数据包回应，该身份数据包被送到验证效劳器。 3. 验证效劳器发送“接受〞数据包给接入点。 4. 接入点将该客户端端口置于授权的状态，并允许进行数据通信。 802.1X 功能 以下验证方法在 Windows XP 中受支持： · 802.1X 请求方协议支持 · 支持“可扩展身份验证协议〞〔EAP〕- RFC 2284 · 在 Windows XP 中受支持的验证方法： o EAP TLS 身份验证协议 - RFC 2716 和 RFC 2246 o EAP 隧道 TLS〔TTLS〕 o Cisco LEAP o PEAP o EAP-SIM o EAP-FAST o EAP-AKA 网络验证 Open〔开放〕 参阅开放验证。 Shared〔共享〕 参阅共享验证。 WPA-Personal〔WPA - 个人〕 参阅WPA-个人。 WPA2-Personal〔WPA2 - 个人〕 参阅WPA2-个人。 WPA-Enterprise〔WPA-企业〕 企业模式验证针对的是公司和政府部门环境。WPA 企业通过 RADIUS 或其他验证效劳器来验证网络用户。WPA 使用 128 位加密密钥和动态会话密钥来确保无线网络的隐私性和企业安全性。选择一种与 802.1X 效劳器的验证协议匹配的“身份验证类型〞。 WPA2 Enterprise〔WPA2 企业〕 WPA 企业验证针对的是公司和政府部门环境。WPA 企业通过 RADIUS 或其他验证效劳器来验证网络用户。WPA2 使用 128 位加密密钥和动态会话密钥来确保无线网络的隐私性和企业安全性。选择一种与 802.1X 效劳器的验证协议匹配的“身份验证类型〞。企业模式针对的是公司和政府部门环境。WPA2 是对 WPA 的改良，它全面实现了 IEEE 802.11i 标准。 数据加密 AES-CCMP 高级加密标准 - Counter CBC-MAC Protocol。在 IEEE 802.11i 标准中制订的无线传输隐私保护的新方法。AES-CCMP 提供了比 TKIP 更强有力的加密方法。如果强有力的数据保护至为紧要，请选用 AES-CCMP 加密方法。AES-CCMP 对 WPA/WPA2 个人/企业网络验证可用。 注意：有些安全性解决方案可能不受您计算机上操作系统的支持，并且可能要求额外的软件或硬件以及无线 LAN 根底架构的支持。向计算机制造商查询了解详细信息。 TKIP〔时间性密钥完整性协议〕 TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制。TKIP 对 WPA/WPA2 个人/企业网络验证可用。 CKIP 参阅 CKIP。 WEP 有线等同隐私 (WEP) 使用加密来帮助防止未经授权接收无线数据。WEP 使用加密密钥在传输数据之前对其加密。只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的数据。企业 WEP 和个人 WEP 不完全相同：前者允许您选择开放网络验证，然后单击启用 802.1X，以从所有客户端验证类型中选择一项。在个人 WEP 中那么不能选择验证类型。 验证类型 TLS 一种典型的验证方法，采用“可扩展身份验证协议〞〔EAP〕和称为“传输层安全性〞〔TLS〕的安全性协议。EAP-TLS 使用证书，而证书使用密码。EAP-TLS 验证支持动态 WEP 密钥管理。TLS 协议旨在通过数据加密而保护和