无线局域网安全认证技术

3. 无线局域网安全认证技术

3.1 安全认证整体综述

作为一种公共移动数据接入方式,(公共无线局域网)的安全问题成为商业用户最关心的问题,包括合法用户身份信息(假冒)的安全,敏感商业信息的安全,防止黑客的攻击等等,成为影响人们使用业务信心的关键问题。

目前无线局域网在全球快速发展,网络建设所采用的方法也都不尽相同,在某种程度上可以说是混乱的,在公共区域中尤为如此。根据联盟的资料显示,目前最普遍接入方式是基于浏览器认证,亦称作通用接入方法()。通过浏览器认证,接入控制器将用户的浏览器重定位到一个本地服务器,其过程受保护。用户到登陆页面进行身份认证,在发送到服务器的表格中输入用户名和密码。这种方法的显著优点是配置简单,并且事实上移动用户只需支持浏览就可以访问接入系统。

虽然简单并且易于采用,它有一些严重的缺陷。)用户的经验。若用户的目的是使用诸如客户端的其它一些应用程序,进行网络访问的第一步,也就是打开浏览器,就并不习惯。)企业用户经常需要进行的配置,这与访问一个本地的服务器是相冲突的。) 典型的,把用户的认证信息暴露给所访问网络的服务器。这一特征对于不愿暴露用户数据库的运营商而言是无法接受的,即使是暴露给合法的漫游伙伴。)除非用户手工检查服务器使用的证书以保护页面(用户极少这样做),用户的认证信息可能在不经意间透露给一个运行恶意无线接入点()的攻击者。

开发接入控制器,就是为了解决在安全认证方面的缺陷和弱点,针对目前的现状,它背负着三大研究主题。

3.1.1 三大主题

3.1.1.1 实现以及从到的平滑过渡技术是开发接入控制器的主题之一

从最初利用、限制,防止非法无线设备入侵的访问控制,到基于数据加密的解决方案,再到预定为去年年底发布的,以及从年月日起我国开始施行的产品的新标准(无线局域网鉴别和保密基础结构),无线业界一直致力于的安全性提高方面的工作。那么,这么多的安全方案该采用哪种呢,下面我们具体讨论当前各种安全方案的特点:

)业务组标识符():这是人们最早使用的一种安全认证方式,即为无线接入点设置,强迫无线终端接入固定的来实现接入控制。

2) 地址过滤:这是一种很常用的接入控制技术,在运营商铺设的有线网络中也经常 使用,即只允许有合法地址终端接入。

)有线等价安全():协议是标准中提出的认证加密方法。它使用流密码来保证数据的保密性,通过共享密钥来实现认证,理论上增加了网络侦听,会话截获等的攻击难度。 4) 认证:是目前使用最多的一种认证技术。它的用户认证方式主要包括 和两种,利用明文或弱加密的方式传送口令,不适用于开放的无线环境。 5) 认证:此为基于应用层的认证方式,通过协议获取用户输入的用户名

和密码,无须专门安装客户端软件,应用范围广。用户名和密码以明文(采用)或弱加密(采用中的算法)方法传输。

6) 协议 协议,称为基于端口的访问控制协议(

)是由于年月提出的,符合 协议集的局域网接入控制协议,主要目的是为了解决无线局域网用户的接入认证问题,能够在利用 局域网优势的基础上提供一种对连接到局域网用户的认证和授权手段,达到接受合法用户接入,保护网络安全的目的。协议旗下的认证方式有很多种,其中大部分的认证协议支持和的相互认证,的身份认证由和之间设定的共享密钥完成。是目前厂家支持和应用范围最广的安全认证协议。

) ( )中国在年月份提出的无线局域网国家标准 。这种安全机制由 ( )和( -)两部分组成,和分别实现对用户身份的鉴别和对传输的数据加密。是建筑在公钥体系上的,和均需要配置公钥证书,( )是证书的颁发和核实机构,也就是说,实现了和的互相认证。

作为来说,除了在安全方面的考量之外,面对公众的网络中用户使用的简单和容易管理也是十分重要的,这也是为什么大家公认的安全认证不能被广泛接受的原因,因为证书的管理是一项烦人的工作,而强口令认证虽然安全性差,但是用户使用度却高。另外,和移动网络融合的重要性(下面将会谈到),决定了认证在中的地位。因此本项目考虑了以上因素,提出在接入控制器中使用安全协议,它采用为认证接入方法,(高级加密标准)为加密方式,是即将公布的安全标准的子集。

3.1.1.2 实现与各类运营商后台认证系统之间的认证、授权、计费兼容是开发接入控制器的

主题之二

目前所采用的接入控制系统的端到端体系结构中存在一些矛盾,矛盾产生的原因是当今的经营商所用的不同的后台。例如,宽带接入网自然地使用服务器,而()蜂窝网与基于的后台交互。

的部署以热点地区为主,提供局部的高速数据接入,而现有的移动网络(如)在全国范围内部署,提供广域的窄带数据接入,因此实现和移动网络的融合,支持移动终端设备在不同移动网络之间的无缝漫游和切换而不中断已有的数据连接成为移动运营商们发展移动数据业务的亮点,必将增强移动运营商和用户开展和使用移动数据业务的弹性和自由度。目前移动网络已经具有了成熟的漫游支持体系结构,拥有大量的移动用户群,所以实现和移动网络的融合将有利于业务使用现有移动网络资源。

同时,对于用户来说,自从使用开始,移动用户已经适应了使用卡(包括后来的卡)作为用户身份标志,开机上网感觉不到接入网络认证和授权过程的移动通信体验。因此使用卡认证实现公共接入,不但在端实现了简单易用,最重要的是能够充分利用的移动网络的后台。

目前和融合的认证方式有两种,一种是:手机+密码认证方式(虚拟认证方式),另一种是在协议之上的-认证方式。

前者即用户以手机号码作为帐号,通过短消息或申请上网密码。登陆时输入手机号码和密码即可上网,上网费用记在申请业务的手机帐号上。后者则是用户将卡放入读卡器或者上网卡的卡插槽中,登陆时不用输入用户名和密码,只需通过卡中的有关信息进行认证,费用计入该卡中。

3.1.1.3 实现与接入点与非接入点兼容是开发接入控制器的主题之三

为兼容及非接入点设备,接入控制器认证包含二种方式:)终结方式:报文在接入控制器上被终结,报文中的认证信息被提取出来之后,封装成标准报文,并送到服务器; )透传方式:接入控制器不对认证报文进行特殊处理,直接送到服务器认证;

方式一中接入控制器作为认证者,直接和认证服务器进行认证信息交互。

方式二中接入控制器作为透传者,将认证信息发送给作为认证者的设备,此时只实现对用户的控制。

联系客服:779662525#qq.com(#替换为@) 苏ICP备20003344号-4