黄冈师范学院课程论文 校园无线网络的规划设计与实施
4.3 无线区域漫游
什么是漫游?802.11标准并未提到“漫游”,通常来说我们所指的漫游就是移动设备在转换接入点的同时仍然维持原有的网络连接,也就是从一个接入点转换到另一个接入点,我们现在要讨论的漫游问题就是从一个AP接入到另一个AP时,保证网络的持续连接同时重新关联。
每次通过无线方式访问网络时,是需要身份认证的,而我们采用的认证方式是802.1X,从加入802.11网络到能够送出网络协议封包,802.1X身份认证是耗时最长的步骤,那么对于一个扩展服务集内,每次BSS切换时都进行802.1X身份认证,在此期间造成短时间的网络中断,对于该问题的解决方案就是采用预先身份认证,其好处就是,一旦进入接入点的涵盖范围,移动设备就可以立即与接入点重新关联,而不必等候认证交换过程。具体关联步骤如下:
1. 工作站关联到它在网络中所发现的第一个接人点。 之所以选择与这个接入点 关联,是根据工作站固件的判断标准。
2. 关联之后,工作站就可以进行802.1X身份验证。这个步骤使用 EAPOL帧, 它的Ethertype类型代码为88-8E(十六进制)。接人点会将EAPOL帧转换为RADIUS封包,会话的真实性也经过验证。
3. 双方会分别生成无线电波链路所使用的动态密钥,以四次握手生成成对密钥,以组密钥握手生成组密钥。
4. 当密钥配置完成,工作站就等于“上线\了,可以收发网络协议封包。工作站软件掌控了漫游的行为,如果对它有利,就可以进行漫游。在移动的过程中,工作站发现AP2似乎是较好的选择,所以开始进行预先身份验证,加快转移到AP2 的过程。不过,工作站并不是一并移转所有事项,而是利用预先身份验证缩短收发网络封包因此而中断的时间。
5. 工作站送出一个EAPOL-Start消息给新的接人点,揭开预先身份验证的序幕。工作站每次只能与一个接人点关联,因此预先身份验证帧必须通过旧接人点转达。预先身份验证本身属于完整的802.1X交换。
a. 预先身份验证帧使用编号范围从88到C7(十六进制)的Ethertype,因为大
多数接人点对正常的身份验证Ethertype会做特殊的处理。此帧的源地址为工作站,接收端地址为当前接人点的BSSID(在本例中为API无线接口的MAC地址),而目的端地址则是接人点的BSSID(在本例中为AP2的无线接口)。 b. 由API收到以后,帧就会通过分布式系统传给AP2。接人点本身只有一个MAC
地址。如果这两个接人点不是位于相同的Ethernet广播域,则必须通过别的方式在两者之间传递预先身份验证帧。 c. 在整个过程中,工作站仍然与API保持关联,也可以使用现有经加密的连接来
收发网络封包。由于工作站仍在线,因此不会发生需要进行其他身份验证的情况。
第 12 页
黄冈师范学院课程论文 校园无线网络的规划设计与实施
d. 预先身份验证的结果是与AP2建立起一个安全的操作环境。工作站与AP2各自
产生成对主密钥,进一步处理后,创建了工作站与AP2之间的密钥。工作站与接人点均将成对主密钥存放于密钥缓存中。
6. 当工作站扣下扳机,关联就会转移到AP20 作为初始关联过程的一部分 , 工作站将会提供密钥缓存的副本,告诉AP2它已经通过身份验证。
7. AP2收到身份验证请求并开始搜寻本身的密钥缓存。 找出可用密钥之后 , 便立刻启动成对密钥的四次握手过程。在派生密钥的过程中 , 短时间内工作站将无法正常收发封包。
图4-6
当802.11 预先身份验证启动费时的802.1X EAP身份验证之际,还是可以通过原本
已验证的连接收发网络帧。第一次关联过程较慢,因为需要进行完整的EAP交换过程。使用预先身份验证之后,即可大幅缩短后续关联的切换时间。
五、无线网络安全
5.1 数据加密
为保证数据不被非法读取,而且在接入点和无线设备之间传输的过程中不被修改,可以使用加密技术。从根本意义上讲,加密与密码相似,都是将数据转换成只有合法接收者才能读懂的符号。加密要求发送方和接收方都拥有密钥,才能对传输数据进行解码。无线网络目前使用的数据加密方式主要有如下几种:
第 13 页
黄冈师范学院课程论文 校园无线网络的规划设计与实施
(1) WEP
在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
(2) WPA
WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。
(3) WPA2
WPA2与WPA后向兼容,支持更高级的AES加密,能够更好地解决的安全问题。由于部分AP和大多数移动客户端不支持此协议,尽管微软已经提供最新的WPA2补丁,但是仍需要对客户端逐一部署。该方法适用于企业、政府。
目前使用WPA2方式加密数据通讯可以为提供足够的安全,但是WPA2方式还不是很成熟,并不是所有用户都可以顺利使用,部分无线设备也不支持WPA2加密,所以对于这些用户和设备来说,只能被迫停留在不安全的技术上。
(4) 802.11i
IEEE 802.11i(当接入点经过Wi-Fi联盟认证时,它也被称为WPA2)为数据加密采用了高级加密标准(AES)。AES是目前最严格的加密标准,而且这种方法从来没有被破解过。
(5) WAPI
WAPI(WLAN Authentication and Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标
第 14 页
黄冈师范学院课程论文 校园无线网络的规划设计与实施
准 GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE Registration Authority审查并获得认可。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。
目前WEP加密方式已经被黑客攻破,网上已经有完整的破解攻略及攻击软件,WPA最近也出现了暴力破解的攻略,而WPA2、WAPI及802.11i目前还是非常安全的数据加密手段。
5.2 建立无线虚拟专用网
VPN即虚拟专用网,是通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
VPN功能虽然不属于802.11标准定义下的技术,但它作为目前最常见的连接中、大型企业或团体与团体间的私人网络的通讯技术,已经成为无线路由器的一项基本功能。
如果客户端因为过于陈旧或者驱动程序不兼容而无法支持802.11i、WPA2或者WAPI,在这种情况下,VPN可以作为保护无线客户端连接的备用解决方案,利用VPN并使用定期密钥轮换和额外的MAC地址控制加强安全管理,达到安全目的。
5.3 使用入侵检测系统
入侵检测系统(IDS)通过分析网络中的传输数据来判断破坏系统的入侵事件。无线入侵检测系统同传统的入侵检测系统类似,但无线入侵检测加入了一些无线局域网的检查和对破坏系统反应的特性,可以监视分析用户的活动,判断入侵事件的类型,检测非法的网络行为,对异常的网络流量进行报警等。
目前,市场上常见的无线入侵检测系统是“AirdefenseRogueWatch”和 AirdefenseGuard。而一些无线入侵检测系统也得到了Linux系统的支持。
第 15 页
