无线网络安全标准(转)
搜集整理: 中国思科CISCO培训网 无线网络系统的迅速发展和广泛应用令市场对该系统的安全要求不断提高,对现行802.11b无线LAN系统的安全表现也更为关注。 随着有效用户及潜在攻击者的攻击能力渐渐提高,技术和监管条例不断修改,市场对安全性级别的要求也在不断变化。不过,终端用户对网络安全始终非常重视,例如一般用户都在手提电脑上采用最新的杀毒软件及入侵检测软件。但在实际应用中,在手提电脑上储存登录密码和鉴权这两种指令经常发生冲突。 加密 IEEE和WECA建议“把安全层部署在无线LAN层上”。以VPN为例,它可提供端到端安全性,而不会对无线LAN造成影响。 对于一些客户而言,部署低成本接入点和应用级安全性解决方案是理想选择。例如在公众场所的部署,运营商最大目的是经济地部署具有Wi-Fi互*作性的无线接入网络,让最多的客户享用服务,并提供易用的网页界面供客户注册使用。网络级别的安全性可通过连接企业网络的IPSec VPN接入实现。 VPN解决方案还支持多数企业应用。IPSec客户机通常应用于远程接入。同样的VPN方案亦支持无线接入客户机访问。 用户可使用先进的移动安全体系结构 (AMSA) 对无线LAN层提供更强的加密支持(不使用VPN)。AMSA是基于会话 (session) 的RC4*作,没有经过帧 (frame) 技术,可避免许多WEP的弱点。这个RC4实施避免WEP中对每个数据包进行重新加密。相反,一个数据包末端的RC4运算可用于开始下一个数据包的加密。此外,每位用户的独特密钥可用来加密发往或发自每个终端站的会话。目前市场上还没有能够提供这种针对“每位用户,每个会话”的加密。当前市场中大部份实施方案都使用单一WEP密钥(无论如何分配)进行从接入点发往终端站的会话的加密。一般情况下,所有终端站都使用单一密钥向接入点发送会话。基于每位用户会话的RC4加密可防止无意的窃听攻击。 802.11 安全小组(即802.11i)正致力为未来的802.11网络制定更严格的加密运算。当前的规程草案建议使用RC4/每帧IV加密运算的增强版本和128位AES加密运算。 鉴权 鉴权方法主要有两种:证书和共享密钥。每种鉴权方法都有各自的优缺点,但各个部署项目只能采用其中一种方法。杰尔系统等主要无线LAN服务供应商一般提供同时支持两种方法的鉴权系统,以便支持客户部署及避免现有鉴权系统的全部替换。 通过CHAP接入服务器鉴权 终端站的配置要求使用点到点 (PPP) 协议的CHAP支持鉴权。CHAP采用一种询问和询问应答方案来支持鉴权,使攻击者很难截听到用户名和密码信息。在这个过程中,所有用户鉴权数据均通过加密隧道得到保护以防被窃听。 PPP接收到的询问应答信息被封装在RADIUS接入请求信息中,再发往RADIUS服务器。由于接入服务器会生成新的CHAP询问值,攻击者不能用已知的用户名和散列的密码登入目标网络。虽然攻击者仍可检索用户名,但必须逆向运行MD5前向散列才能获得用户密码。使用字典式攻击方法逆向运行MD5散列理论上是可能的,但要求大量计算资源,往往会使攻击者中途放弃。使用CHAP鉴权可以防止“意外”攻击,并在许多应用中起到保护作用。 通过PAP (密码鉴权协议) 的接入服务器鉴权 PAP的鉴权系统目前仍在使用,并往往与鉴权服务器的代理——RADIUS分级体系相关。通过PAP鉴权,用户密码在位于接入服务器(而非终端站)的 RADIUS客户机,使用MD5散列算法进行处理。终端站向接入服务器发送明文密码,并通过此站点与接入服务器间的加密DiffieHellman隧道防止外部窃听。接入服务器打乱这个密码并使用RADIUS共享密钥对散列进行加密,然后将它发送到RADIUS服务器。只有两种人为情况才能破解这种加密:一种是攻击者成功攻击了在RADIUS服务器中恢复的MD5散列密码;另一种是攻击者创建了自己的接入服务器软件以获得打乱前的密码。但这两种攻击都是很难实现的。 使用安全标记提供“一次性密码”的接入服务器鉴权 IT管理人员可使用RSA的SecurID等安全标记为网络RADIUS服务器进行配置,以便为拨号和无线用户接入网络提供“一次性密码”。攻击者必须在取得密码后一分钟内使用密码,或者必须窃取安全标记和该用户的密码才能接入网络。所有通用RADIUS服务器均可使用SecurID来配置。 结合CHAP、PAP鉴权和“一次性密码”可有效地防止“人为”攻击。即使攻击者成功恢复了用户的MD5散列密码,该密码也已经无效。 IEEE 802.11和RADIUS鉴权 通过使用IEEE 802.11标准中规定的MAC层方法或使用 RADIUS等高层方法可对与无线网络相关的终端站进行鉴权。IEEE802.11标准支持MAC层鉴权业务的两个子层:开放系统和共享密钥。开放系统鉴权是设定鉴权服务,是终端站间彼此通信或终端站与接入点间通信的理想选择。802.11共享密钥鉴权容易受到攻击,且不符合Wi-Fi标准。 802.1X鉴权 802.1X鉴权与终端站和RADIUS服务器中建立的会话密钥一起,为基于证书的共同鉴权提供机制。基于802.1X端口的鉴权协议要求通过安全的有线连接预先向目标网络客户机端和服务器端分配证书。 密钥 现有的802.11b规程中未规定密钥分配机制。通过定制脚本工具和人工密钥输入完成的自动密钥分配是目前使用的方法。通过802.1X鉴权方法还可在接入服务器中自动生成密钥。密钥分配是802.11i安全性小组定义的增强型安全网络的重要组成部分.本文来自:http://www.linuxpk.com/5147.html-->linux电子图书免费下载和技术讨论基地·上一篇:网管,你的防火墙上也有“洞”吗·下一篇:" href="./5154.html">提高Linux系统安全性的十招<4>
最新更新 | ||
·限制用户的最小密码长度·设置登陆时的shell·让帐号永不过期·如何使ctrl-alt-del失效·sshd控制指定ip段访问·Linux网络安全之经验谈·信息安全从业参考·允许非root用户mount光盘和软盘·限时登录·用LIDS增强Linux系统安全·这就是Kerberos的工作原理·实现自动登录linux·linux下的网络扫描利器·linux下破解实战·让一个普通的用户转换成为管理员·使非root用户都不能远程登录·取消root命令历史记录以增加安全性·阻止用户浏览使用外部代理·linux对系统用户的控制·TheLinux-PAM系统管理员指南·Linux用户安全·谈linux的安全设置·使用Snort探测轻型侵入·使用pam来支持login的访问控制·使用tcpwrappers控制文件·设置用户密码过期时间·ChrootLinux中所有的服务·/etc/security目录下的conf配置·redhat/solaris下允许root通过telnet登录·linux给一个普通用户reboot权限 |
|
||
关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册 | ||
|
||
Copyright © 2004 - 2007 All Rights Reserved
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/14102/viewspace-117211/,如需转载,请注明出处,否则将追究法律责任。
0
0
分享到:
上一篇: 反病毒引擎设计全解(转)
下一篇: VPN实验--经验共享(转)
请登录后发表评论 登录
全部评论
<%=items[i].createtime%>
<%=items[i].content%> <%if(items[i].items.items.length) { %>
<%for(var j=0;j
<%=items[i].items.items[j].createtime%> 回复
<%=items[i].items.items[j].username%> 回复 <%=items[i].items.items[j].tousername%>: <%=items[i].items.items[j].content%> <%}%> <%if(items[i].items.total > 5) { %>
还有<%=items[i].items.total-5%>条评论) data-count=1 data-flag=true>点击查看
<%}%> <%}%> <%}%>
ilg
注册时间:2002-06-18
最新文章
支持我们 作者招募 用户协议 FAQ Contact Us 北京盛拓优讯信息技术有限公司. 版权所有 京ICP备09055130号-4 北京市公安局海淀分局网监中心备案编号:11010802021510 广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员 |
转载于:http://blog.itpub.net/14102/viewspace-117211/
无线网络安全标准(转)相关推荐
- 无线网络(5) 无线网络安全性
无线网络的安全性由认证和加密来保证. 认证允许只有被许可的用户才能连接到无线网络: 加密的目的是提供数据的保密性和完整性(数据在传输过程中不会被篡改). 802.11标准最初只定义了两种认证方法: l ...
- (*长期更新)软考网络工程师学习笔记——Section 15 无线网络技术
目录 一.IEEE 802.11标准 (一)无线接入点和接入控制器 (二)无线局域网的工作模式 (三)基本服务集 (四)IEEE 802.11物理层技术 1.跳频(扩频)技术 2.红外技术 3.直接序 ...
- Android之连接指定SSID的无线网络
SSID指的是无线网络的名称全程为Service Set Identifier 通过查阅网上资料找到了连接指定SSID的方法,无线网络可以是三种简单的方式 1. 无加密 2. wep加密 3. wpa ...
- 无线网络加密方式对比 .
加密技术 全称 加密算法 协议背景 划分 特点 WEP Wired Equivalent Privacy(有线对等保密) rsa数据安全性公司开发的rc4prng算法 ...
- 网络安全标准实践指南—远程办公安全防护
TC260-PG-20201A 网络安全标准实践指南-远程办公安全防护(v1.0-202003) 全国信息安全标准化技术委员会秘书处 2020年03月 前言 <网络安全标准实践指南>(以下 ...
- 无线网络***(-)
目录 $p)e.ZMgE _7bQR 7s F`e o3z [0x00] - 简介 F5s`AjU [0x01] - 无线网络安全 q}r{%ypf [0x02] - 突破简单防御 ...
- 6.5 【加密和安全】- 重合指数 无线网络
专栏:牛客网刷题 1.重合指数法对下面哪种密码算法的破解最有效() 置换密码 单表代换密码 多表代换密码 序列密码 重合指数 重合指数(IC,Index of Coincidence)是指数学上的一种 ...
- 无线网络的加密方式:WEP、WPA和WPA2
目录 有线等效加密( WEP ) Wi-Fi 访问保护( WPA ) Wi-Fi 访问保护 II( WPA2 ) WPA-PSK/WPA2-PSK 无线网标准 有线等效加密( WEP ) 有线等效保密 ...
- 无线网络常用加密技术
WEP(有线等效加密) 尽管从名字上看似乎是一个针对有线网络的安全选项,其实并不是这样.WEP标准在无线网络的早期已经创建,目标是成为无线局域网WLAN的必要的安全防护层,但是WEP的表现无疑令人非常 ...
最新文章
- dpkg安装deb缺少依赖包的解决方法
- 两字典(dict)组合(重复键进行加法)一行命令实现Python
- 160个Crackme016
- 林绪虹:看好QoE、音视频内容理解与AV1
- Web高并发访问:用HAPorxy实现负载均衡
- 演示IPFS的一个完整的流程以及针对部分概念的详解
- MNIST数据集处理
- Java实现线程安全的几种方式
- 单链表删除所有值为x的元素_双链表的基本实现与讲解(C++描述)
- 利用R语言美化决策树
- 3.1、如何通过ISP(FlyMcu串口)下载程序(附CH340驱动及FlyMcu安装包)
- TabHost详细解析
- JDK8 到 JDK17版本新增特性
- Springboot2.3.x整合Canal
- 使用合取范式进行整数规划建模的方法
- 关于亚马逊人的财务自由
- 或门,OR Gate
- UML中各图形或图标表示的意思
- design compiler基本操作
- Kubernetes(K8s)基本概念:HPA(Pod横向自动扩容)、StatefulSet
热门文章
- pythoniter 2_python [iter(list)] * 2是什么意思?
- vue 数字金额转大写方法
- 湖南工业大学教务系统爬虫(课表获取篇)
- PgRouting求解大数据量最短路径
- 对接天猫接口之如何授权订阅消息?包含天猫端授权和服务商端授权taobao.tmc.user.permit
- 筹码分布的计算方法笔记
- 王者荣耀服务器维修多久,王者荣耀服务器正在维护中,具体维护时间及更新内容可留意官网更新公告_游戏吧...
- iOS和Android上的本机心理健康监控:现在不是时候了吗?
- 安全绳使用方法图解_安全带和安全绳的正确使用方法
- 微信群打卡小程序_用微信小程序“小打卡”,打造免费的阅读平台!