當前主流、最新技術回眸(五)
阿新 • • 發佈:2018-12-18
接上篇
五、
WLAN
技術
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
有線乙太網技術的發展可以說是走到了一個拐點了,相信近幾年都不會有太多變化,畢竟10Gbps的速率已能滿足目前幾乎所有的網路應用需求了。目前在這方面的變化是千兆乙太網和萬兆乙太網技術的應用普及和裝置價格的進一步下調。相反,剛剛步入實質應用的WLAN無線網路目前正處於高速發展時期。
在WLAN
IEEE 802.11n 標準可以提供高達
在802.11i或者說WPA之前的安全解決方案: u 埠訪問控制技術(IEEE802.1x)和可擴充套件認證協議(EAP):該技術也是用於無線區域網的一種增強性網路安全解決方案。當無線工作站與無線訪問點AP關聯後,是否可以使用AP的服務要取決於802.1x的認證結果。如果認證通過,則AP為無線工作站開啟這個邏輯埠,否則不允許使用者上網。
IEEE 802.1x 標準要求無線工作站安裝802.1x客戶端軟體,無線訪問點要內嵌802.1x認證代理,同時它還作為Radius客戶端,將使用者的認證資訊轉發給Radius伺服器。現主流的PC機作業系統Windows XP 以及Windows 2000都已經有IEEE 802.1x的客戶端功能。 u 無線客戶端二層隔離技術:在電信運營商的公眾熱點場合,為確保不同無線工作站之間的資料流隔離,無線接入點AP也可支援其所關聯的無線客戶端工作站二層資料隔離,確保使用者的安全。 u ***-Over-Wireless技術:目前已廣泛應用於廣域網路及遠端接入等領域的***(Virtual Private Networking)安全技術也可用於無線區域網域,與IEEE802.11b標準所採用的安全技術不同,***主要採用DES,3DES以及AES等技術來保障資料傳輸的安全。對於安全性要求更高的使用者,將現有的***安全技術與IEEE802.11b安全技術結合起來,這是目前較為理想的無線區域網絡的安全解決方案之一。 u WPA (Wi-Fi 保護訪問) 技術:在IEEE 802.11i 標準最終確定前,WPA(Wi-Fi Protected Access)技術是在2003年正式提出並推行的一項無線區域網安全技術,將成為代替WEP的無線
WPA 是IEEE802.11i的一個子集,其核心就是IEEE 802.1x和TKIP。WPA在WEP的基礎之上為現有的無線區域網裝置大大提高了資料加密安全保護和訪問認證控制。為了更好地支援使用者對WPA的實施,WPA針對中小辦公室/家庭使用者推出了WPA-PSK、而針對企業使用者則採用完整的WPA-Enterprise的形式。WPA是完全基於標準的並且在現有已存的大量無線區域網硬體裝置上只需簡單地進行軟體升級便可完成,並且也能保證相容將來要推出的IEEE 802.11i安全標準。 u IEEE 802.11i 為了進一步加強無線網路的安全性和保證不同廠家之間無線安全技術的相容, IEEE802.11工作組於2004年6月份正式批准了新的安全標準——IEEE 802.11i。 IEEE 802.11i定義了一個新概念——固安網路(Robust Security Networks, RSN)。RSN是指無線區域網內裝置之間的連線發起(creation)必須是經過固安網路連線(Robust Security Networks Associations, RSNA)程式完成的。也就是說,RSNA是定義一組程式(process),包括驗證(authentication)、加密(encryption)協定以及金鑰管理(key management)。IEEE 802.11i固安網路連線RSNA定義的三項主要元件包含驗證(authentication)、加密(encryption)以及金鑰管理(key management),三者是一連串相輔相成的程式,缺一不可。
驗證(Authentication):IEEE 802.11i所定義的驗證方式是採用802.1X/EAP的架構。這樣的架構之下,必須有三種角色,分別是請求者(supplicant)、驗證者(authenticator)以及驗證伺服器。這裡的驗證是指更為嚴謹的驗證方式,而不是802.11裡的開放系統驗證(open- system authentication)和共享金鑰驗證(shared- key authentication)。 加密(encryption):IEEE 802.11i設計了一個”半新”和全新的加密協議,分別是TKIP(暫時金鑰完整性協議)和CCMP(CBC-MAC 計數模式協議)。TKIP是一種資料保密協議,可用於提高 WEP 產品的安全性。TKIP 使用了一種叫做 Michael 的訊息完整性程式碼,它支援裝置驗證資料包是否來自所需的資料來源。TKIP 還使用了一種複合功能來挫敗易解金鑰***,否則利用這種***,***者能夠對所傳輸的資訊進行解碼。
TKIP協議只保留了原來WEP所使用的加密引擎RC4和基本架構,其目的是為了要使TKIP能夠相容於支援WEP的硬體,以便於使用者日後升級。事實上TKIP原本被稱為WEP2,但由於WEP經證實存在瑕疵,為了能與WEP有所區隔,因此更名為TKIP。
CCMP也是一種資料保密協議,可處理資料包的身份驗證和加密。對於加密,CCMP 在計數模式下采用了 AES 的演算法;對於身份驗證和完整性,CCMP 使用了密碼分組連結 - 報文鑑別程式碼(CBC-MAC)。在 IEEE 802.11i 標準中,CCMP 使用了128位的金鑰。 CCMP 可以保護那些沒有加密的資料領域。 IEEE 802.11 資料幀中其它受保護的部分被稱為額外驗證資料( AAD )。 AAD 包括資料包的源地址和目的地址,它可以防範***者將資料包向不同的目的地址反覆傳播。
IEEE 802.1x :向受保護的網路提供了一個有效的身份驗證和使用者通訊管理的框架,同時還能動態地改變金鑰。 IEEE 802.1x 在有線和無線區域網媒介中都捆綁了可擴充套件身份驗證協議( EAP ),並支援多重身份驗證。
EAP 區域網封裝( EAPOL ):它是 IEEE 802.1x 中關鍵通訊過程的重要協議。在 IEEE 802.11i 協議中描述了 EAPOL 的兩個重要的通訊過程。第一個被稱為四次握手;第二個被稱為組金鑰握手。
金鑰管理 (key management) : IEEE 802.11i 定義的金鑰管理包括了金鑰階層 (key hierarchy) 、無線網路裝置間 ( 例如無線網路裝置和 AP) 如何協商出金鑰、金鑰的衍生 (derivation) 以及金鑰的配送 (distribution) 等。 <整篇完>
在WLAN
IEEE 802.11n 標準可以提供高達
在802.11i或者說WPA之前的安全解決方案: u 埠訪問控制技術(IEEE802.1x)和可擴充套件認證協議(EAP):該技術也是用於無線區域網的一種增強性網路安全解決方案。當無線工作站與無線訪問點AP關聯後,是否可以使用AP的服務要取決於802.1x的認證結果。如果認證通過,則AP為無線工作站開啟這個邏輯埠,否則不允許使用者上網。
IEEE 802.1x 標準要求無線工作站安裝802.1x客戶端軟體,無線訪問點要內嵌802.1x認證代理,同時它還作為Radius客戶端,將使用者的認證資訊轉發給Radius伺服器。現主流的PC機作業系統Windows XP 以及Windows 2000都已經有IEEE 802.1x的客戶端功能。 u 無線客戶端二層隔離技術:在電信運營商的公眾熱點場合,為確保不同無線工作站之間的資料流隔離,無線接入點AP也可支援其所關聯的無線客戶端工作站二層資料隔離,確保使用者的安全。 u ***-Over-Wireless技術:目前已廣泛應用於廣域網路及遠端接入等領域的***(Virtual Private Networking)安全技術也可用於無線區域網域,與IEEE802.11b標準所採用的安全技術不同,***主要採用DES,3DES以及AES等技術來保障資料傳輸的安全。對於安全性要求更高的使用者,將現有的***安全技術與IEEE802.11b安全技術結合起來,這是目前較為理想的無線區域網絡的安全解決方案之一。 u WPA (Wi-Fi 保護訪問) 技術:在IEEE 802.11i 標準最終確定前,WPA(Wi-Fi Protected Access)技術是在2003年正式提出並推行的一項無線區域網安全技術,將成為代替WEP的無線
WPA 是IEEE802.11i的一個子集,其核心就是IEEE 802.1x和TKIP。WPA在WEP的基礎之上為現有的無線區域網裝置大大提高了資料加密安全保護和訪問認證控制。為了更好地支援使用者對WPA的實施,WPA針對中小辦公室/家庭使用者推出了WPA-PSK、而針對企業使用者則採用完整的WPA-Enterprise的形式。WPA是完全基於標準的並且在現有已存的大量無線區域網硬體裝置上只需簡單地進行軟體升級便可完成,並且也能保證相容將來要推出的IEEE 802.11i安全標準。 u IEEE 802.11i 為了進一步加強無線網路的安全性和保證不同廠家之間無線安全技術的相容, IEEE802.11工作組於2004年6月份正式批准了新的安全標準——IEEE 802.11i。 IEEE 802.11i定義了一個新概念——固安網路(Robust Security Networks, RSN)。RSN是指無線區域網內裝置之間的連線發起(creation)必須是經過固安網路連線(Robust Security Networks Associations, RSNA)程式完成的。也就是說,RSNA是定義一組程式(process),包括驗證(authentication)、加密(encryption)協定以及金鑰管理(key management)。IEEE 802.11i固安網路連線RSNA定義的三項主要元件包含驗證(authentication)、加密(encryption)以及金鑰管理(key management),三者是一連串相輔相成的程式,缺一不可。
驗證(Authentication):IEEE 802.11i所定義的驗證方式是採用802.1X/EAP的架構。這樣的架構之下,必須有三種角色,分別是請求者(supplicant)、驗證者(authenticator)以及驗證伺服器。這裡的驗證是指更為嚴謹的驗證方式,而不是802.11裡的開放系統驗證(open- system authentication)和共享金鑰驗證(shared- key authentication)。 加密(encryption):IEEE 802.11i設計了一個”半新”和全新的加密協議,分別是TKIP(暫時金鑰完整性協議)和CCMP(CBC-MAC 計數模式協議)。TKIP是一種資料保密協議,可用於提高 WEP 產品的安全性。TKIP 使用了一種叫做 Michael 的訊息完整性程式碼,它支援裝置驗證資料包是否來自所需的資料來源。TKIP 還使用了一種複合功能來挫敗易解金鑰***,否則利用這種***,***者能夠對所傳輸的資訊進行解碼。
TKIP協議只保留了原來WEP所使用的加密引擎RC4和基本架構,其目的是為了要使TKIP能夠相容於支援WEP的硬體,以便於使用者日後升級。事實上TKIP原本被稱為WEP2,但由於WEP經證實存在瑕疵,為了能與WEP有所區隔,因此更名為TKIP。
CCMP也是一種資料保密協議,可處理資料包的身份驗證和加密。對於加密,CCMP 在計數模式下采用了 AES 的演算法;對於身份驗證和完整性,CCMP 使用了密碼分組連結 - 報文鑑別程式碼(CBC-MAC)。在 IEEE 802.11i 標準中,CCMP 使用了128位的金鑰。 CCMP 可以保護那些沒有加密的資料領域。 IEEE 802.11 資料幀中其它受保護的部分被稱為額外驗證資料( AAD )。 AAD 包括資料包的源地址和目的地址,它可以防範***者將資料包向不同的目的地址反覆傳播。
IEEE 802.1x :向受保護的網路提供了一個有效的身份驗證和使用者通訊管理的框架,同時還能動態地改變金鑰。 IEEE 802.1x 在有線和無線區域網媒介中都捆綁了可擴充套件身份驗證協議( EAP ),並支援多重身份驗證。
EAP 區域網封裝( EAPOL ):它是 IEEE 802.1x 中關鍵通訊過程的重要協議。在 IEEE 802.11i 協議中描述了 EAPOL 的兩個重要的通訊過程。第一個被稱為四次握手;第二個被稱為組金鑰握手。
金鑰管理 (key management) : IEEE 802.11i 定義的金鑰管理包括了金鑰階層 (key hierarchy) 、無線網路裝置間 ( 例如無線網路裝置和 AP) 如何協商出金鑰、金鑰的衍生 (derivation) 以及金鑰的配送 (distribution) 等。 <整篇完>