带你360度,全方位认识802.11b无线网络(3)
日期:2011-01-18 09:14 | 来源: 未知 | 作者: admin | 阅读: 次
◆通过有线等效隐私(Wired Equivalent Privacy,WEP)实现的数据保密性
开放系统身份验证不提供身份验证,而只是使用无线适配器的MAC地址进行身份鉴别。开放系统身份验证在不需要身份验证时使用。某些无线AP允许使用那些允许的无线客户端的MAC地址配置。 然而,这样并不安全,因为无线客户端的MAC地址可能会被利用。
共享密钥身份验证检验某个正在进行身份验证的无线客户端是否知道某个共享秘密。这类似于Internet协议安全(IPsec)中的预先共享的密钥身份验证。802.11标准当前假设为通过独立于IEEE 802.11的安全通道来参与连接的STA提供了共享密钥。实际上,这个秘密通过手动同时为无线AP和客户端配置。由于共享密钥身份验证秘密必须手动分发,这种身份验证方法无法扩展到基础设施网络(例如:公司园区和公共场所,又如商场和机场等)。此外,共享密钥身份验证是不安全的,因此不推荐使用。
出于无线网络的固有性质,保护无线网络的物理访问是很困难的。 因为物理端口不是必需的,在某个无线AP范围内的任何人都能够发送和接收帧,以及侦听正在发送的其他帧。如果没有WEP,进行窃听和远程数据包探测将很容易。WEP是在IEEE 802.11标准中定义的,旨在提供等效于有线网络的数据保密级别。
WEP通过加密无线节点之间发送的数据,提供数据保密服务。WEP加密使用具有40位或104位的加密密钥的RC4对称流密码(stream cipher)。WEP通过在无线帧的加密部分中包括完整性检查值(integrity check value,ICV),从而提供避免随机错误的数据完整性。
然而,WEP仍然存在一个重要问题。WEP密钥的确认和分发未定义,必须通过独立于802.11的安全通道进行分发。实际上,这只是一个必须手动地同时为无线AP和客户端配置(使用键盘)的文本字符串。显而易见,这种密钥分发机制无法很好地扩展至企业组织。
此外,不存在某种已定义的机制可改变WEP密钥,不管是在每次进行身份验证时更变,还是在经过身份验证的某个连接期间按预定的时间间隔更变。所有无线AP和客户端都将手动配置的相同WEP密钥应用于多次连接和身份验证。对于多个无线客户端发送大量数据的情况,恶意用户有可能远程捕获大量WEP密码文本,并使用密码分析学方法来确定WEP密钥。
不管是手动确定WEP密钥还是经常进行更变,缺乏WEP密钥管理是802.11安全性的一个严重局限,特别是在大量无线客户端处于基础模式的情况下。缺少自动化身份验证和密钥确定服务还影响了特殊模式下的运作,在特殊模式下,用户可能希望进行点对点协作通信(例如在会议室范围内)。
由于没有足够的身份验证方法,再加上缺乏无线数据加密的密钥管理,导致IEEE采用IEEE 802.1X基于端口的网络访问控制标准进行无线连接。