企业的无线安全问题综合解决方案(2)

四、无线加密
与无线网络相关的另一个担心的问题是数据保密问题，而这对有线网络来说并不是一个大问题。对于使用现代交换机的有线网络，因为网络交换机只在发送方和接收方之间转发单播流量，所以窃听不是一个很大的问题。而无线网络中的数据包是在开放广播频率上传输，所以数据保密就成为一个重大的担忧。因此，用于保护无线数据包的加密方法必须足够稳定和可靠，而且在客户端和接入点之间进行密钥交换时，必须进行身份认证和加密处理。

IEEE802.11i标准的推出目的就是在于解决无线数据保密方面的缺陷。

五、WEP与802.1x的配合
由于对密钥进行加密的短初始化向量的弱点以及密钥本身的静态属性，使用早期802.11b技术的传统WEP是一个十分薄弱的加密系统。每一用户必须手工将静态WEP密钥输入到自己的便携机中，而这些静态密钥经常因为不愿付出附加的维护开销而保持不变。如果便携机被窃或被破坏，这些WEP密钥就可能被窃，从而危及无线网络的安全。

利用802.1x身份认证和WEP，可以通过增强功能来解决传统静态WEP存在的问题。通过实现到RADIUS服务器的EAP和身份认证，802.1x解决了静态WEP密钥所存在的安全问题，其解决途径是在每次执行802.1x身份认证时都重发新的密钥，从而实现了动态WEP。这样，用户不再需要在便携机上输入一个静态WEP密钥，因为用户每次进行身份认证时都会为其生成一个新的随机密钥。另外，其他一些实现方法还允许在特定的一段时间重新生成WEP加密密钥，或强制要求在一定的时间间隔之后才能再次进行身份认证。

在802.1xWEP加密技术中，WEP加密方法仍然使用，但持续变化的密钥消除了静态密钥和薄弱的短初始化向量带来的危险。现在，人们可以不再那么担心便携机和手持设备被窃，因为静态密钥将不会存放在这些设备上。

六、AES和IEEE802.11i
IEEE802.11涉及到无线安全的所有方面，包括身份认证、数据保密（AES）、数据完整性、安全快速的跨区、安全的分离认证、安全的数据分离以及安全的IBSS。

802.11i标准中包括的一项重大数据保密增强内容是美国商务部颁发的NIST高级加密标准（AES）。AES是一项联邦信息处理标准（FIPS出版物编号197），定义了美国政府应该如何保护敏感的一般性信息。AES可在不同的模式下或算法中使用，同时，IEEE802.11i的实现将基于CBCMAC计数器模式（CCM），即使用计数器模式实现数据保密，使用CBC-MAC保护数据完整性。

AES是一种对称迭代数据块密码技术，使用相同的加密密钥进行加密和解密。加密过程在802.11数据包的数据部分使用了多次迭代，并在离散的固定长度块中对明文的文本数据进行加密。AES使用128位数据块（配置128位加密密钥）对数据进行加密，同时基于TKIP和MIC提供的增强功能，并使用很多类似的算法来实现高水平的数据保护。

因为AES增加了处理方面的开销，所以需要购买新的客户端和接入点或无线局域网交换机，以支持802.11i的增强数据保密功能。802.11i已经获得批准，而802.11i兼容的产品应该在2004年第4季度开始有限供应市场。拥有较老硬件的企业需要确定是否值得为了安全性的增强而付出购买802.11i兼容硬件的成本。

【相关文章】

• Fluke Networks:揭密无线网络访问和802.1x安全性的疑惑

• 无线攻防:破解WEP密钥（图）

• 使用802.1x进行自动VLAN分配