宝界终端准入系统实现无线网络实名认证解决方案

一、应用背景

由于无线网络通过无线电波在空中传输数据，在数据发射机覆盖区域内的几乎所有的无线网络用户都能接触到这些数据。只要具有相同接收频率就可能获取所传递的信息。要将无线网络环境中传递的数据仅仅传送给一个目标接收者是不可能的。另一方面，由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性，使得原来在有线环境下的许多安全方案和安全技术不能直接应用于无线环境，例如：防火墙对通过无线电波进行的网络通讯起不了作用，任何人在区域范围之内都可以截获和插入数据。计算量大的加密、解密算法不适宜用于移动设备等。因此，需要研究新的适合于无线网络环境的安全理论、安全方法和安全技术。与有线网络相比，无线网络所面临的安全威胁更加严重。所有常规有线网络中存在的安全威胁和隐患都依然存在于无线网络中;外部人员可以通过无线网络绕过防火墙，对专用网络进行非授权访问;无线网络传输的信息容易被窃取、篡改和插入;无线网络容易受到拒绝服务攻击（dos）和干扰;内部员工可以设置无线网卡以端对端模式与外部员工直接连接。此外，无线网络的安全技术相对比较新，安全产品还比较少。以无线局域网（wlan）为例，移动节点、ap等每一个实体都有可能是攻击对象或攻击者。由于无线网络在移动设备和传输媒介方面的特殊性，使得一些攻击更容易实施，对无线网络安全技术的研究比有线网络的限制更多，难度更大。常见的无线网络安全技术有以下几种

1、服务集标识符（ssid）

通过对多个无线接入点ap（accesspoint）设置不同的ssid，并要求无线工作站出示正确的ssid才能访问ap，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。因此可以认为ssid是一个简单的口令，从而提供一定的安全，但如果配置ap向外广播其ssid，那么安全程度还将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该ssid，很容易共享给非法用户。目前有的厂家支持"任何（any）"ssid方式，只要无线工作站在任何ap范围内，客户端都会自动连接到ap，这将跳过ssid安全功能。

2、物理地址过滤（mac）

由于每个无线工作站的网卡都有唯一的物理地址，因此可以在ap中手工维护一组允许访问的mac地址列表，实现物理地址过滤。这个方案要求ap中的mac地址列表必需随时更新，可扩展性差；而且mac地址在理论上可以伪造，因此这也是较低级别的授权认证。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求ap中的mac地址列表必需随时更新，目前都是手工操作；如果用户增加，则扩展能力很差，因此只适合于小型网络规模。

3、连线对等保密（wep）

在链路层采用rc4对称加密技术，用户的加密密钥必须与ap的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。wep提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在今天很容易被破解；钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙。

4、wi-fi保护接入（wpa）