第八章 网络安全技术与应用


             协议（Temporal Key Integrity Protocol，TKIP）处理WEP所不能解决的各设备共

             用一个密钥的安全问题。WPA使用的密钥与网络上各设备的MAC 地址同一个更
             大的初始化向量合并，确保各结点均用一个不同密钥流对其数据加密。TKIP与
             WEP不同，修改了常用密钥，具有完整性检查功能可确保密钥安全，加强了由
             WEP提供的不完善的用户认证功能，还包含对802.1x和EAP的支持。既可通过外

             部RADIUS服务对无线用户进行认证，也可在大型网络中使用RADIUS协议自动
             更改和分配密钥。
                 2.无线路由器安全

                 由于无线路由器位于网络接收中心位置，不仅具有无线AP的功能，还集成
             了宽带路由器的功能，面临更多安全危险。通常，可实现小型网络的Internet连
             接共享。除了可采用无线AP的安全策略外，还应采用如下安全策略：①无线路
             由器的安全设置，做好必要的安全防范；②利用网络防火墙。充分利用无线路由

             器内置的防火墙功能，以加强防护能力；③IP地址过滤。启用IP地址过滤列表，
             可以进一步提高无线网络的安全性。
                 （三）IEEEE802.1x身份认证

                 IEEE 802.1x是一种基于端口的网络接入认证控制技术，主要以网络设备的物
             理接入级（交换机设备的端口连接在该类端口）对接入设备进行认证和控制。可
             提供一个可靠的用户认证和密钥发放的方式，控制用户在认证通过后才可连接网

             络。其本身并不提供实际的认证机制，需要和上层认证协议EAP配合实现用户认
             证和密钥发放。EAP允许无线终端支持不同的认证类型，可与后台不同的认证服
             务器通信，如远程验证服务。

                 IEEE802.1x认证过程如下：①无线客户端向AP发送请求，尝试与AP进行通信；
             ②AP将加密数据发送给验证服务器进行用户身份认证；③验证服务器确认用户身份
             后，AP允许该用户接入；④建立网络连接后授权用户通过AP访问网络资源。
                 IEEE802.1x和EAP作为身份认证的无线网络，分为如下的3个主要部分：①

             请求者。在手机或笔记本计算机等移动终端上运行的无线客户端。②认证者。利
             用网络中的无线访问点AP，认证识别接入的权限。③认证服务器。作为一个认
             证数据库，常为一台RADIUS服务器，如微软公司的IAS等。

                 （四）无线网络安全技术应用
                 在各种实际应用中，无线网络对不同应用的安全性需求各异，以AC公司的


                                                                                    249