完整的無線安全解決方案

[psac]

一個公司提供方案，做了這個，這個是拼起來的
文字是Cisico的，誰有用就拿去看看吧


完整的無線安全解決方案

我們所需要的無線LAN安全解決方案，應該利用關於標準的和開放的結構，充分利用802.11b安全設備，提供最進階別的可用安全性，實現從一個中央控制點進行有效的安全管理。


一個對安全做出承諾的安全解決方案應該遵循IEEE提案中的關鍵內容，這個提案 由Cisco、Microsoft和其它公司聯合提出。它的中心問題集中在以下幾個方面：


可擴展身份驗證傳輸協定（EAP），是使無線客戶端機橋接器與RADIUS伺服器進行通信的遠端訪問撥號用戶服務（RADIUS）的擴展
IEEE 802.11X，用於控制連接阜通信的推薦標準

在使用安全解決方案時，在用戶進行網路登入之前，與訪問點通信的無線客戶端機並不能獲得網路訪問權。


用戶在網路登入對話視窗或與之功能相似的對話視窗中按鍵輸入用戶名和密碼之後，客戶端機和RADIUS伺服器（或其它驗證伺服器）通過用戶所提供的用戶名和密碼進行雙向 的身份驗證，對被驗證的客戶端機進行檢驗。


RADIUS伺服器和客戶端機利用客戶端機所提供的特定WEP密鑰進行登入對話連接。所有敏感的資訊如密碼等都受到保護，不會被被動監聽和其它攻擊方法所截獲。如果沒有保護措施，沒有什麼能在空氣中暢行無阻、絕對安全地 傳播。

這個程序的順序如下：
1. 無線客戶端機與訪問點進行通信
2. 在登入到網路之前，訪問點拒絕所有客戶端機的對網路資源的訪問。
3. 客戶端機上的用戶在網路登入對話視窗或類似功能的對話視窗中提供用戶名和密碼。
4. 利用802.11X和EAP，無線LAN上的客戶端機和RADIUS伺服器通過訪問點進行雙向身份驗證。


有幾種驗證身份的方法備選。在Cisco的身份驗證方法中，RADIUS伺服器傳送一個驗證詢問資訊到客戶端機。客戶端機利用用戶提供的單向密碼散列信 息來產生對詢問的回應，並把這個回應送到RADIUS伺服器。


RADIUS伺服器根據它的用戶資料庫中的資訊，自己產生一個回應，並與客戶端機所送來回應進行比較。一旦RADIUS伺服器驗證了客戶端機的身份，上述程序逆向重複。


5. 當這個雙向的驗證程序全部完成後，RADIUS伺服器和客戶端機確定一個有別於客戶端機的WEP密鑰，並為客戶端機提供合適級別的網路訪問權限，為個人桌上型提供與有線交換部分相似的安全性。


然後，客戶端機載入密鑰，準備把它套用到登入會話程序中。



6. RADIUS伺服器通過有線LAN傳送一個稱為會話密鑰的WEP密鑰到訪問點。
7. 訪問點利用會話密鑰對廣播密鑰進行加密，把經過加密的密鑰送到客戶端機，客戶端機利用會話密鑰進行解密。


8. 客戶端機和訪問點啟動WEP，並把會話和廣播密鑰套用到後續會話的所有通信程序中。

EAP和802.11X在遵循WEP的基礎上，提供了一個集中管理、關於標準、開放的方法來解決802.11標準在安全方面的局限。同時，EAP框架是對有線網路的擴展，使企業為每個訪問方法提供一個單獨的安全結構。

在使用了如上無線安全解決方案之後，任何公司都將：


使由於硬體丟失或被盜、虛假訪問點、黑客攻擊造成的安全隱患最小
使用在用戶登入時動態新增的、特定用戶的、關於會話的WEP密鑰，而不是存儲在客戶端機設備和訪問點的靜態WEP密鑰
從一個集中控制點管理所有無線用戶的安全性

以上無線安全服務與有線LAN的安全效能相當，完全可滿足一個穩定、可靠、安全的可移動網路解決方案的需求。

[yenchia]

嗯∼大學畢業專題剛做過∼資料不多∼ｒａｄｉｕｓ應該會慢慢開始流行吧∼