2007年度CPA全国统一考试上海考区报名简章
2007-04-18
更新时间:2006-02-14 00:00:00作者:未知
2001 年 2 月, 无 线 以 太 网 兼 容 性 联 盟 (WECA) 发 布 了 一 份 关 于 无 线 局 域 网 安 全 性 的 声 明。 这 份 声 明 是 对 第 一 次 针 对 有 线 等 同 保 密 (WEP) - 用 于 Wi-Fi (IEEE 802.11b 标 准) 无 线 局 域 网 的 保 密 与 验 证 机 制 - 发 起 的 第 一 次 成 功 侵 入 所 作 出 的 反 应。
自 那 时 起, 又 进 行 了 数 次 攻 击 和 分 析, 严 重 阻 碍 了 面 向 无 线 局 域 网 的 可 互 操 作 的 安 全 解 决 方 案 的 进 展。 美 国 英 特 尔 公 司、 思 科 公 司、 加 州 大 学 伯 克 利 分 校 以 及 马 里 兰 大 学 的 论 文 都 指 出 了 WEP 标 准 中 的 无 数 缺 陷。
在 任 何 通 过 无 线 媒 介 传 输 数 据 的 环 境 中, 都 必 须 具 备 安 全 保 护 措 施, 并 对 其 实 施 有 效 管 理。 就 无 线 局 域 网 而 言, 由 于 不 能 信 赖 媒 介 的 基 本 物 理 特 性 来 提 供 最 低 层 次 的 保 护, 其 信 任 模 式 就 与 有 线 局 域 网 不 同。 换 句 话 说, 单 是 因 为 无 线 的 关 系, 无 线 局 域 网 就 容 易 召 来 窃 听!
无 线 局 域 网 的 安 全 系 统 要 做 到 有 效, 就 必 须 解 决 下 面 三 个 安 全 问 题:
802.11网 络 中 的 每 一 个 节 点 都 使 用 一 个 网 络 名 称 (被 称 为 SSID, 即 服 务 集 标 识)。 在 接 通 一 个 特 定 的 接 入 点 (AP) 之 前, 用 户 可 能 被 要 求 输 入 此 AP 的 SSID 和 密 码 通 行 字。 不 幸 的 是, SSID 定 期 被 AP 播 放, 可 轻 易 探 测 到; 通 行 字 未 经 加 密 即 发 送, 而 且 允 许 无 限 多 次 的 尝 试。 这 些 都 削 弱 了 SSID 作 为 验 证 令 牌 的 作 用。 Wi-Fi 卡 的 媒 体 接 入 控 制 (MAC) 地 址 亦 可 用 于 验 证 和 授 权。 MAC 是 一 个 48 位 的 独 特 序 列 号 码, 每 一 个 以 太 网
类 型 的 装 置 都 分 配 到 一 个。 尽 管 接 入 控 制 清 单 不 是 802.11 标 准 的 一 部 分, 很 多 卖 主 还 是 允 许 使 用 接 入 控 制。 经 过 授 权 的 MAC 地 址 清 单 可 储 存 在 每 一 个 AP 内, 只 允 许 AP 的 接 入 控 制 清 单 上 有 其 MAC 地 址 的 客 户 端 装 置 接 通 此 AP 。 但 此 种 方 式 的 问 题 是, 攻 击 者 可 轻 易 探 查 到 与 AP 连 接 的 客 户 端 装 置 的 MAC 地 址, 因 为 它 们 从 来 都 是 不 经 加 密 的。 多 数 Wi-Fi 客 户 端 装 置 允 许 经 由 软 件 更 动 MAC 地 址, 因 此, 一 旦 获 得 了 一 个 有 效
的 MAC 地 址, 攻 击 者 可 轻 易 假 冒 为 正 当 用 户。
除 了 上 述 措 施 外, 802.11标 准 还 定 义 了 一 套 结 合 接 入 控 制、 数 据 保 密 和 数 据 完 好 性 的 体 系, 称 为 有 线 等 同 保 密 (WEP)。 它 针 对 下 列 问 题:
WEP 未 能 构 成 一 个 优 良 安 全 体 系 的 原 因, 在 于 试 图 将 RC4 用 于 验 证 和 保 密 两 项 功 能。 RC4 固 然 是 一 种 没 什 么 不 好 的 加 密 算 法, 但 它 未 得 到 正 确 运 用。 RC4 明 确 警 告 永 远 不 要 两 次 使 用 同 样 的 密 钥 资 料 - 无 论 负 载 是 什 么 - 因 为 它 只 是 一 种 简 单 的 XOR 流 密 码。 在 实 地 演 示 中, 计 算 机 黑 客 可 在 数 小 时 内 破 解 WEP 加 密。
IEEE 始 终 明 白 WEP 对 称 密 钥 方 式 的 安 全 影 响 以 及 实 施 问 题, 而 思 科 与 微 软 提 议 了 一 种 称 为 802.1x 的 解 决 方 案, 为 任 何 以 太 网 端 口 - 有 线 或 无 线 - 提 供 接 入 控 制。 目 前 正 等 候IEEE标 准 组 织 的 批 准。
802.1x 仍 然 使 用 WEP 算 法, 但 在 一 个 移 动 装 置 每 次 接 通 AP 时 都 产 生 和 散 布 一 个 新 的 对 称 密 钥, 也 就 是 每 一 次 用 户 会 话 有 一 个 新 的 密 钥。
这 就 大 幅 减 少 了 与 同 样 的 密 钥 一 起 传 输 的 数 据 量, 因 而 基 本 上 可 挫 败 伯 克 利 大 学 所 使 用 的 攻 击 方 法。
802.1x 采 用 Radius/LDAP 服 务 器 来 验 证 用 户 和 管 理 密 钥。 验 证 数 据 (用 户 名 和 通 行 字) 采 用 LEAP (轻 量 级 可 扩 展 验 证 协 议) 传 送。 新 的 WEP 密 钥 用 上 次 会 话 所 用 的 WEP 密 钥 对 其 加 密, 再 传 输 到 移 动 装 置, 或 用 默 认 的 WEP 密 钥 传 输 到 移 动 装 置。
由 于 无 线 局 域 网 的 环 境 与 有 线 局 域 网 完 全 不 同, 需 要 一 种 不 同 的 解 决 方 案。 为 无 线 局 域 网 保 障 安 全 的 早 期 方 式, 是 创 建 等 同 于 有 线 系 统 的 保 密 性: 那 是 一 个 必 要 因 素, 而 不 是 一 个 充 分 的 解 决 方 案。
链 路 层 安 全 的 设 计 宗 旨, 是 提 供 从 一 点 到 另 一 点 的 保 护 机 制。 其 基 础 假 设 是, 在 此 链 路 上 通 行 的 任 何 数 据 都 被 认 为 是 “生 来 平 等” 的, 即 所 传 输 的 数 据 之 间 没 有 内 在 差 异。 运 用 于 无 线 局 域 网 时, 链 路 层 (层 2) 安 全 只 提 供 关 于 网 络 接 入 的 粗 糙 决 策 (接 受 或 是 拒 绝)。
与 其 说 是 有 线 局 域 网 的 链 路 延 伸, 不 如 说 无 线 局 域 网 更 象 传 统 的 客 户 端/服 务 器 环 境。 无 线 网 络 要 求 能 够 精 确 识 别 数 据 的 来 源, 并 判 定 该 业 务 流 是 否 属 于 该 链 路。 从 根 本 上 说, 就 是 没 有 什 么 数 据 能 获 得 成 批 处 理。
为 无 线 局 域 网 提 供 验 证、 授 权、 服 务 控 制 和 安 全 管 理 的 传 统 基 础 设 施 解 决 方 案, 要 求 对 数 个 网 络 构 件 进 行 配 置 和 集 成。 这 些 构 件 往 往 都 有 不 同 的 用 户 界 面, 在 部 署 无 线 解 决 方 案 时 可 能 带 来 高 度 的 复 杂 性 和 配 置 错 误 的 风 险。
类 似 地, 最 终 用 户 对 安 全 性 可 能 关 心, 也 可 能 不 关 心; 在 很 多 情 况 下, 雇 主 的 关 心 程 度 比 他 们 高 得 多。 假 如 安 全 系 统 使 用 起 来 太 难 或 太 繁 琐, 用 户 会 设 法 绕 过 它。 因 此, 使 安 全 性 尽 可 能 透 明 是 一 项 关 键 设 计 目 标。
为 保 障 安 全, 无 线 局 域 网 需 要 提 供 改 进 的 接 入 控 制, 并 确 保 链 路 保 密 性 和 完 好 性。
对 最 终 用 户 的 验 证 技 术, 已 随 着 远 程 接 入 系 统 的 发 展 而 成 熟。 验 证 是 关 于 识 别 请 求 服 务 之 用 户 的 能 力。 采 用 最 新 技 术, 同 一 系 统 中 可 部 署 数 种 机 制。 验 证 需 要 在 用 户 层 面 进 行, 而 不 是 在 机 器 层 面。 理 想 情 况 下, 安 全 结 构 可 支 持 与 所 需 保 护 的 信 息 价 值 相 称 的 多 因 素 验 证。
验 证 的 威 力 来 自 于 多 种 信 息 因 素 的 综 合 使 用, 即: 你 知 道 的 (通 行 字), 你 拥 有 的 (硬 件 令 牌 卡、 数 字 证 书), 你 的 特 征 (生 物 测 量 数 据)。
授 权 是 确 定 一 个 已 通 过 验 证 的 用 户 是 否 具 有 访 问 所 请 求 之 资 源 的 特 权 的 过 程。
验 证 与 授 权 的 结 合 通 常 被 称 为 接 入 控 制。
管 理 联 网 系 统 的 一 个 挑 战 性 问 题 是 安 全 管 理。 现 今, 安 全 管 理 复 杂、 成 本 高, 而 且 易 于 出 错, 因 为 管 理 员 通 常 为 系 统 上 的 每 一 个 用 户 分 别 制 订 接 入 控 制 清 单。
基 于 角 色 的 接 入 控 制 (RBAC) 是 一 种 已 获 得 强 烈 认 同 的 技 术, 因 为 它 在 大 型 联 网 系 统 中 减 小 了 安 全 管 理 的 复 杂 性 和 成 本。
RBAC 确 定 须 由 特 定 职 位 人 员 执 行 的 任 务, 并 为 雇 员 分 配 合 适 的 角 色, 从 而 简 化 了 安 全 管 理。 RBAC 安 全 管 理 与 组 织 结 构 紧 密 相 符。 每 一 个 用 户 被 分 配 到 一 个 或 多 个 角 色, 而 每 一 个 角 色 被 分 配 到 该 角 色 用 户 被 许 可 的 一 个 或 多 个 特 权。
有 下 列 类 别 的 要 求: