淺析WLAN運營(yíng)中Portal認證安全性
2009/11/13
WLAN運營(yíng)有多種認證方式,但最常用的方式為彈出Portal登錄頁(yè)面。即:用戶(hù)搜索到運營(yíng)商的AP后,連接進(jìn)去獲得IP地址,打開(kāi)瀏覽器,輸入賬號和密碼便可登錄,如下圖所示。
這種方式雖然簡(jiǎn)單方便,但由于A(yíng)P的接入沒(méi)有采用WEP和WPA2等加密方式,空中信道很容易被偵查破解,黑客能夠截獲空中傳輸的賬號和密碼。因此該方式安全性較低。
如何提高登錄頁(yè)面的安全性呢?據城市熱點(diǎn)總結,目前大部分WLAN運營(yíng)商采用以下幾種方案:
- Portal服務(wù)器與BRAS和Radius服務(wù)器采用CHAP的認證方式
- HTTPS的登錄頁(yè)面方式
- 手機短信獲得動(dòng)態(tài)密碼的方式
下面城市熱點(diǎn)將對這三種方式進(jìn)行論述與比較。
1.方案1的認證方式最為簡(jiǎn)單實(shí)用,也非常安全。其中Radius標準提供了兩種可選的身份認證方法:口令驗證協(xié)議PAP(Password Authentication
Protocol,PAP)和質(zhì)詢(xún)握手協(xié)議(Challenge Handshake Authentication Protocol,CHAP)。如果雙方協(xié)商達成一致,也可以不使用任何身份認證方法。質(zhì)詢(xún)握手協(xié)議認證(CHAP)相比口令驗證協(xié)議認證(PAP)安全性更高,因為CHAP不在線(xiàn)路上發(fā)送明文密碼,而是發(fā)送經(jīng)過(guò)摘要算法加工過(guò)的隨機序列,也被稱(chēng)為"挑戰字符串".如下圖所示。
與此同時(shí),身份認證可以隨時(shí)進(jìn)行,包括在雙方正常通信過(guò)程中。因此,這種方式下傳輸的密碼具有時(shí)效性。
采用PAP的認證方式,密碼是明碼或者采用可逆算法傳輸,而且可以通過(guò)查看登錄頁(yè)面的源代碼查到加密的算法,因此可以很容易地找到破解的算法。而CHAP采用MD5的加密方式是不可逆的,算法是公開(kāi)的,也就是說(shuō)偵聽(tīng)者無(wú)法從加密后的結果去反算出密碼,在整個(gè)認證過(guò)程中的只有Radius
server和用戶(hù)知道密碼,包括BRAS等接入設備也只是傳輸MD5加密后的結果,加密采用一個(gè)挑戰值的方式,每次認證都不一樣,加密的結果也是每次不同,即使被黑客獲得,也會(huì )在下一次認證時(shí)失效。
2. Https的登錄頁(yè)面方式,安全性是最高的,因為動(dòng)態(tài)SSL的證書(shū)加密方式,目前無(wú)法破解,但是需要portal服務(wù)器購買(mǎi)正式的網(wǎng)站證書(shū),成本也比較高。
3.目前移動(dòng)運營(yíng)商多數采用手機短信獲得動(dòng)態(tài)密碼的方式,密碼僅在10-20分鐘有效,這種方式與CHAP的安全機制有異曲同工之處,均采用限制密碼的有效周期這一手段。該方法雖安全性高,但每次至少使用一條短信,成本也就隨之升高,并且操作手段相對繁瑣。
通過(guò)上述論證,城市熱點(diǎn)認為這三種方式彼此獨立,互不矛盾,都是提高運營(yíng)商認證安全的很好方法,也可混合使用。作為寬帶計費第一品牌,城市熱點(diǎn)提供的整體解決方案中均涵蓋了這三種方式,可根據用戶(hù)的需求提供最佳方案,揚長(cháng)避短,以達到最優(yōu)結果!
CTI論壇編輯
相關(guān)閱讀:
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
隆安县|
绿春县|
永州市|
望奎县|
常宁市|
陆良县|
宣武区|
固始县|
巴东县|
霍州市|
丽江市|
苏州市|
乐业县|
河西区|
南皮县|
上栗县|
绥宁县|
巨野县|
志丹县|
岳普湖县|
溧水县|
肇源县|
富裕县|
依安县|
长汀县|
黄大仙区|
大宁县|
洛扎县|
西畴县|
思南县|
资源县|
宿迁市|
吐鲁番市|
两当县|
察哈|
永定县|
嘉峪关市|
玉山县|
彰化市|
抚松县|
新密市|
http://444
http://444
http://444
http://444
http://444
http://444