?? WLAN技術標準制定者IEEE 802.11工作組從一開始就把安全作為關鍵的課題。最初的IEEE 802.11-1999協(xié)議所定義的WEP機制(WEP本意是"等同有線的安全")存在諸多缺陷,所以IEEE 802.11在2002年迅速成立了802.11i工作組,提出了AES-CCM等安全機制。此外,我國國家標準化組織針對802.11和802.11i標準中的不足對現(xiàn)有的WLAN安全標準進行了改進,制定了WAPI標準。???
?? 按照安全的基本概念,安全主要包括:?
?? ◆認證(Authenticity)???
?? 確保訪問網絡資源的用戶身份是合法的;?
?? ◆加密(Confidentiality)???
?? 確保所傳遞的信息即使被截獲了,截獲者也無法獲得原始的數(shù)據(jù);?
?? ◆完整性(Integrity)???
?? 如果所傳遞的信息被篡改,接收者能夠檢測到;???
?? 此外,還需要提供有效的密鑰管理機制,如密鑰的動態(tài)協(xié)商,以實現(xiàn)無線安全方案的可擴展性。???
?? 可以說WLAN安全標準的完善主要都是圍繞上述內容展開的,所以我們可以圍繞這些方面來理解無線安全標準。
?? 1.IEEE 802.11-1999安全標準???
?? IEEE 802.11-1999把WEP機制作為安全的核心內容,包括了:?
?? ◆身份認證采用Open system認證和共享密鑰認證
?? 前者無認證可言,后者容易造成密鑰被竊??;?
?? ◆數(shù)據(jù)加密采用RC4算法
?? 加密密鑰長度有64位和128位兩種,其中有24Bit的IV是由WLAN系統(tǒng)自動產生的,需要在AP和Station上配置的密鑰就只有40位或104位。RC4并不是很弱的加密算法,安全的漏洞在于IV。IV存在的目的是要破壞加密結果的規(guī)律,實現(xiàn)每次加密的結果都不同,但是長度太短了。在流量較大的網絡,IV值很容易出現(xiàn)被重用。2001年8月,Scott Fluhrer、Itsik Mantin和Adi Shamir公開了對WEP的分析報告,展示了完全可能在1分鐘內(關鍵在WLAN流量足夠大)完成對WEP的破解。?
?? ◆完整性校驗采用了ICV
?? 802.11報文中定義了ICV域,發(fā)送者使用(CRC-32)checksum算法計算報文的ICV,附加在MSDU后,ICV和MSDU一起被加密保護。接收者解密報文后,將本地計算的CRC-32結果和ICV進行比較,如果不一致,則可以判定發(fā)生了報文篡改。CRC-32算法本身很弱,可以通過bit-flipping attack篡改報文,而讓接收者無法察覺。?
?? ◆密鑰管理不支持動態(tài)協(xié)商,密鑰只能靜態(tài)配置,完全不適合企業(yè)等大規(guī)模部署場景。
?? 2.IEEE 802.11i標準
?? IEEE 802.11i工作組針對802.11標準的安全缺陷,進行了如下改進:?
?? ◆認證基于成熟的802.1x、Radius體系;?
?? ◆數(shù)據(jù)加密采用TKIP和AES-CCM;?
?? ◆完整性校驗采用Michael和CBC算法;?
?? ◆基于4次握手過程實現(xiàn)了密鑰的動態(tài)協(xié)商。
?? 下面對802.1x、TKIP和AES-CCM等技術進行更詳細的介紹。
?? 802.1x接入認證
?? IEEE802.1x體系包括如下三個實體:
?? ◆客戶端(Supplicant):接收認證的客戶端,如WLAN終端(STA)。?
?? ◆認證系統(tǒng)(Authenticator):在無線網絡中就是無線接入點AP或者具有無線接入點AP功能的通信設備。其主要作用是完成用戶認證信息(802.1x報文)在客戶端和認證服務器之間的傳遞,控制用戶是否可以接入到網絡中。 ?
?? ◆認證服務器(Authentication Server):檢驗客戶端的身份是否合法,通知認證系統(tǒng)是否可以讓客戶端接入。一般普遍采用Radius作為認證服務器。
?? IEEE 802.1x并不是專為WLAN設計的,它已經在有線網絡中被廣泛應用。重用這個成熟的認證體系,確保了WLAN安全建立在了一個成熟的基礎之上,實現(xiàn)了有線和無線共用認證體系。為了適應WLAN的特點,IEEE 802.11i對IEEE 802.1x進行了增強補充,包括支持EAPOL-Key的協(xié)商過程等,以幫助完成設備端和客戶端進行動態(tài)密鑰協(xié)商和管理。
?? IEEE 802.1x比較適合企業(yè)等應用環(huán)境??紤]到家庭等用戶不需要部署Radius來完成用戶身份認證,所以802.11i還定義了預共享密鑰來讓用戶直接在WLAN設備和無線終端上配置PMK。此外,為了確保兼顧漫游的安全和快速性,802.11i還定義了key cache和預認證機制。
?? IEEE 802.11i 4次握手
?? 無論是AES還是TKIP加密,密鑰的動態(tài)協(xié)商是在WLAN終端和WLAN設備間(如AP)完成的。802.1x認證過程既完成了用戶身份的認證,又協(xié)商出了Master key,基于后者可以計算出PMK。由于PMK只被WLAN終端和Radius server所知道,而802.11i的密鑰協(xié)商過程并不需要Radius Server參與,所以Radius Server需要將該PMK傳遞給WLAN設備。
?? 整個802.11i密鑰協(xié)商過程由于涉及4次握手報文,所以一般稱為4次握手。4次握手結束后,將協(xié)商出用于單播密鑰加密的PTK和用于組播加密的GTK。PTK和GTK都是臨時的,滿足一定條件(如時間)就會重新動態(tài)協(xié)商。
?? TKIP加密
?? TKIP與WEP一樣基于RC4加密算法,但相比WEP算法,將WEP密鑰的長度由40位加長到128位,初始化向量IV的長度由24位加長到48位,并對現(xiàn)有的WEP進行了改進,即追加了"每發(fā)一個包重新生成一個新的密鑰(Per Packet Key)"、"消息完整性檢查(MIC)"、"具有序列功能的初始向量"和"密鑰生成和定期更新功能"四種算法,極大地提高了加密安全強度。此外,基于4次握手所提供的會話密鑰動態(tài)協(xié)商,更提高了安全性。
?? 雖然TKIP針對WEP加密做了極大的改進工作,但改進并不完美。TKIP加密和WEP加密一樣都是以RC4算法為核心,RC4算法本身存在一定缺陷,初始化向量IV長度的增加也只能在有限程度上提高破解難度,比如延長破解信息收集時間,并不能從根本上解決問題。因此TKIP只能作為一種臨時的過渡方案。
?? CCMP加密
?? CCMP提供了加密、認證、完整性和重放保護。CCMP是基于CCM方式的,該方式使用了AES(Advanced Encryption Standard)加密算法,結合了用于加密的Counter Mode(CTR)和用于認證和完整性的加密塊鏈接消息認證碼(CBC-MAC),保護MPDU數(shù)據(jù)和IEEE 802.11 MPDU幀頭部分域的完整性。AES是一種對稱的塊加密技術,提供比WEP/TKIP中RC4算法更高的加密性能。AES加密算法使用128bit分組加碼數(shù)據(jù),相比WEP,攻擊者要獲取大量的密文,耗用很大的資源,花費更長的時間破譯。AES具有應用范圍廣、等待時間短、相對容易隱藏、吞吐量高的優(yōu)點,算法在性能等各方面都優(yōu)于WEP和TKIP。AES-CCM目前是IEEE 802.11工作組在無線加密方面的終極方案。
?? 3.中國WAPI安全標準
?? 針對WLAN安全問題,中國制定了自己的WLAN安全標準:WAPI。與其它WLAN安全體制相比,WAPI認證的優(yōu)越性集中體現(xiàn)在以下幾個方面:?
??
?? ◆支持雙向鑒別
?? 在WAPI安全體制下,STA和AP處于對等的地位,二者均具有驗證使用的獨立身份,在公信的第三方AS控制下相互進行鑒別:AP可以驗證STA的合法性;而STA同樣也可以驗證AP的合法性。
?? 這種雙向鑒別機制既可防止假冒的STA接入WLAN網絡,同時也可杜絕假冒的AP提供非法接入服務。而在其它WLAN安全體制下,只能實現(xiàn)AP對STA的單向鑒別。?
?? ◆使用數(shù)字證書
?? WAPI使用數(shù)字證書作為用戶身份憑證,在方便了安全管理的同時也提升了WLAN網絡的安全性。
?? 當STA或AP退出或加入WLAN網絡時,只需吊銷其證書或頒發(fā)新證書即可,這些操作均可在證書服務器上完成,管理非常方便。而其它WLAN安全機制則多使用用戶名和口令作為用戶的身份憑證,易被盜用。
?? 從認證等方面看,WAPI標準主要內容包括:?
?? ◆認證基于WAPI獨有的WAI協(xié)議,使用證書作為身份憑證;?
?? ◆數(shù)據(jù)加密采用SMS4算法;?
?? ◆完整性校驗采用了SMS4算法; ?
?? ◆基于3次握手過程完成單播密鑰協(xié)商,兩次握手過程完成組播密鑰協(xié)商。
?? 無線入侵檢測系統(tǒng)
?? 前面介紹的安全標準都是一種被動的安全機制,即通過提高系統(tǒng)自身對威脅的免疫力來抵御進攻。事實上,對于DOS攻擊這些攻擊模式,這些安全手段是無能為力的。需要一種手段來幫助網絡管理者能夠主動地發(fā)現(xiàn)網絡中的隱患,在第一時間對無線攻擊者進行主動防御和反攻擊。這種技術就是無線入侵檢測系統(tǒng)。
?? 它的基本原理是在網絡中部署一些AP并配置它們工作在監(jiān)聽模式,捕捉空間中傳播的無線報文。通過對這些報文的特征進行分析,識別出特定類型的攻擊方式,然后第一時間將安全威脅通知到管理員。此外,系統(tǒng)還可以向這些攻擊源進行干擾攻擊,也可以結合無線定位系統(tǒng)對非法用戶和WLAN設備進行位置定位。
?? 通常入侵檢測系統(tǒng)主要提供如下功能:?
?? ◆非法AP檢測
?? 可以自動監(jiān)測非法設備(例如Rouge AP,或者Ad Hoc無線終端),并適時上報網管中心,同時對非法設備的攻擊可以
關鍵詞標簽:WLAN
相關閱讀
熱門文章 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網絡安全管理軟件-PCHunter使用教程 騰訊QQ密碼防盜十大建議
人氣排行 火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網速 火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法 網絡安全管理軟件-PCHunter使用教程 xp系統(tǒng)關閉445端口方法_ 教你如何關閉xp系統(tǒng)445端口 什么是IPS(入侵防御系統(tǒng)) 企業(yè)網絡安全事件應急響應方案 ARP協(xié)議的反向和代理 Windows Server 2008利用組策略的安全設置