6g下載網
當前位置: 主頁 > 軟件教程 > 網絡技術 >

IEEE802.11i無線局域網安全技術

時間: 2014-09-02 00:47 來源: 通信廣角

分享到:

摘要

介紹了當前無線中的安全缺陷,分析了常見的無線局域網攻擊手段,并在研究無線局域早期802.11標準安全缺陷的基礎上重點分析了IEEE802.11i 標準中的安全機制和關鍵技術。

關鍵字

無線局域網安全IEEE802.11WPA TKIP EAP

引言

在無線局域網被廣泛采用之前,最需要解決的就是問題。的完全性是IT專業人士、業務管理者、承擔無線基礎設施安全責任的相關人員所必須關注的。

IEEE802.11是第一種無線標準,802.11標準涵蓋許多子集,并且每一個子集的側重點都不同,其中802.11a、802.11b和802.11g定義了核心的物理層規范,而802.11i是為解決802.11標準中的安全性問題而制訂的。

1.無線網絡安全技術及其缺陷的分析

由于802.11技術自身的特點,其安全問題已經引起了廣泛的關注。有的“黑客”利用無線局域網認證與加密的安全漏洞,在短至幾分鐘的時間內,就可以破解密鑰。802.11技術本身設置了認證和加密功能,但存在較大的安全隱患,以下加以說明。

1.1服務集標識符(SSID)

在無線局域網中,對多個點AP(AccessPoint)設置不同的SSID,并要求無線工作站出示正確的SSID才能訪問AP,這樣就可以允許不同群組的用戶接入,并對資源訪問的權限進行區別限制。

因此可以認為SSID是一個簡單的口令,從而保證一定程度的安全。但如果配置AP向外廣播其SSID,那么安全程度將下降。由于一般情況下,用戶自己配置客戶端系統,所以很多人都知道該SSID,很容易共享給非法用戶。目前有的廠家支持任何(ANY)SSID方式,只要無線工作站在任何AP范圍內,客戶端都會自動連接到AP,這將跳過SSID安全控制功能。

1.2物理地址過濾(MAC)

由于每個無線工作站的都有唯一的物理地址,因此可以在AP中手工維護一組允許訪問的MAC地址列表,實現物理地址過濾。這個方案要求AP中的MAC地址列表必須隨時更新,可擴展性差;而且MAC地址在理論上可以偽造,因此這也是較低級別的授權認證。

1.3無線對等保密(WEP)

在鏈路層采用RC4對稱加密技術,用戶的加密密鑰必須與AP的密鑰相同時才能獲準存取網絡的資源,從而防止非授權用戶的監聽以及非法用戶的訪問。WEP提供了40位和128位長度的密鑰機制,但是它仍然存在許多缺陷,例如一個服務區內的所有用戶都共享同一個密鑰,一個用戶丟失鑰匙將使整個網絡不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態的,要手工維護,擴展能力差。目前為了提高安全性,建議采用128位加密鑰匙。

2.IEEE802.11i安全機制進行的改進

2.1WPA(ProtectedAccess)

(Wi-FiProtectedAccess)作為802.11i標準的子集,包含了認證、加密和數據完整性校驗三個組成部分,是一個完整的安全方案。其核心是802.1x(端口訪問控制技術)和TKIP(Temporal Key Integrity Protocol)。

WPA是一種繼承了WEP基本原理而又解決了WEP缺點的新技術。由于加強了生成加密密鑰的算法,因此即便收集到分組信息并對其進行解析,也幾乎無法計算出通用密鑰。其原理為根據通用密鑰,配合表示電腦MAC地址和分組信息順序號的編號,分別為每個分組信息生成不同的密鑰,然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理,所有客戶端的分組信息所交換的數據將由各個不相同的密鑰加密而成。無論收集到多少這樣的數據,要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數據中途被篡改的功能和認證功能。由于具備這些功能,此前WEP中倍受指責的缺點得以全部解決。WPA不僅是一種比WEP更為強大的加密方法,而且有更為豐富的內涵。

2.2端口訪問控制技術

端口訪問控制技術(802.1x)是用于無線局域網的一種增強性網絡安全解決方案。當無線工作站STA與無線訪問點AP關聯后,是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過,則AP為STA打開這個邏輯端口,否則不允許用戶上網。802.1x要求無線工作站安裝802.1x客戶端軟件,無線訪問點要內嵌802.1x認證代理,同時它還作為Radius客戶端,將用戶的認證信息轉發給Radius。802.1x除提供端口訪問控制能力之外,還提供基于用戶的認證系統及計費,特別適合于公共無線接入解決方案。

2.3EAP(ExtensibleAuthentication)

IEEE802.11i協議使用了EAP(Extensible Authentication 通信協議) 以及802. 1x ,強迫使用者進行驗證以及交互驗證;并且使用了MIC(Message Integrit Code ,信息完整性編碼) 檢測傳送的字節是否有被修改的情況;此外使用TKIP(Temporal Key Integrity Protocol) 、CCMP (Counter - Mode/ CBC - MAC Protocol ) 和WRAP (WirelessRobust Authenticated Protocol) 三種加密機制,使加密的過程由原來的靜態變為動態,讓攻擊者更難以破解。

2.4AES(AdvancedEncryp2tionStandard) 標準

為了能提供更高級別的加密保護,802.11i(協議結構如圖1所示)采用了新的架構,支持新的AES(Advanced Encryp2tion Standard) 標準。其中TKIP 采用WEP 機制里的RC4 作為核心加密算法,可以通過在現有的設備上升級固件和驅動程序的方法達到提高WLAN 安全性的目的。CCMP 機制基于AES(Advancde EncryptionStandard) 加密算法和CCM(Counter - Mode/ CBC - MAC) 認證方式,使得WLAN 的安全程度大大提高,是實現RSN 的強制性要求。由于AES 對硬件要求比較高,因此CCMP 無法通過在現有設備的基礎上進行升級實現。

TKIP在基于RC4加密算法的基礎上引入了4個新算法:

(1)擴展的48位初始化向量(IV)和IV順序規則(IVSequencingRules);

(2)每包密鑰構建機制(per-packetkeyconstruction);

(3)Michael消息完整性代碼(MessageIntegrityCode,MIC);

(4)密鑰重新獲取和分發機制。

IEEE802.11i無線局域網安全技術

TKIP并不直接使用由PTK/GTK分解出來的密鑰作為加密報文的密鑰,而是將該密鑰作為基礎密鑰(BaseKey) ,經過兩個階段的密鑰混合過程,從而生成一個新的、每一次報文傳輸都不一樣的密鑰,該密鑰才是用做直接加密的密鑰,通過這種方式可以進一步增強WLAN 的安全性。密鑰的生成過程如圖2所示。

IEEE802.11i無線局域網安全技術

CCMP(Counter-Mode/CBC-MACProtocol)除了TKIP算法以外,802.11i 還規定了一個基于AES(高級加密標準) 加密算法的CCMP數據加密模式。與TKIP相同,CCMP 也采用48位初始化向量(IV) 和IV順序規則,其消息完整檢測算法采用CCM算法。

AES是一種對稱的塊加密技術,使用128bit分組加密數據,提供WEP/TKIP中RC4 算法更高的加密性能。對稱密碼系統要求收發雙方都知道密鑰,而此系統的最大困難在于如何安全地將密鑰分配給收發的雙方,特別是在網絡環境中。

3.結束語

在無線網絡的發展中,安全問題是所有問題的焦點,而在802.11i標準中加入了新的安全措施,加強了無線網的安全性,很好地解決了現有無線網絡的安全缺陷和隱患。安全標準的完善,無疑將有利于推動WLAN應用。網絡的安全不僅與加密認證等機制有關,而且還需要入侵檢測、防火墻等技術的配合來共同保障,因此無線局域網的安全需要從多層次來考慮,綜合利用各種技術來實現。

(責任編輯:6g下載網)
標簽:

分享到:

------分隔線----------------------------
? 35选7福利彩票