3、无线局域网安全标准分析
3.1IEEE802.11安全标准:WEP
IEEE802.11标准通过有线对等保密协议WEP(WiredEquivalentPrivacy)来实现认证与数据加密 , 认证模式有Open Authentication和Shared Key Authentication两种 。WEP使用RSA Data Security公司的Ron Rivest发明的RC4流密码进行加密 。属于一种对称的流密码 , 支持可变长度的密钥 。
后来的研究表明 , RC4密钥算法有内在设计缺陷 。由于WEP中实施的RC4选择了24位初始化向量IV(InitialVector) , 而且不能动态专用加密密钥 , 因此这些缺陷在使用WEP的802.11加密帧中都有实际应用 。最典型的FMS攻击已经能够捕捉100万个包从而获得静态WEP密钥 。因此802.11中的WEP安全技术并不能够为无线用户提供足够的安全保护 。
3.2IEEE802.11i与WPA安全标准
为了使WLAN技术从这种被动局面中解脱出来 , IEEE802.11i工作组致力于制订新一代安全标准 , 主要包括加密技术:TKIP(TemporalKeyIntegrity Protocol)和AES(Advanced Encryption Standard) , 以及认证协议IEEE802.1x 。
认证方面 。IEEE802.11i采用802.1x接入控制 , 实现无线局域网的认证与密钥治理 , 并通过EAP-Key的四向握手过程与组密钥握手过程 , 创建、更新加密密钥 , 实现802.11i中定义的鲁棒安全网络(RobustSecurityNetwork , 简称RSN)的要求 。
;数据加密方面 , IEEE802.1li定义了TKIP(TemporalKeyIntegrity Protocol) , CCMP(Counter-Mode/CBC-MAC Protocol和WRAP(Wireless Robust Authenticated Protocol)三种加密机制 。
一方面 , TKIP采用了扩展的48位IV和IV顺序规则、密钥混合函数(KeyMixingFunction) , 重放保护机制和Michael消息完整性代码(安全的MIC码)这4种有力的安全措施 , 解决了WEP中存在的安全漏洞 , 提高了安全性 。就目前已知的攻击方法而言 , TKIP是安全的 。另一方面 , TKIP不用修改WEP硬件模块 , 只需修改驱动程序 , 升级起来也具有很大的便利性 。因此 , 采用TKIP代替WEP是合理的 。
但是TKIP是基于RC4的 , RC4已被发现存在问题 , 可能今后还会被发现其他的问题 。另外 , RC4一类的序列算法 , 其加解密操作只是简单的异或运算 , 在无线环境下具有一定的局限性 , 因此TKIP只能作为一种短期的解决方案 。
此外 , 802.11中配合AES使用的加密模式CCM和OCB , 并在这两种模式的基础上构造了CCMP和WRAP密码协议 。CCMP机制基于AES(AdvancedEncryptionStandard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式 , 使得WLAN的安全程度大大提高 。是实现RSN的强制性要求 。由于AES对硬件要求比较高 。因此CCMP无法通过在现有设备的基础上进行升级实现 。WRAP机制则是基于AES加密算法和OCB(OffsetCode book) 。
由于市场对于提高WLAN安全的需求十分紧迫 , 在IEEE802.11i标准最终确定前 , Wi-Fi联盟制定了WPA(Wi-FiProtectedAccess)标准作为代替WEP的向802.11i过渡的无线安全标准 。WPA是IEEE802.11i的一个子集 , 其核心就是IEEE802.1x和TKIP 。
3.3中国无线局域网安全标准:WAPI
WAPI , 即无线局域网鉴别和保密基础结构(WLANAuthenticationandPrivacy Infrastructure)是中国境内惟一合法的无线网络技术标准 。WAPI采用国家密码治理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法 , 实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护 , 旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状 , 从根本上解决安全问题和兼容性问题 。优秀的认证和安全机制使WAPI非常适合于运营商的PWLAN运营 。
WAPI由无线局域网鉴别基础结构(WLANAuthenticationInfrastructure , 简称WAI)和无线局域网保密基础结构(WLANPrivacy Infrastructure , 简称WPI)两部分组成 , WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密 。其中 , WAI采用公开密钥密码体制 , 利用公钥证书来对WLAN系统中的STA和AP进行认证 。WAI定义了一种名为认证服务单元ASU(Authentication Service Unit)的实体 , 用于治理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新) 。证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(这里的签名采用的是WAPI特有的椭圆曲线数字签名算法) , 是网络设备的数字身份凭证 。WPI采用对称密码算法实现对MAC层MSDU的加、解密操作 。
推荐阅读
- 乐富闪贷安全吗?乐富闪贷靠谱吗?
- 月经后几天是安全期?
- LMDS宽带无线技术的应用
- 拉卡拉pos机安全吗?
- 国家安全机关的职权有哪些
- 图解配置WLAN无线局域网全攻略
- 快速了解并掌握无线加密的方法
- 无线局域网技术与应用的经典问答
- BellSouth扩展乔治亚州WiMAX无线宽带服务
- 3.5GHz无线接入技术系统的框架