IEEE802.11i的網絡構架和安全改進

2019-11-05 02:33:24

字體：大中小

來源：轉載

供稿：網友

　　安全性對于無線局域網來說可謂老生常談，自它誕生之日起，與其靈活便捷的優勢共存的就是安全漏洞這個揮之不去的陰影。據統計，不愿采用無線局域網的理由中，安全問題高居第一位，達40%以上，已經成為阻礙WLAN進入信息化應用領域的最大障礙。現有的安全機制由于不能提供足夠安全的基礎建設模塊，讓解決WLAN安全成本的負擔轉移到整個WLAN價值鏈上的產品制造廠商、系統集成商和用戶，這種不合理的成本轉嫁使市場上產生了多種安全安裝解決方案，而最終用戶為了能夠實施設備廠商提供的多種安全安裝方案而不斷付出更多的安全成本。
　　
　　為了使WLAN技術從這種被動局面中解脫出來， IEEE 802.11i工作組致力于制訂被稱為IEEE 802.11i的新一代安全標準，
　　
　　802.11i的網絡構架
　　802.11i標準規定了兩種網絡構架：過渡安全網絡(TSN)和強健的安全網絡(RSN)。
　　
　　TSN：規定在其網絡中可以兼容現有的使用WEP方式工作的設備，使現有的無線局域網系統可以向802.11i網絡平穩過渡。市場對于提高WLAN安全的需求是十分緊迫的，IEEE 802.11i不能解決上述RSN對于現有設備升級困難的問題，標準的制定進展也不能完全滿足這一需要。因此，TSN的發展和制定就顯得十分重要。
　　
　　在這種情況下，Wi-Fi聯盟制定了WPA（Wi-Fi PRotected access）標準，作為向IEEE 802.11i過渡的中間標準。這一標準采用了IEEE 802.11i的草案，保證了與未來出現的協議的前向兼容。
　　
　　RSN：為了使WLAN技術從這種被動局面中解脫出來， IEEE 802.11的i工作組致力于制訂被稱為IEEE 802.11i的新一代安全標準，這種安全標準為了增強WLAN的數據加密和認證性能，定義了RSN(Robust Security Network，健壯安全網絡)的概念，并且針對WEP加密機制的各種缺陷做了多方面的改進。
　　
　　IEEE 802.11i的安全改進：
　　相比以往的無線安全協議，IEEE 802.11i具有以下一些技術優勢：
　　
　　WLAN底層引入AES算法，克服WEP的缺陷
　　有線對等保密(WEP)協議的缺陷延緩了無線局域網(WLAN)在許多企業內的應用和普及。無線局域網網絡會暴露某個網絡，因此，從安全的角度來講，不能像核心企業網絡而必須像接入網絡那樣來對待。假如企業用戶通過一個局域網交換中心互相連接，人們就可認為他們已經成為信任用戶。
　　
　　WEP在接入點和客戶端之間以“RC4”方式對分組信息進行加密的技術，密碼很輕易被破解。WEP使用的加密密鑰包括收發雙方預先確定的40位（或者104位）通用密鑰，和發送方為每個分組信息所確定的24位、被稱為IV密鑰的加密密鑰。但是，為了將IV密鑰告訴給通信對象，IV密鑰不經加密就直接嵌入到分組信息中被發送出去。假如通過無線竊聽，收集到包含特定IV密鑰的分組信息并對其進行解析，那么就連秘密的通用密鑰都可能被計算出來。
　　
　　為了幫助堵住無線局域網中的安全漏洞，IEEE 802.11工作組建立了802.11i任務小組，為802.11標準開發安全升級。802.11i規定了一個基于“高級加密標準”AES加密算法的CCMP(Counter-Mode/CBC-MAC Protocol)數據加密模式CCMP，以實施更強大的加密和信息完整性檢查。
　　
　　AES是1997年1月由NIST提出的，其目的是開發一種新的能保證政府信息安全的編碼算法。AES是一種對稱的塊加密技術，提供比WEP/TKip中RC4算法更高的加密性能。對稱密碼系統要求收發雙方都知道密鑰，而這種系統的最大困難在于如何安全地將密鑰分配給收發的雙方，非凡是在網絡環境中。AES加密算法使用128bit分組加碼數據。
　　
　　它的輸出更具有隨機性，對128比特、輪數為7的密文進行攻擊時需要幾乎整個的密碼本，對192、256比特加密的密文進行攻擊不僅需要密碼本，還需要知道相關的但并不知道密鑰的密文，這比WEP具有更高的安全性，攻擊者要獲取大量的密文，耗用很大的資源，花費更長的時間破譯。它解密的密碼表和加密的密碼表是分開的，支持子密鑰加密，這種做法優于最初的用一個非凡的密鑰解密，很輕易防護冪攻擊和同步攻擊，加密和解密的速度快，在安全性上優于WEP。
　　
　　AES算法支持任意分組的大小，密鑰的大小為128、192、256，可以任意組合。它初始時間快，其固有的并行性可以有效地利用處理器資源，有很好的軟件性能。在加密和解密分別進行的時候，很適合有限距離的環境，并且對ROM和RAM要求很低；當加密和解密同時進行的時候，對ROM要求有所上升，但仍適合距離有限的環境。AES還適用于交叉存取和非交叉存取兩種情況。在這兩種情況下，它的性能幾乎沒有變化，這使得DSP設備可以有效地優化其密碼。此外，AES還具有應用范圍廣、等待時間短、相對輕易隱藏、吞吐量高的優點。經過比較分析，可知此算法在性能等各方面都優于WEP，利用此算法加密，無線局域網的安全性會獲得大幅度提高，從而能夠有效地防御外界攻擊。
　　
　　采用WPA規范使現有設備向IEEE802.11i平穩過渡
　　企業對無線局域網技術的主要擔心是Wi-FI技術缺少一個可靠的安全標準。而WiFi聯盟為了滿足現在市場的需求，制定了WPA(Wi-Fi Protected Access)標準作為一種可替代 WEP的無線安全技術，在 IEEE 802.11i 標準最終確定前，將為IEEE 802.11 無線局域網 (WLAN)提供更強大的安全性能。
　　
　　WPA是IEEE 802.11i的一個子集，其核心就是IEEE 802.1x和TKIP。IEEE 802.11i與WPA的關系如圖2所示。
　　
　　WPA考慮到了不同的用戶和不同的應用安全需要，例如：企業用戶需要很高的安全保護（企業級），否則可能會泄漏非常重要的商業機密；而家庭用戶往往只是使用網絡來瀏覽 Internet、收發Email、打印和共享文件，這些用戶對安全的要求相對較低。為了滿足不同要求用戶的需要，WPA中規定了兩種應用模式：
　　
　　企業模式。通過使用認證服務器和復雜的安全認證機制來保護無線網絡通信安全。
　　
　　家庭模式（包括小型辦公室）。在AP（或者無線路由器）以及連接無線網絡的無線終端上輸入共享密鑰來保護無線鏈路的通信安全。
　　
　　WPA是繼續了WEP基本原理而又解決了WEP缺點的一種新技術。由于WPA利用暫時密鑰完整協議(TKIP)作為改進WEP所使用密鑰的安全性的協議和算法，加強了生成加密密鑰的算法，因此即便收集到分組信息并對其進行解析，也幾乎無法計算出通用密鑰。另外，TKIP與WEP一樣將此密鑰用于RC4加密處理。WPA和以AES加密方式工作的11i不同，可以以軟件方式和附加硬件設備實現的，避免了更換硬件帶來的成本問題。WPA還采用IEEE 802.11x來實現防止數據中途被篡改的功能和認證功能。
　　　 IEEE802.11i的網絡構架和安全改進（圖一）