|
無線局域網(wǎng)安全技術白皮書
資源天下 2019/8/28 18:57:35
(接上頁)(4)將新的PN和Key ID置入8字節(jié)的CCMP頭部�;
(5)CCM最初的處理使用臨時密鑰TK,AAD���,Nonce和MPDU數(shù)據(jù)組成密文和MIC����;
(6)加密后的MPDU由最初的MPDU幀頭��,CCMP頭部�����,加密過的數(shù)據(jù)和MIC組成����。
當AP從STA接收到802.11數(shù)據(jù)幀時,滿足以下條件則進行CCMP解密���;
(1)WPA/802.11i STA協(xié)商使用CCMP加密�;
(2)Temp key已經(jīng)協(xié)商并安裝完成。
解密過程:
圖2.11 CCMP解密過程圖
(1)解析加密過的MPDU����,創(chuàng)建AAD和Nonce值����;
(2)AAD是由加密過的MPDU頭部形成的;
(3)Nonce值是根據(jù)A2����,PN和優(yōu)先級字節(jié)(保留,各位置0)創(chuàng)建而來�����;
(4)提取MIC對CCM進行完整性校驗�;
(5)CCM接收過程使用臨時密鑰,AAD����,Nonce,MIC和MPDU加密數(shù)據(jù)來解密得到明文�,同時對AAD和MPDU明文進行完整性校驗;
(6)從CCM接收過程收到的MPDU頭部和MPDU明文數(shù)據(jù)連接起來組成一個未加密的MPDU;
(7)解密過程防止了MPDUs的重放��,這種重放通過確認MPDU里的PN值比包含在會話里的重放計數(shù)器大來實現(xiàn)���,接著進行檢查重放���,解密失敗的幀直接丟棄。
相比前面的安全方法,IEEE 802.11i具有以下一些技術優(yōu)勢:
(1)在WLAN底層引入AES算法���,即加密和解密一般由硬件完成����,克服WEP的缺陷�����,有線對等保密(WEP)協(xié)議的缺陷延緩了無線局域網(wǎng)(WLAN)在許多企業(yè)內(nèi)的應用和普及��。無線局域網(wǎng)網(wǎng)絡會暴露某個網(wǎng)絡����,因此,從安全的角度來講�,不能像核心企業(yè)網(wǎng)絡而必須像接入網(wǎng)絡那樣來對待����。如果企業(yè)用戶通過一個局域網(wǎng)交換中心互相連接����,人們就可認為他們已經(jīng)成為信任用戶。
(2)無論是wep加密還是tkip加密都是以rc4算法為核心��,由于rc4算法本身的缺陷�����,在接入點和客戶端之間以“RC4”方式對分組信息進行加密的技術�����,密碼很容易被破解��。AES是一種對稱的塊加密技術���,提供比WEP/TKIP中RC4算法更高的加密性能。對稱密碼系統(tǒng)要求收發(fā)雙方都知道密鑰��,而這種系統(tǒng)的最大困難在于如何安全地將密鑰分配給收發(fā)的雙方��,特別是在網(wǎng)絡環(huán)境中,11i體系使用802.1x認證和密鑰協(xié)商機制來管理密鑰�����。AES加密算法使用128bit分組加碼數(shù)據(jù)�����。 它的輸出更具有隨機性���,對128比特����、輪數(shù)為7的密文進行攻擊時需要幾乎整個的密碼本���,對192���、256比特加密的密文進行攻擊不僅需要密碼本,還需要知道相關的但并不知道密鑰的密文���,這比WEP具有更高的安全性�����,攻擊者要獲取大量的密文�,耗用很大的資源,花費更長的時間破譯�����。它解密的密碼表和加密的密碼表是分開的���,支持子密鑰加密�����,這種做法優(yōu)于最初的用一個特殊的密鑰解密��,很容易防護冪攻擊和同步攻擊,加密和解密的速度快���,在安全性上優(yōu)于WEP�。
(3)AES算法支持任意分組的大小�,密鑰的大小為128、192���、256���,可以任意組合�。此外�����,AES還具有應用范圍廣�、等待時間短、相對容易隱藏�����、吞吐量高的優(yōu)點���。經(jīng)過比較分析����,可知此算法在性能等各方面都優(yōu)于WEP和tkip��,利用此算法加密�����,無線局域網(wǎng)的安全性會獲得大幅度提高�,從而能夠有效地防御外界攻擊��。
3. 無線局域網(wǎng)的安全策略
當我們使用了802.1x�����、EAP���、AES和TKIP之后,還需要了解其中的一些問題�,這些是建立安全WLAN網(wǎng)絡環(huán)境必須的。首先�����,IEEE 802.11i工作小組所建立的TKIP�,是為了快速修正WEP的嚴重問題。TKIP在算法上與WEP相同����,也是使用RC4算法���,但這種算法并不是最理想的選擇�。使用AES能把原來的問題解決得更好�����,但是AES無法與原有的802.11架構兼容,需要升級軟硬件�����。第二�����,一些新的協(xié)議���、技術的加入��,與原有802.11混合在一起�,使得整個網(wǎng)絡結構更加復雜����,同時也增加了處理的負擔,導致網(wǎng)絡性能降低�。新的技術讓生產(chǎn)廠商和網(wǎng)絡用戶有更多的可選擇性,但同時也帶來了兼容性的問題���。第三�,對于用戶來說,在購買設備前���,需要了解產(chǎn)品能提供怎樣的功能����,有怎樣的兼容性要求���。例如�����,從公司A購買了AP��,然后從公司B和C購買了無線網(wǎng)卡����,很可能存在因兼容性導致某些功能無法使用的問題����。
從企業(yè)角度而言,隨著無線網(wǎng)絡應用的推進���,企業(yè)需要更加注重無線網(wǎng)絡安全的問題���,針對不同的用戶需求,提出一系列不同級別的無線安全技術策(未完����,下一頁)
|
|
|