|
無(wú)線局域網(wǎng)的安全技術(shù)研究
(作者未知) 2010/3/30
(接上頁(yè))以來(lái)�,它的安全機(jī)制就遭到了廣泛的抨擊,主要問(wèn)題如下:
(1) WEP加密存在固有的缺陷�����,它的密鑰固定且比較短(只有64-24=40bits)。
(2) IV的使用解決了密鑰重用的問(wèn)題��,但是IV的長(zhǎng)度太短����,強(qiáng)度并不高�����,同時(shí)IV多以明文形式傳輸����,帶來(lái)嚴(yán)重的安全隱患。
(3) 密鑰管理是密碼體制中最關(guān)鍵的問(wèn)題之一���,但是802.11中并沒(méi)有具體規(guī)定密鑰的生成��、分發(fā)����、更新���、備份����、恢復(fù)以及更改的機(jī)制。
(4) WEP的密鑰在傳遞過(guò)程中容易被截獲�����。
所有上述因素都增加了以WEP作為安全手段的WLAN的安全風(fēng)險(xiǎn)�。目前在因特網(wǎng)上已經(jīng)出現(xiàn)了許多可供下載的WEP破解工具軟件,例如WEPCrack和AirSnort�����。
4 WLAN安全的增強(qiáng)性技術(shù)
隨著WLAN應(yīng)用的進(jìn)一步發(fā)展���,802.11規(guī)定的安全方案難以滿(mǎn)足高端用戶(hù)的需求����。為了推進(jìn)WLAN的發(fā)展和應(yīng)用��,業(yè)界積極研究����,開(kāi)發(fā)了很多增強(qiáng)WLAN安全性的方法���。
4.1 802.1x擴(kuò)展認(rèn)證協(xié)議
IEEE 802.1x使用標(biāo)準(zhǔn)安全協(xié)議(如RADIUS)提供集中的用戶(hù)標(biāo)識(shí)、身份驗(yàn)證����、動(dòng)態(tài)密鑰管理�����;802.1x認(rèn)證體系結(jié)構(gòu)��,其認(rèn)證機(jī)制是由用戶(hù)端設(shè)備�、接入設(shè)備��、后臺(tái)RADIUS認(rèn)證服務(wù)器三方完成��。IEEE 802.1x 通過(guò)提供用戶(hù)和計(jì)算機(jī)標(biāo)識(shí)�、集中的身份驗(yàn)證以及動(dòng)態(tài)密鑰管理,可將無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)減小到最低程度��。在此執(zhí)行下�,作為RADIUS客戶(hù)端配置的無(wú)線接入點(diǎn)將連接請(qǐng)求發(fā)送到中央RADIUS服務(wù)器。中央RADIUS服務(wù)器處理此請(qǐng)求并準(zhǔn)予或拒絕連接請(qǐng)求。如果準(zhǔn)予請(qǐng)求��,根據(jù)所選身份驗(yàn)證方法�����,該客戶(hù)端獲得身份驗(yàn)證���,并且為會(huì)話生成唯一密鑰����。然后���,客戶(hù)機(jī)與AP激活WEP�,利用密鑰進(jìn)行通信��。
為了進(jìn)一步提高安全性��,IEEE 802.1x擴(kuò)展認(rèn)證協(xié)議采用了WEP2算法�,即將啟動(dòng)源密鑰由64位提升為128位。
移動(dòng)節(jié)點(diǎn)可被要求周期性地重新認(rèn)證以保持一定的安全級(jí)����。
4.2 WPA保護(hù)機(jī)制
Wi-Fi Protected Access(WPA�,Wi-Fi保護(hù)訪問(wèn))是Wi-Fi聯(lián)盟提出的一種新的安全方式�����,以取代安全性不足的WEP���。WPA采用了基于動(dòng)態(tài)密鑰的生成方法及多級(jí)密鑰管理機(jī)制���,方便了WLAN的管理和維護(hù)。WPA由認(rèn)證���、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)部分組成��。
(1) 認(rèn)證
WPA要求用戶(hù)必須提供某種形式的證據(jù)來(lái)證明它是合法用戶(hù)�����,才能擁有對(duì)某些網(wǎng)絡(luò)資源的訪問(wèn)權(quán),并且這是是強(qiáng)制性的�����。WPA的認(rèn)證分為兩種:第一種采用802.1x+EAP(Extensible Authentication Protocol)的方式�����,用戶(hù)提供認(rèn)證所需的憑證,如用戶(hù)名密碼���,通過(guò)特定的用戶(hù)認(rèn)證服務(wù)器來(lái)實(shí)現(xiàn)��。另一種為WPA預(yù)共享密鑰方式����,要求在每個(gè)無(wú)線局域網(wǎng)節(jié)點(diǎn)(AP����、STA等)預(yù)先輸入一個(gè)密鑰,只要密鑰吻合就可以獲得無(wú)線局域網(wǎng)的訪問(wèn)權(quán)����。
(2) 加密
WPA采用TKIP(Temporal Key Integrity Protocol,臨時(shí)密鑰完整性協(xié)議)為加密引入了新的機(jī)制���,它使用一種密鑰構(gòu)架和管理方法�����,通過(guò)由認(rèn)證服務(wù)器動(dòng)態(tài)生成�、分發(fā)密鑰來(lái)取代單個(gè)靜態(tài)密鑰、把密鑰首部長(zhǎng)度從24位增加到128位等方法增強(qiáng)安全性��。而且��,TKIP利用了802.1x/EAP構(gòu)架�。認(rèn)證服務(wù)器在接受了用戶(hù)身份后,使用802.1x產(chǎn)生一個(gè)唯一的主密鑰處理會(huì)話�。然后,TKIP把這個(gè)密鑰通過(guò)安全通道分發(fā)到AP和客戶(hù)端�,并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng),使用主密鑰為用戶(hù)會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)唯一的數(shù)據(jù)加密密鑰�,來(lái)加密每一個(gè)無(wú)線通訊數(shù)據(jù)報(bào)文。
(3) 消息完整性校驗(yàn)
除了保留802.11的CRC校驗(yàn)外���,WPA為每個(gè)數(shù)據(jù)分組又增加了一個(gè)8個(gè)字節(jié)的消息完整性校驗(yàn)值��,以防止攻擊者截獲����、篡改及重發(fā)數(shù)據(jù)報(bào)文����。
4.3 VPN的應(yīng)用
目前許多企業(yè)以及運(yùn)營(yíng)商已經(jīng)采用虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)����。虛擬專(zhuān)用網(wǎng)(VPN)技術(shù)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過(guò)隧道以及加密技術(shù)保證專(zhuān)用數(shù)據(jù)的網(wǎng)絡(luò)安全性��,其本身并不屬于802.11標(biāo)準(zhǔn)定義����,但是用戶(hù)可以借助VPN來(lái)抵抗無(wú)線網(wǎng)絡(luò)的不安全因素���,同時(shí)還可以提供基于RADIUS的用戶(hù)認(rèn)證以及計(jì)費(fèi)������?梢酝ㄟ^(guò)購(gòu)置帶VPN功能防火墻�����,在無(wú)線基站和AP之間建立VPN隧道�����,這樣整個(gè)無(wú)線網(wǎng)的安全性得到極大的提高�,能夠有效地保護(hù)數(shù)據(jù)的完整性、可信性和不可抵賴(lài)性��。
VPN技術(shù)作為一種比較可靠的網(wǎng)絡(luò)安全解決方案,在有線網(wǎng)絡(luò)中�����,尤其是企業(yè)有線網(wǎng)絡(luò)應(yīng)用中得到了一定程度的采用���,然而無(wú)線網(wǎng)絡(luò)的應(yīng)用特點(diǎn)在很大程度上阻礙了VPN技術(shù)的應(yīng)用�,如吞吐量性能瓶頸�、網(wǎng)絡(luò)的(未完,下一頁(yè))
|