新聞中心

EEPW首頁(yè) > 模擬技術(shù) > 設(shè)計(jì)應(yīng)用 > IEEE802.11i的網(wǎng)絡(luò)構(gòu)架和安全改進(jìn)

IEEE802.11i的網(wǎng)絡(luò)構(gòu)架和安全改進(jìn)

作者: 時(shí)間:2011-04-19 來(lái)源:網(wǎng)絡(luò) 收藏
安全性對(duì)于無(wú)線局域網(wǎng)來(lái)說(shuō)可謂老生常談,自它誕生之日起,與其靈活便捷的優(yōu)勢(shì)共存的就是安全漏洞這個(gè)揮之不去的陰影。據(jù)統(tǒng)計(jì),不愿采用無(wú)線局域網(wǎng)的理由中,安全問(wèn)題高居第一位,達(dá)40%以上,已經(jīng)成為阻礙WLAN進(jìn)入信息化應(yīng)用領(lǐng)域的最大障礙。現(xiàn)有的安全機(jī)制由于不能提供足夠安全的基礎(chǔ)建設(shè)模塊,讓解決WLAN安全成本的負(fù)擔(dān)轉(zhuǎn)移到整個(gè)WLAN價(jià)值鏈上的產(chǎn)品制造廠商、系統(tǒng)集成商和用戶(hù),這種不合理的成本轉(zhuǎn)嫁使市場(chǎng)上產(chǎn)生了多種安全安裝解決方案,而最終用戶(hù)為了能夠?qū)嵤┰O(shè)備廠商提供的多種安全安裝方案而不斷付出更多的安全成本。
  
  為了使WLAN技術(shù)從這種被動(dòng)局面中解脫出來(lái), IEEE 802.11i工作組致力于制訂被稱(chēng)為IEEE 802.11i的新一代安全標(biāo)準(zhǔn),
  
  802.11i的網(wǎng)絡(luò)構(gòu)架
  802.11i標(biāo)準(zhǔn)規(guī)定了兩種網(wǎng)絡(luò)構(gòu)架:過(guò)渡安全網(wǎng)絡(luò)(TSN)和強(qiáng)健的安全網(wǎng)絡(luò)(RSN)。
  
  TSN:規(guī)定在其網(wǎng)絡(luò)中可以兼容現(xiàn)有的使用WEP方式工作的設(shè)備,使現(xiàn)有的無(wú)線局域網(wǎng)系統(tǒng)可以向802.11i網(wǎng)絡(luò)平穩(wěn)過(guò)渡。市場(chǎng)對(duì)于提高WLAN安全的需求是十分緊迫的,IEEE 802.11i不能解決上述RSN對(duì)于現(xiàn)有設(shè)備升級(jí)困難的問(wèn)題,標(biāo)準(zhǔn)的制定進(jìn)展也不能完全滿(mǎn)足這一需要。因此,TSN的發(fā)展和制定就顯得十分重要。
  
  在這種情況下,Wi-Fi聯(lián)盟制定了WPA(Wi-Fi Protected Access)標(biāo)準(zhǔn),作為向IEEE 802.11i過(guò)渡的中間標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)采用了IEEE 802.11i的草案,保證了與未來(lái)出現(xiàn)的協(xié)議的前向兼容。
  
  RSN:為了使WLAN技術(shù)從這種被動(dòng)局面中解脫出來(lái), IEEE 802.11的i工作組致力于制訂被稱(chēng)為IEEE 802.11i的新一代安全標(biāo)準(zhǔn),這種安全標(biāo)準(zhǔn)為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能,定義了RSN(Robust Security Network,健壯安全網(wǎng)絡(luò))的概念,并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。
  
  IEEE 802.11i的安全改進(jìn):
  相比以往的無(wú)線安全協(xié)議,IEEE 802.11i具有以下一些技術(shù)優(yōu)勢(shì):
  
  WLAN底層引入AES算法,克服WEP的缺陷
  有線對(duì)等保密(WEP)協(xié)議的缺陷延緩了無(wú)線局域網(wǎng)(WLAN)在許多企業(yè)內(nèi)的應(yīng)用和普及。無(wú)線局域網(wǎng)網(wǎng)絡(luò)會(huì)暴露某個(gè)網(wǎng)絡(luò),因此,從安全的角度來(lái)講,不能像核心企業(yè)網(wǎng)絡(luò)而必須像接入網(wǎng)絡(luò)那樣來(lái)對(duì)待。如果企業(yè)用戶(hù)通過(guò)一個(gè)局域網(wǎng)交換中心互相連接,人們就可認(rèn)為他們已經(jīng)成為信任用戶(hù)。
  
  WEP在接入點(diǎn)和客戶(hù)端之間以“RC4”方式對(duì)分組信息進(jìn)行加密的技術(shù),密碼很容易被破解。WEP使用的加密密鑰包括收發(fā)雙方預(yù)先確定的40位(或者104位)通用密鑰,和發(fā)送方為每個(gè)分組信息所確定的24位、被稱(chēng)為IV密鑰的加密密鑰。但是,為了將IV密鑰告訴給通信對(duì)象,IV密鑰不經(jīng)加密就直接嵌入到分組信息中被發(fā)送出去。如果通過(guò)無(wú)線竊聽(tīng),收集到包含特定IV密鑰的分組信息并對(duì)其進(jìn)行解析,那么就連秘密的通用密鑰都可能被計(jì)算出來(lái)。
  
  為了幫助堵住無(wú)線局域網(wǎng)中的安全漏洞,IEEE 802.11工作組建立了802.11i任務(wù)小組,為802.11標(biāo)準(zhǔn)開(kāi)發(fā)安全升級(jí)。802.11i規(guī)定了一個(gè)基于“高級(jí)加密標(biāo)準(zhǔn)”AES加密算法的CCMP(Counter-Mode/CBC-MAC Protocol)數(shù)據(jù)加密模式CCMP,以實(shí)施更強(qiáng)大的加密和信息完整性檢查。
  
  AES是1997年1月由NIST提出的,其目的是開(kāi)發(fā)一種新的能保證政府信息安全的編碼算法。AES是一種對(duì)稱(chēng)的塊加密技術(shù),提供比WEP/TKIP中RC4算法更高的加密性能。對(duì)稱(chēng)密碼系統(tǒng)要求收發(fā)雙方都知道密鑰,而這種系統(tǒng)的最大困難在于如何安全地將密鑰分配給收發(fā)的雙方,特別是在網(wǎng)絡(luò)環(huán)境中。AES加密算法使用128bit分組加碼數(shù)據(jù)。
  
  它的輸出更具有隨機(jī)性,對(duì)128比特、輪數(shù)為7的密文進(jìn)行攻擊時(shí)需要幾乎整個(gè)的密碼本,對(duì)192、256比特加密的密文進(jìn)行攻擊不僅需要密碼本,還需要知道相關(guān)的但并不知道密鑰的密文,這比WEP具有更高的安全性,攻擊者要獲取大量的密文,耗用很大的資源,花費(fèi)更長(zhǎng)的時(shí)間破譯。它解密的密碼表和加密的密碼表是分開(kāi)的,支持子密鑰加密,這種做法優(yōu)于最初的用一個(gè)特殊的密鑰解密,很容易防護(hù)冪攻擊和同步攻擊,加密和解密的速度快,在安全性上優(yōu)于WEP。
  
  AES算法支持任意分組的大小,密鑰的大小為128、192、256,可以任意組合。它初始時(shí)間快,其固有的并行性可以有效地利用處理器資源,有很好的軟件性能。在加密和解密分別進(jìn)行的時(shí)候,很適合有限距離的環(huán)境,并且對(duì)ROM和RAM要求很低;當(dāng)加密和解密同時(shí)進(jìn)行的時(shí)候,對(duì)ROM要求有所上升,但仍適合距離有限的環(huán)境。AES還適用于交叉存取和非交叉存取兩種情況。在這兩種情況下,它的性能幾乎沒(méi)有變化,這使得DSP設(shè)備可以有效地優(yōu)化其密碼。此外,AES還具有應(yīng)用范圍廣、等待時(shí)間短、相對(duì)容易隱藏、吞吐量高的優(yōu)點(diǎn)。經(jīng)過(guò)比較分析,可知此算法在性能等各方面都優(yōu)于WEP,利用此算法加密,無(wú)線局域網(wǎng)的安全性會(huì)獲得大幅度提高,從而能夠有效地防御外界攻擊。
  
  采用WPA規(guī)范使現(xiàn)有設(shè)備向IEEE802.11i平穩(wěn)過(guò)渡
  企業(yè)對(duì)無(wú)線局域網(wǎng)技術(shù)的主要擔(dān)心是Wi-FI技術(shù)缺少一個(gè)可靠的安全標(biāo)準(zhǔn)。而WiFi聯(lián)盟為了滿(mǎn)足現(xiàn)在市場(chǎng)的需求,制定了WPA(Wi-Fi Protected Access)標(biāo)準(zhǔn)作為一種可替代 WEP的無(wú)線安全技術(shù),在 IEEE 802.11i 標(biāo)準(zhǔn)最終確定前,將為IEEE 802.11 無(wú)線局域網(wǎng) (WLAN)提供更強(qiáng)大的安全性能。
  
  WPA是IEEE 802.11i的一個(gè)子集,其核心就是IEEE 802.1x和TKIP。IEEE 802.11i與WPA的關(guān)系如圖2所示。
  
  WPA考慮到了不同的用戶(hù)和不同的應(yīng)用安全需要,例如:企業(yè)用戶(hù)需要很高的安全保護(hù)(企業(yè)級(jí)),否則可能會(huì)泄漏非常重要的商業(yè)機(jī)密;而家庭用戶(hù)往往只是使用網(wǎng)絡(luò)來(lái)瀏覽 Internet、收發(fā)Email、打印和共享文件,這些用戶(hù)對(duì)安全的要求相對(duì)較低。為了滿(mǎn)足不同要求用戶(hù)的需要,WPA中規(guī)定了兩種應(yīng)用模式:
  
  企業(yè)模式。通過(guò)使用認(rèn)證服務(wù)器和復(fù)雜的安全認(rèn)證機(jī)制來(lái)保護(hù)無(wú)線網(wǎng)絡(luò)通信安全。
  
  家庭模式(包括小型辦公室)。在AP(或者無(wú)線路由器)以及連接無(wú)線網(wǎng)絡(luò)的無(wú)線終端上輸入共享密鑰來(lái)保護(hù)無(wú)線鏈路的通信安全。
  
  WPA是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于WPA利用暫時(shí)密鑰完整協(xié)議(TKIP)作為改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法,加強(qiáng)了生成加密密鑰的算法,因此即便收集到分組信息并對(duì)其進(jìn)行解析,也幾乎無(wú)法
計(jì)算出通用密鑰。另外,TKIP與WEP一樣將此密鑰用于RC4加密處理。WPA和以AES加密方式工作的11i不同,可以以軟件方式和附加硬件設(shè)備實(shí)現(xiàn)的,避免了更換硬件帶來(lái)的成本問(wèn)題。WPA還采用IEEE 802.11x來(lái)實(shí)現(xiàn)防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。
     
圖1 IEEE 802.11i協(xié)議的分層結(jié)構(gòu)

  
圖2 IEEE 802.11i與WPA



評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉