当前位置: 首页 > WLAN/WiFi > 文章
|
|
无线局域网的安全技术与测试系统介绍
|
文章来源: 电信网技术
文章作者: 汪坤 李巍 落红卫
发布时间: 2006-08-17
字体:
[大
中
小]
|
|
2.4 数据完整性
所谓数据完整性,是使接收方能够确切地判断所接收到的消息有没有在传输过程中遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏,还能采取某种措施从完整性中恢复出来。
2.5 不可否认性
不可否认性是防止发送方或接收方抵赖所传输的消息的一种安全服务,也就是说,当接收方接收到一条消息后,能够提供足够的证据向第三方证明这条消息的确来自某个发送方,而使得发送方抵赖发送过这条消息的图谋失败。同理,当发送一条消息时,发送方也有足够的证据证明某个接收方的确已经收到这条消息。
3、无线局域网安全标准分析
3.1 IEEE802.11安全标准:WEP
IEEE 802.11标准通过有线对等保密协议WEP(Wired Equivalent Privacy)来实现认证与数据加密,认证模式有Open Authentication和Shared Key Authentication两种。WEP使用RSA Data Security公司的Ron Rivest发明的RC4流密码进行加密。属于一种对称的流密码,支持可变长度的密钥。
后来的研究表明,RC4密钥算法有内在设计缺陷。由于WEP中实施的RC4选择了24位初始化向量IV(Initial Vector),而且不能动态专用加密密钥,因此这些缺陷在使用WEP的802.11加密帧中都有实际应用。最典型的FMS攻击已经能够捕获100万个包从而获得静态WEP密钥。因此802.11中的WEP安全技术并不能够为无线用户提供足够的安全保护。
3.2 IEEE802.11i与WPA安全标准
为了使WLAN技术从这种被动局面中解脱出来,IEEE 802.11i工作组致力于制订新一代安全标准,主要包括加密技术:TKIP(Temporal Key Integrity Protocol)和AES(Advanced Encryption Standard),以及认证协议IEEE802.1x。
认证方面。IEEE 802.11i采用802.1x接入控制,实现无线局域网的认证与密钥管理,并通过EAP-Key的四向握手过程与组密钥握手过程,创建、更新加密密钥,实现802.11i中定义的鲁棒安全网络(Robust Security Network,简称RSN)的要求。
数据加密方面,IEEE 802.1li定义了TKIP(Temporal Key Integrity Protocol),CCMP(Counter-Mode/CBC-MAC Protocol和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。
一方面,TKIP采用了扩展的48位IV和IV顺序规则、密钥混合函数(Key Mixing Function),重放保护机制和Michael消息完整性代码(安全的MIC码)这4种有力的安全措施,解决了WEP中存在的安全漏洞,提高了安全性。就目前已知的攻击方法而言,TKIP是安全的。另一方面,TKIP不用修改WEP硬件模块,只需修改驱动程序,升级起来也具有很大的便利性。因此,采用TKIP代替WEP是合理的。
但是TKIP是基于RC4的,RC4已被发现存在问题,可能今后还会被发现其他的问题。另外,RC4一类的序列算法,其加解密操作只是简单的异或运算,在无线环境下具有一定的局限性,因此TKIP只能作为一种短期的解决方案。
此外,802.11中配合AES使用的加密模式CCM和OCB,并在这两种模式的基础上构造了CCMP和WRAP密码协议。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高。是实现RSN的强制性要求。由于AES对硬件要求比较高。因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制则是基于AES加密算法和OCB(Offset Code book)。
由于市场对于提高WLAN安全的需求十分紧迫,在IEEE 802.11i标准最终确定前,Wi-Fi联盟制定了WPA(Wi-Fi Protected Access)标准作为代替WEP的向802.11i过渡的无线安全标准。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。
3.3 中国无线局域网安全标准:WAPI
WAPI,即无线局域网鉴别和保密基础结构(WLAN Authentication and Privacy Infrastructure)是中国境内惟一合法的无线网络技术标准。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护,旨在彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。优秀的认证和安全机制使WAPI非常适合于运营商的PWLAN运营。
WAPI由无线局域网鉴别基础结构(WLAN Authentication Infrastructure,简称WAI)和无线局域网保密基础结构(WLAN Privacy Infrastructure,简称WPI)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输数据的加密。其中,WAI采用公开密钥密码体制,利用公钥证书来对WLAN系统中的STA和AP进行认证。WAI定义了一种名为认证服务单元ASU(Authentication Service Unit)的实体,用于管理参与信息交换各方所需要的证书(包括证书的产生、颁发、吊销和更新)。证书里面包含有证书颁发者(ASU)的公钥和签名以及证书持有者的公钥和签名(这里的签名采用的是WAPI特有的椭圆曲线数字签名算法),是网络设备的数字身份凭证。WPI采用对称密码算法实现对MAC层MSDU的加、解密操作。
共4页: 上一页 [1] [2] 3 [4] 下一页
|
|
↑返回顶部 打印本页 关闭窗口↓
|
|
|
|