WIFI無線網(wǎng)絡(luò)技術(shù)及安全性研究
加入技術(shù)交流群
2.2 WIFI網(wǎng)絡(luò)安全策略
2.2.1加密方式
1)TKIP加密模式
WIFI無線網(wǎng)絡(luò)目前使用最廣泛的加密模式是WPA-PSK(TKIP)和WPA2-PSK(AES)兩種加密模式。TKIP的含義為暫時(shí)密鑰集成協(xié)議。TKIP使用的仍然是RC4算法,但在原有的WEP密碼認(rèn)證引擎中添加了“信息包單加密功能”、“信息監(jiān)測(cè)”、“具有序列功能的初始向量”和“密鑰生成功能”等4算法。
TKIP是包裹在已有WEP密碼外圍的一層“外殼”,這種加密方式在盡可能使用WEP算法的同時(shí)消除了已知的WEP缺點(diǎn)。專門用于糾正WEP安全漏洞,實(shí)現(xiàn)無線傳輸數(shù)據(jù)的加密和完整性保護(hù)。但是相比WEP加密機(jī)制,TKIP加密機(jī)制可以為WLAN服務(wù)提供更加安全的保護(hù)。主要體現(xiàn)在以下幾點(diǎn):
①靜態(tài)WEP的密鑰為手工配置,且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一把密鑰。而TKIP的密鑰為動(dòng)態(tài)協(xié)商生成,每個(gè)傳輸?shù)臄?shù)據(jù)包都有一個(gè)與眾不同的密鑰。
②TKIP將密鑰的長度由WEP的40位加長到128位,初始化向量IV的長度由24位加長到48位,提高了WEP加密的安全性。
③TKIP支持MIC認(rèn)證(Message Integrity Cheek,信息完整性校驗(yàn))和防止重放攻擊功能。
2)AES加密模式
WPA2放棄了RC4加密算法,使用AES算法進(jìn)行加密,是比TKIP更加高級(jí)的加密技術(shù)。AES是一個(gè)迭代的、對(duì)稱密鑰分組的密碼,它可以使用128、192和256位密鑰,并且用128位(16字節(jié))分組加密和解密數(shù)據(jù)。與公共密鑰密碼使用密鑰對(duì)不同,對(duì)稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。通過分組密碼返回的加密數(shù)據(jù)的位數(shù)與輸入數(shù)據(jù)相同。迭代加密使用一個(gè)循環(huán)結(jié)構(gòu),在該循環(huán)中重復(fù)置換(permutations)和替換(substitutions)輸入數(shù)據(jù)。
2.2.2 認(rèn)證方式
WPA給用戶提供了一個(gè)完整的認(rèn)證機(jī)制,AP根據(jù)用戶的認(rèn)證結(jié)果決定是否允許其介入無線網(wǎng)絡(luò)中;認(rèn)證成功后可以根據(jù)多種方式動(dòng)態(tài)地改變每個(gè)接入用戶的加密密鑰。對(duì)用戶在無線中傳輸?shù)臄?shù)據(jù)報(bào)進(jìn)行MIC編碼,確保用戶數(shù)據(jù)不會(huì)被其他用戶更改。WPA有2種認(rèn)證模式:1)是使用802.1x協(xié)議進(jìn)行認(rèn)證,即就是802.1x+=EPA方式(工業(yè)級(jí)的,安全要求高的地方用。需要認(rèn)證服務(wù)器);2)是預(yù)先共享密鑰PSK模式(家庭用的,用在安全要求低的地方。不需要服務(wù)器)。AP和客戶端分享密鑰的過程叫做4次握手,過程如圖2所示。本文引用地址:http://www.104case.com/article/153796.htm
1)客戶端SrrA與無線接入點(diǎn)AP關(guān)聯(lián);
2)STA需要向AP發(fā)送認(rèn)證消息,在被授權(quán)以前,即使STA與AP始終關(guān)聯(lián),TSA也不能夠訪問網(wǎng)絡(luò),只能繼續(xù)向AP發(fā)送認(rèn)證消息,經(jīng)由遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)AP將認(rèn)證消息發(fā)送給后端服務(wù)器來認(rèn)證;
3)客戶端STA利用EAP協(xié)議,通過AP的非受控端口向認(rèn)證服務(wù)器提交身份憑證,認(rèn)證服務(wù)器負(fù)責(zé)對(duì)STA進(jìn)行身份驗(yàn)證;
4)如果STA未通過認(rèn)證,客戶端一直被阻止訪問網(wǎng)絡(luò);如果認(rèn)證成功,則認(rèn)證服務(wù)器通知AP向該STA打開受控端口;
5)身份認(rèn)證服務(wù)器利用TKIP協(xié)議自動(dòng)將主配對(duì)密鑰分發(fā)給AP和客戶端STA,主配對(duì)密鑰基于每用戶、每個(gè)802.1x的認(rèn)證進(jìn)程是惟一的;
6)STA與AP再利用主配對(duì)密鑰動(dòng)態(tài)生成基于每數(shù)據(jù)包惟一的數(shù)據(jù)加密密鑰;
7)利用該密鑰對(duì)STA與AP之間的數(shù)據(jù)流進(jìn)行加密。
這樣就好象在兩者之間建立了一條加密隧道,保證了空中數(shù)據(jù)傳輸?shù)母甙踩浴?br />2.3 存在問題
WPA-PSK/WPA2-PSK(TKIP、AES)是目前主流的加密方式,但由于TKIP與AES子算法自身的問題。使得WPA也將面臨著被徹底破解的威脅。
用戶在使用無線網(wǎng)絡(luò)時(shí)應(yīng)該注意以下幾點(diǎn)
1)對(duì)于自己搭建無線網(wǎng)絡(luò)的用戶,至少要進(jìn)行一些最基本的安全配置,如隱藏SSID,關(guān)閉DHCP,設(shè)置WEP密鑰,啟用內(nèi)部隔離等。
2)如果安全要求再高一些,還可以啟用非法AP監(jiān)測(cè),配置MAC過濾,啟用WPA/WPA2,建立802.1x端口認(rèn)證。
3)如果有更高的安全需求,那么可以選擇的安全手段就更多,比如,使用定向天線,調(diào)整發(fā)射功率,把信號(hào)可能收斂在信任的范圍之內(nèi);還可以將無線局域網(wǎng)視為Internet一樣來防御,甚至在接口處部署入侵檢測(cè)系統(tǒng)。
4)如果您是企業(yè)用戶,千萬不要忘記建立完善的安全管理制度并分發(fā)至員工。當(dāng)您需要在熱點(diǎn)區(qū)域使用無線網(wǎng)絡(luò)時(shí),您需要能夠您所在網(wǎng)絡(luò)的安全程度,如果認(rèn)定網(wǎng)絡(luò)不夠安全,那么請(qǐng)盡量不要在此網(wǎng)絡(luò)中提交或透露敏感信息,并盡量縮短在線的時(shí)間。
3 結(jié)論
隨著無線局域網(wǎng)應(yīng)用領(lǐng)域的不斷拓展,安全問題越來越受到重視。WIFI技術(shù)作為WLAN技術(shù)家族中的重要成員,近年來發(fā)展迅速,已經(jīng)應(yīng)用到生活的各個(gè)方面。文中較詳細(xì)地分析了WIFI網(wǎng)絡(luò)的技術(shù)特點(diǎn),對(duì)WIFI網(wǎng)絡(luò)的安全性做了一定程度的探討,給出了相應(yīng)的結(jié)論。只有加強(qiáng)人為安全方面的控制技術(shù)的改進(jìn),才可更好加強(qiáng)WIFI安全性。
評(píng)論