当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > IEEE 802.11i面对安全是否有戏

安全基础
网管技术:常见BIOS报错信息及解决方法
分布式拒绝服务(DDOS)攻击及防范研究
四种宽带接入方式及其传输速率
网管必读 解读无线网络的七大安全困惑
经验:识别系统的非法进程及剿杀
全面清除系统垃圾的方法
QQ、网游等账号防盗防骗的实用小经验
上网前保证Windows XP系统安全的办法
七种DDoS攻击技术方法简介
硬盘与内存检测 四种查毒绝招
当网站注册时输入验证码总是不正确解决方法
不让自己的秘密留在别人的电脑中
IE崩溃遭难不求人 快速简单处理方法
损招 让应用程序莫名其妙地失效
不再弹广告 破除隐身僵尸木马的隐身妖术
利用QQ传播 网络欺骗“绑架”奥运会
渗透测试的攻与守 认清网络面临的问题
手动剿杀“上兴远程控制”木马
个人电脑防黑客入侵八准则
关注Windows系统服务中的安全隐患

安全基础 中的 IEEE 802.11i面对安全是否有戏


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 30 ::
收藏到网摘: n/a

IEEE802.11i应运而生,是为了解决安全问题,但这似乎仍然难以立即奏效。

IEEE802.11安全协议的缺陷延缓了无线局域网在许多企业内的应用和普及。为了推动无线局域网的发展,IEEE制订了编号为IEEE802.11i的新一代无线安全标准,该标准增强了WLAN的数据加密和认证性能,并且针对WEP加密机制的各种缺陷做了多方面的改进。2004年6月25日,美国电气电子工程师协会(IEEE)工作组在会议上用表决的形式正式通过了802.11i标准。

新标准的出现成为人们关注的热点,该标准具有的一系列鲜明特点,使其在数据加密算法、端口访问控制技术、上层认证机制、认证体系等方面都有所突破。

安全机制诠释

IEEE802.11i为了保证兼容性,该协议全面吸收其他现有的网络安全协议,如接入控制层引入现有IEEE802.11x安全机制,上层管理层融入现有的LEAP及RADIUS服务器等功能。

从硬件设备来看,AP只涉及WLAN底层和接入控制层,涉及802.11i协议的数据加密协议和IEEE802.11x的接入管理机制,其认证管理功能由认证服务器和远端数据库来完成。移动用户则包含了全部的三层,涉及了802.11i的底层数据加密协议、IEEE802.11x的接入管理机制和IEEE802.11X/EAP认证管理机制。用户端和认证服务器都具有认证管理层的功能。

IEEE802.11i网络的申请者和认证AP之间完成802.1x功能。802.1x融合EAP,即EAPOL(WLAN中称做EAPOW)在申请者和近端认证AP之间运行;认证AP与远端认证服务器同样运行EAP协议,EAP帧中封装认证数据再将该协议承载在其他高层协议中,如RADIUS,以利于穿越多种网络到达认证服务器,成为EAPoverRADIUS。

EAP认证的引入对IEEE802.11标准起到三方面改进。一是双向认证机制,这一机制有效地消除了中间人攻击(MITM),如假冒的AP和远端认证服务器。二是集中化认证管理和动态分配加密密钥机制。这一机制解决了管理上的难度—WEP使用RC4给网络里的所有AP和客户分发静态密钥很繁琐,每一次无线设备丢失,网络必须重新配置密钥以防止非法用户利用丢失的设备进行非法登录。三是能够定义集中策略控制,当会话超时时将触发重新认证和生成新的密钥。

802.11i系列认证套件具有WLAN安全认证协议的特点,同时在EAP协议的基础上采用了已被证明安全的认证协议(如:TLS、MD5等),兼容了已被广泛应用的服务器认证机制(如:RUDIUS服务器),具有良好的可实现性和扩展性。此外,引入的高层认证机制和低层数据加密相结合的结构,为实现可靠的低层(MAC层)安全认证和保密通信提供了新的思路,也符合MAC层安全技术的发展趋势。

IEEE802.11i协议的结构和工作过程如图1、2所示。


过渡机制仍有安全隐患

WPA可以为IEEE802.11无线局域网(WLAN)提供过渡的安全保障。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。IEEE802.11i与WPA的关系如图3所示。

目前使用TKIP的WPA只是一个临时的过渡性方案。目前刚颁布的IEEE802.11i标准也采用TKIP作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,并对现有的WEP进行了改进,即追加了“每发一个包重新生成一个新的密钥(PerPacketKey)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法,极大地提高了加密安全强度。

标准工作组认为:WEP算法的安全漏洞是由于RC4机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题。因为作为安全关键的加密部分,TKIP没有脱离RC4算法的核心机制。而且,TKIP甚至更易受攻击,因为它采用了Kerberos密码,常常可以用简单的猜测方法攻破。另一个严重问题是: 加/解密处理效率问题没有得到任何改进。

兼容性尚待研究

IEEE802.11i不仅保护用户数据,还保护诸如接收、发送地址等与传输相关的信息(这些信息不能被加密);即联合数据保护,关于这方面的研究将成为今后的热点。

AES数据加密算法无法与现有的无线局域网安全协议兼容。现有的WEP设备需要更新设备才能支持AES算法。出于保护已生产安装使用的WLAN产品的目的,IEEE802.11i将分为两个阶段推广:第一阶段是权益之计,第二阶段是长期方案。

第一阶段将采用临时密钥完整性协议TKIP解决WEP的漏洞。这样现有设备可以通过升级硬件的办法来向80