当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > IEEE 802.11i面对安全是否有戏

安全基础
十大高招教会你摆脱黑客的网络攻击
2007个人计算计安全配置手册---武装到牙齿
【安全防护】网络入侵检测初步探测方法
保护系统 从防范IP泄漏开始!
教你如何防止系统中IE被恶意修改
交换机路由器更加安全三种办法
网络的核心所在 交换机漏洞五宗罪
上网必看,8招让你安全高效上网
提醒 网络玩家成为黑客攻击主要对象
十一种常见流氓软件完全卸载方法
聊天的危险 即时通讯常见安全问题
保护系统从防范IP泄漏开始
动态嵌入式DLL木马简便发现与清除方法
更新换代Vista系统安全新特性全面阐述
不可不留神 病毒损坏硬件有七大损招
注册表探秘 跟踪病毒的映象劫持的危害
追根溯源DLL技术木马进程内幕大揭密
擦亮眼睛小心假冒卡巴斯基的陷阱
简单安全习惯减少电脑资料丢失损坏几率
避免自己的服务器被列入黑名单的小技巧

安全基础 中的 IEEE 802.11i面对安全是否有戏


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 44 ::
收藏到网摘: n/a

IEEE802.11i应运而生,是为了解决安全问题,但这似乎仍然难以立即奏效。

IEEE802.11安全协议的缺陷延缓了无线局域网在许多企业内的应用和普及。为了推动无线局域网的发展,IEEE制订了编号为IEEE802.11i的新一代无线安全标准,该标准增强了WLAN的数据加密和认证性能,并且针对WEP加密机制的各种缺陷做了多方面的改进。2004年6月25日,美国电气电子工程师协会(IEEE)工作组在会议上用表决的形式正式通过了802.11i标准。

新标准的出现成为人们关注的热点,该标准具有的一系列鲜明特点,使其在数据加密算法、端口访问控制技术、上层认证机制、认证体系等方面都有所突破。

安全机制诠释

IEEE802.11i为了保证兼容性,该协议全面吸收其他现有的网络安全协议,如接入控制层引入现有IEEE802.11x安全机制,上层管理层融入现有的LEAP及RADIUS服务器等功能。

从硬件设备来看,AP只涉及WLAN底层和接入控制层,涉及802.11i协议的数据加密协议和IEEE802.11x的接入管理机制,其认证管理功能由认证服务器和远端数据库来完成。移动用户则包含了全部的三层,涉及了802.11i的底层数据加密协议、IEEE802.11x的接入管理机制和IEEE802.11X/EAP认证管理机制。用户端和认证服务器都具有认证管理层的功能。

IEEE802.11i网络的申请者和认证AP之间完成802.1x功能。802.1x融合EAP,即EAPOL(WLAN中称做EAPOW)在申请者和近端认证AP之间运行;认证AP与远端认证服务器同样运行EAP协议,EAP帧中封装认证数据再将该协议承载在其他高层协议中,如RADIUS,以利于穿越多种网络到达认证服务器,成为EAPoverRADIUS。

EAP认证的引入对IEEE802.11标准起到三方面改进。一是双向认证机制,这一机制有效地消除了中间人攻击(MITM),如假冒的AP和远端认证服务器。二是集中化认证管理和动态分配加密密钥机制。这一机制解决了管理上的难度—WEP使用RC4给网络里的所有AP和客户分发静态密钥很繁琐,每一次无线设备丢失,网络必须重新配置密钥以防止非法用户利用丢失的设备进行非法登录。三是能够定义集中策略控制,当会话超时时将触发重新认证和生成新的密钥。

802.11i系列认证套件具有WLAN安全认证协议的特点,同时在EAP协议的基础上采用了已被证明安全的认证协议(如:TLS、MD5等),兼容了已被广泛应用的服务器认证机制(如:RUDIUS服务器),具有良好的可实现性和扩展性。此外,引入的高层认证机制和低层数据加密相结合的结构,为实现可靠的低层(MAC层)安全认证和保密通信提供了新的思路,也符合MAC层安全技术的发展趋势。

IEEE802.11i协议的结构和工作过程如图1、2所示。


过渡机制仍有安全隐患

WPA可以为IEEE802.11无线局域网(WLAN)提供过渡的安全保障。WPA是IEEE802.11i的一个子集,其核心就是IEEE802.1x和TKIP。IEEE802.11i与WPA的关系如图3所示。

目前使用TKIP的WPA只是一个临时的过渡性方案。目前刚颁布的IEEE802.11i标准也采用TKIP作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,并对现有的WEP进行了改进,即追加了“每发一个包重新生成一个新的密钥(PerPacketKey)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法,极大地提高了加密安全强度。

标准工作组认为:WEP算法的安全漏洞是由于RC4机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题。因为作为安全关键的加密部分,TKIP没有脱离RC4算法的核心机制。而且,TKIP甚至更易受攻击,因为它采用了Kerberos密码,常常可以用简单的猜测方法攻破。另一个严重问题是: 加/解密处理效率问题没有得到任何改进。

兼容性尚待研究

IEEE802.11i不仅保护用户数据,还保护诸如接收、发送地址等与传输相关的信息(这些信息不能被加密);即联合数据保护,关于这方面的研究将成为今后的热点。

AES数据加密算法无法与现有的无线局域网安全协议兼容。现有的WEP设备需要更新设备才能支持AES算法。出于保护已生产安装使用的WLAN产品的目的,IEEE802.11i将分为两个阶段推广:第一阶段是权益之计,第二阶段是长期方案。

第一阶段将采用临时密钥完整性协议TKIP解决WEP的漏洞。这样现有设备可以通过升级硬件的办法来向80