首页 > 产品 > 思科无线网络 > 无线网络安全 >

无线局域网的安全技术白皮书 5

  检查重放的规则如下

  1) PN值连续计算每一个MPDU。

  2) 每个发送者都应为每个PTKSA,GTKSA和STAkeySA维护一个PN(48位的计数器)。

  3) PN是一个48位的单调递增正整数,在相应的临时密钥被初始化或刷新的时候,它也被初始化为1。

  4) 接收者应该为每个PTKSA,GTKSA和STAKeySA维护一组单独的PN重放计数器。接收者在将临时密钥复位的时候,会将这些计数器置0。重放计数器被设置为可接收的CCMP MPDU的PN值。

  5) 接收者为每个PTKSA,GTKSA和STAKeySA维护一个独立的针对IEEE 802.11 MSDU优先级的重放计数器,并且从接收到的帧获取PN来检查被重放的帧。这是在重放计数器的数目时,不使用IEEE 802.11 MSDU优先级。发送者不会在重放计数器内重排帧,但可能会在计数器外重排帧。IEEE 802.11 MSDU优先级是重排的一个可能的原因。

  6) 如果MPDU的PN值不连续,则它所在的MSDU整个都会被接收者抛弃。接收者同样会抛弃任何PN值小于或者等于重放计数器值的MPDU,同时增加ccmp 的重放计数 的值。CCMP加密过程如下图:

CCMP加密过程

  图10 CCMP加密过程图

  CCMP加密步骤如下

  1) 增加PN值,为每个MPDU产生一个新的PN,这样对于同一个临时密钥TK永远不会有重复的PN。需要注意的是被中转的MPDUs在中转过程中是不能被修改的;

  2) MPDU帧头的各个域用于生成CCM方式所需的Additional Authentication Data(AAD)。CCM 运算对这些包含在AAD的域提供了完整性保护。在传输过程中可能改变的MPDU头部各个域在计算AAD的时候被置0;

  3) CCM Nonce 块是从PN,A2(MPDU地址2)和优先级构造而来。优先级作为保留值设为0;

  4) 将新的PN和Key ID置入8字节的CCMP头部;

  5) CCM最初的处理使用临时密钥TK,AAD,Nonce和MPDU数据组成密文和MIC;

  6) 加密后的MPDU由最初的MPDU帧头,CCMP头部,加密过的数据和MIC组成。

  当AP从STA接收到802.11数据帧时,满足以下条件则进行CCMP解密;

  1) WPA/802.11i STA协商使用CCMP加密;

  2) Temp key已经协商并安装完成。

  解密过程

CCMP解密过程

  图11 CCMP解密过程图

  1) 解析加密过的MPDU,创建AAD和Nonce值;

  2) AAD是由加密过的MPDU头部形成的;

  3) Nonce值是根据A2,PN和优先级字节(保留,各位置0)创建而来;

  4) 提取MIC对CCM进行完整性校验;

  5) CCM接收过程使用临时密钥,AAD,Nonce,MIC和MPDU加密数据来解密得到明文,同时对AAD和MPDU明文进行完整性校验;

  6) 从CCM接收过程收到的MPDU头部和MPDU明文数据连接起来组成一个未加密的MPDU;

  7) 解密过程防止了MPDUs的重放,这种重放通过确认MPDU里的PN值比包含在会话里的重放计数器大来实现,接着进行检查重放,解密失败的帧直接丢弃。

  相比前面的安全方法,IEEE 802.11i具有以下一些技术优势:

  在WLAN底层引入AES算法,即加密和解密一般由硬件完成,克服WEP的缺陷,有线对等保密(WEP)协议的缺陷延缓了无线局域网(WLAN)在许多企业内的应用和普及。无线局域网网络会暴露某个网络,因此,从安全的角度来讲,不能像核心企业网络而必须像接入网络那样来对待。如果企业用户通过一个局域网交换中心互相连接,人们就可认为他们已经成为信任用户。

  无论是wep加密还是tkip加密都是以rc4算法为核心,由于rc4算法本身的缺陷,在接入点和客户端之间以“RC4”方式对分组信息进行加密的技术,密码很容易被破解。AES是一种对称的块加密技术,提供比WEP/TKIP中RC4算法更高的加密性能。对称密码系统要求收发双方都知道密钥,而这种系统的最大困难在于如何安全地将密钥分配给收发的双方,特别是在网络环境中,11i体系使用802.1x认证和密钥协商机制来管理密钥。AES加密算法使用128bit分组加码数据。 它的输出更具有随机性,对128比特、轮数为7的密文进行攻击时需要几乎整个的密码本,对192、256比特加密的密文进行攻击不仅需要密码本,还需要知道相关的但并不知道密钥的密文,这比WEP具有更高的安全性,攻击者要获取大量的密文,耗用很大的资源,花费更长的时间破译。它解密的密码表和加密的密码表是分开的,支持子密钥加密,这种做法优于最初的用一个特殊的密钥解密,很容易防护幂攻击和同步攻击,加密和解密的速度快,在安全性上优于WEP。

  AES算法支持任意分组的大小,密钥的大小为128、192、256,可以任意组合。此外,AES还具有应用范围广、等待时间短、相对容易隐藏、吞吐量高的优点。经过比较分析,可知此算法在性能等各方面都优于WEP和tkip,利用此算法加密,无线局域网的安全性会获得大幅度提高,从而能够有效地防御外界攻击。

  3、无线局域网的安全策略

  当我们使用了802.1x、EAP、AES和TKIP之后,还需要了解其中的一些问题,这些是建立安全WLAN网络环境必须的。首先,IEEE 802.11i工作小组所建立的TKIP,是为了快速修正WEP的严重问题。TKIP在算法上与WEP相同,也是使用RC4算法,但这种算法并不是最理想 的选择。使用AES能把原来的问题解决得更好,但是AES无法与原有的802.11架构兼容,需要升级软硬件。第二,一些新的协议、技术的加入,与原有802.11混合在 一起,使得整个网络结构更加复杂,同时也增加了处理的负担,导致网络性能降低。新的技术让生产厂商和网络用户有更多的可选择性,但同时也带来了兼容性的问题。第三,对于用户来说,在购买设备之前,需要了解产品能提供什么样的功能,有什么样的兼容性的要求。例如,从公司A购买了AP,然后从公司B和C购买了无线网卡,很可能存在因兼容性导致某些功能无法使用的问题。

  从企业角度而言,随着无线网络应用的推进,企业需要更加注重无线网络安全的问题,针对不同的用户需求,提出一系列不同级别的无线安全技术策略,从传统的WEP加密到IEEE 802.11i,从MAC地址过滤到IEEE 802.1x安全认证技术,要分别考虑能满足单一的家庭用户、大中型企业、运营商等不同级别的安全需求。

  对于小型企业和家庭用户而言,无线接入用户数量比较少,一般没有专业的IT管理人员,对网络安全性的要求相对较低。通常情况下不会配备专用的认证服务器,这种情况下,可直接采用AP进行认证,WPA-PSK+接入点隐藏可以保证基本的安全级别。

  在仓库物流、医院、学校等环境中,考虑到网络覆盖范围以及终端用户数量,AP和无线网卡的数量必将大大增加,同时由于使用的用户较多, 安全隐患也相应增加,此时简单的WPA-PSK已经不能满足此类用户的需求。如表中所示的中级安全方案使用支持IEEE 802.1x认证技术的AP作为无线网络的安全核心,并通过后台的Radius服务器进行用户身份验证,有效地阻止未经授权的用户接入。

  在各类公共场合以及网络运营商、大中型企业、金融机构等环境中,有些用户需要在热点公共地区(如机场、咖啡店等)通过无线接入Internet,因此用户认证问题就显得至关重要。如果不能准确可靠地进行用户认证,就有可能造成服务盗用的问题,这种服务盗用对于无线接入服务提供商来说是不可接受的损失,表中专业级解决方案可以较好地满足用户需求,通过用户隔离技术、IEEE802.1i、Radius的用户认证以及计费方式确保用户的安全。

安全级别
典型场合
使用技术
初级安全
小型企业,家庭用户等
WPA-PSK+接入点隐藏
中级安全
仓库物流、医院、学校、餐饮娱乐
IEEE802.1x认证+TKIP加密
专业级安全
各类公共场合及网络运营商、大中型企业、金融机构
用户隔离技术+IEEE802.11i+Radius认证和计费(对运营商)



  本文共5页,请访问进入第 1 2 3 4 5

公司简介
希创是一个从事企业执行系统集成的专业提供商,应用现代化的管理理念和方法,以及最新的自动识别、无线网络和移动计算等技术,来实现企业执行系统的集成。详细内容...

产品导航
条码打印机 Intermec易腾迈
Tohken 条码扫描器
datalogic Honeywell
Microscan loftware
bartender 条码软件
codesoft 条码打印软件
普印力printronix 无线网络
sirit RFID 电子标签
RFID应用 条码扫描引擎
denso 防爆移动电脑
车载终端 RFID打印机
仓库管理软件 生产管理系统
固定资产管理 冷链物流管理
自动巡检 集装箱管理系统 条码采集

技术支持
服务协议 下载中心
RFID技术应用 射频技术
条码知识 二维条码
条形码 二维条形码

联系我们 | 留言解答 | 友情链接 | 下载中心 | 仓库管理 | 博客信息
版权© 2012 北京希创技术公司,未经允许不得以任何方式和手段进行复制和使用。
CopyRight © 1997-2012 www.systron.com.cn All Rights Reserved.
北京:010-51296680 64200658/0659/0657/0774 上海:021-52379720/9730/2320/52370041