無線局域網(wǎng)的安全協(xié)議與加密技術

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)無線局域網(wǎng)的安全協(xié)議與加密技術摘要：隨著無線網(wǎng)絡的迅速發(fā)展廣泛應用，無線通信中的信息安全問題逐漸突顯出來，并成為阻礙該技術普及的最大障礙之一。為滿足新的網(wǎng)絡環(huán)境對安全和可靠性越來越高的要求，無線網(wǎng)絡的安全標準和協(xié)議也在不斷更新和增強，由最先的WEP協(xié)議，到隨后提出的WPA和802.11i安全體系，無線網(wǎng)絡安全技術的設計原理和特點在不斷變化著。我國也提出了自主研發(fā)的安全體系WAPI，在取得了一定的成績的同時也遭受到了一些阻力。如今無線網(wǎng)絡的發(fā)展仍在不斷給信息安全帶來全新的挑戰(zhàn)，對于網(wǎng)絡安全技術的探索將永遠不會停止。關鍵詞：無線局域網(wǎng)安全標準密碼算法協(xié)議（一）引言在有線局域網(wǎng)的時代，計算機網(wǎng)絡的傳輸媒介主要依賴電纜線、雙絞線或光纖。有線網(wǎng)絡具有穩(wěn)定、低成本和應用廣泛等明顯優(yōu)勢，但同樣也有布線繁瑣，施工破壞性強，節(jié)點移動性不強的缺陷。作為補充和擴展，允許用戶在沒有物理連接的情況下相互通信的無線網(wǎng)絡憑借著其組網(wǎng)靈活，易于遷徙的優(yōu)勢逐漸得到普及和發(fā)展。但是無線網(wǎng)絡的開放性和共享性也造成了它更高的脆弱性。網(wǎng)絡中的邊界和路徑不確定性，使其很容易受到外界的攻擊和破壞，信息竊取或監(jiān)聽、數(shù)據(jù)遭到破壞、非授權訪問等自然或人為的潛在隱患和安全威脅屢見不鮮，并且隨著無線網(wǎng)絡的發(fā)展，利用網(wǎng)絡交流和處理信息變得越來越普遍，這些問題顯得更為突出。若不及時建立足夠強的安全措施，不僅將會危及個人隱私，甚至會危及國家安全，造成社會的混亂。因此，為了保證信息傳遞的安全與暢通，制定一種強而有效的安全機制顯得迫在眉睫。隨著計算機技術的不斷發(fā)展，用來保證無線網(wǎng)絡信息安全的安全標準和協(xié)議應運而生。通過這些技術標準對信息進行編碼加密，提供訪問控制和安全性檢查，能夠有效保證網(wǎng)絡環(huán)境的安全和可靠。（二）WLAN安全標準與協(xié)議WLAN的安全性一直是阻礙無線網(wǎng)絡技術普及的最大障礙，因此設計者對于無線網(wǎng)絡安全標準的修改和探索也從未停止過。在最早的IEEE802.11標準中，主要采用了WEP（WiredEquivalentPrivacy,有線等價保密協(xié)議）來實現(xiàn)對數(shù)據(jù)的加密和完整性保護。但是協(xié)議中對RC4加密算法的不正確使用使得WEP在實際應用中很容易受到攻擊，其安全性遭到了廣泛質(zhì)疑。WEP在設計上的缺陷很快引起了IEEE的重視。2004年6月，IEEE標準委員會重新推出新的標準批準802.11i為最終規(guī)范，采用AES（AdvancedEncryptionStandard,高級加密標準）加密，802.1x協(xié)議進行用戶認證。在802.11i批準之前，由于市場對于WLAN的安全要求十分迫切，Wi-Fi組織提出了WPA（Wi-FiProtectedAccess,Wi-Fi網(wǎng)絡安全訪問）標準作為一個臨時性的解決方案，該標準使用TKIP(TemporaryKeyIntegrityProtocol,臨時密鑰完整性協(xié)議)協(xié)議進行數(shù)據(jù)加密并提供兩種可選的認證模式。在802.11i

制定完畢后Wi-Fi組織又修訂并推出了具有與IEEE802.11i標準相同功能的WPA2。因此在近幾年內(nèi)出現(xiàn)了WEP、WPA和802.11i共存的局面。1.802.11安全體系802.11標準提供了訪問認證和數(shù)據(jù)加密兩個方面的安全機制。它定義了兩種認證服務：開放系統(tǒng)認證（OpenSystemAuthentication）和共享密鑰認證（SharedKeyAuthentication）。其中開放系統(tǒng)認證是802.11的缺省認證方法，共享密鑰認證是可選的。802.11標準定義的加密規(guī)范是WEP。雖然802.11規(guī)范確實提供了認證和加密服務，但它卻沒有定義或提供WEP密鑰管理協(xié)議，這是IEEE802.11安全服務的不足之處。在擁有較多STA的大型無線infrastructure模式中，這一局限性所帶來的安全缺陷尤為明顯。(1)認證方式eq\o\ac(○,1)開放系統(tǒng)認證：包括請求工作站向響應工作站發(fā)送認證請求幀和響應工作站返回響應幀兩個步驟。整個驗證過程以明文方式進行，一般所有請求工作站都能成功認證，相當于無認證。eq\o\ac(○,2)共享密鑰認證：請求工作站請求認證時，響應工作站產(chǎn)生一個隨機的質(zhì)詢文本發(fā)送給請求工作站，請求方使用密鑰加密文本再次發(fā)送給響應方。響應工作站使用同樣的密鑰對文本解密并與原質(zhì)詢文本比較，相同則認證成功。共享的密鑰通過獨立的安全信道分發(fā)。(2)WEP加密算法WEP為對稱加密算法，核心部分是RC4流密碼加密方法。eq\o\ac(○,1)發(fā)送端加密過程：對原文進行運算，產(chǎn)生32位CRC循環(huán)冗余校驗碼，將明文與校驗碼級聯(lián)→選定一個長度為24bit的數(shù)作為初始向量IV并與密鑰連接起來構成種子密鑰，再送入RC4的偽隨機數(shù)生成器生成加密密鑰流→將加密密鑰流與明文按位異或生成密文。eq\o\ac(○,2)接收端解密過程：將IV和共享密鑰一起送入偽隨機數(shù)發(fā)生器，得到解密密鑰流。該解密密鑰流與加密密鑰流相同→將解密密鑰流和密文進行異或運算得到明文。→對明文進行CRC運算，得到校驗碼并與從幀中恢復的ICV值比較，相同則數(shù)據(jù)傳送成功。(3)安全漏洞和攻擊手段eq\o\ac(○,1)IV與密鑰直接級聯(lián)，容易產(chǎn)生弱密鑰。使用弱密鑰作為種子時RC4算法輸出的偽隨機序列存在一定的規(guī)律，攻擊者通過弱密鑰攻擊分析大量的數(shù)據(jù)后能很快破解密鑰。AT&T/RiceUniversity的研究者編制的AirSnort工具程序利用這個弱點可以在分析20000個幀后破解密鑰，并且只需要大約11s的時間。eq\o\ac(○,2)IV重復使用。IV沖突會導致多種攻擊，如展開統(tǒng)計式攻擊、頻率分析和draggingcribs。流密碼的特性導致異或兩個密文可以消去密鑰流，得到兩個明文的異或。因此攻擊者可以通過多次向工作站發(fā)送給定明文，監(jiān)聽、分析密文得到正確的密鑰流。eq\o\ac(○,3)單向身份驗證機制，且認證過程過于簡單。只有AP對申請接入的客戶端進行身份認證，而客戶端并不對AP進行身份認證。這種單向的身份認證方式導致了假冒的AP的存在。同時認證過程將密文和明文都暴露在無線鏈路上，容易被攻擊者通過竊聽捕獲，恢復出密鑰流。eq\o\ac(○,4)CRC32校驗算法是線性的。通過Bit-Flipping技術，攻擊者可以在篡改密文的同時正確的更改與明文對應的ICV，接收方解密后ICV就無法檢測出篡改，數(shù)據(jù)的完整性得不到保證。2.WPA安全體系WPA有WPA和WPA2兩個標準。WPA的數(shù)據(jù)加密采用加強的TKIP協(xié)議+MIC算法，可以通過在現(xiàn)有的設備上升級固件和驅(qū)動程序的方法達到提高WLAN安全的目的，而認證機制使用基于802.1x的雙向認證機制。除此之外，WPA還兼有密鑰管理算法和動態(tài)的會話密鑰。而WPA2是WPA的升級版，采用了相對更為安全的算法，用CCMP(Counter

Mode

and

Cipher

Block

Chaining

Message

Authentication

Code

Protocol，計數(shù)器模式及密碼塊鏈消息認證碼協(xié)議)+AES算法取代了WPA中的TKIP+MIC算法。（1）認證方式：WPA/WPA2根據(jù)認證方式可分為兩種模式：eq\o\ac(○,1)802.1x+EAP：企業(yè)版，使用802.1x協(xié)議進行認證，安全性能高，但需要一臺具有IEEE802.1X功能的第三方認證服務器（RADIUS遠程用戶撥號認證系統(tǒng)服務器）來發(fā)布不同的密鑰給各個用戶，隨后AP與STA通過四次握手確認雙方身份。eq\o\ac(○,2)Pre-sharedKey：個人版，采用預先共享密鑰(Pre-SharedKey)模式，仍舊采用靜態(tài)的共享密鑰作為主要的認證方式，用戶的密鑰相同，安全性能低，但不需要服務器。（2）TKIP加密算法:WPA采用了TKIP加密機制以及MIC算法來計算校驗和。TKIP是包裹在已有WEP密碼外圍的一層算法，這種加密方式在盡可能使用WEP算法的同時消除已知的WEP缺點。和WEP相比，TKIP有以下幾個改進的方面：eq\o\ac(○,1)擴展的48位初始化向量IV和新的IV順序規(guī)則。eq\o\ac(○,2)每包密鑰構建機制（per-packetkeyconstruction），防止了弱密鑰的出現(xiàn)。eq\o\ac(○,3)rekeying動態(tài)生成密鑰，因此密鑰且?guī)缀醪粫貜?，有效避免了重放攻擊。eq\o\ac(○,4)WPA采用"Michael"算法生成的消息完整碼MIC。進一步地，WPA使用的MIC包含了幀計數(shù)器，有效保證了信息完整性的同時避免了回放攻擊。圖.TKIP加密過程CCMP加密算法：CCMP是更高級、更健壯的協(xié)議。它基于AES加密算法，使用CCM

(Counter-Mode/CBC-MAC，計數(shù)器模式及密碼區(qū)塊鏈消息認證碼)模式來實現(xiàn)加密鑒別。CCMP的加密封裝過程如下：將MAC協(xié)議數(shù)據(jù)單元進行MIC計算，并將MIC附加在MPDU數(shù)據(jù)之后，再使用Counter-Mode對MPDU上的數(shù)據(jù)和MIC進行AES加密；最后將MPDU上的數(shù)據(jù)和MIC組成的數(shù)據(jù)塊和密鑰序列塊進行異或操作產(chǎn)生密文數(shù)據(jù)。（3）安全漏洞和攻擊手段:TKIP算法雖然改進了WEP中的大部分缺陷，但由于其實質(zhì)加密方式仍是RC4，因此被破解的威脅仍然是存在的，目前能破解TKIP的方法只有通過字典進行暴力攻擊。攻擊者通過根據(jù)所知道的密碼掩碼和密碼范圍生成一個字典，破解時不斷抓取四次握手包并將字典中的組密碼與密鑰進行重復比來暴力獲取文件密碼。這種破解的方法代價也是極大的，即使是1萬個人全速破解密碼，并且使用的4核心的處理器，也需要花上大約27年。3.IEEE802.11i

安全體系為了增強無線局域網(wǎng)的數(shù)據(jù)加密和認證性能，IEEE802.11i工作組在新一代安全標準中定義了RSN（RobustSecurityNetwork，堅固安全網(wǎng)絡）和TNS（TransitionSecurityNetwork，過渡安全網(wǎng)絡）安全體系。RNS提供了802.1x認證和共享密鑰認證方式。在數(shù)據(jù)加密方面，RNS定義了TKIP、CCMP和WRAP三種加密機制。其中TKIP基于WEP加密方式，CCMP機制是基于AES加密算法的CCM模式，而WRAP是一種可選的、基于AES加密算法的加密機制。而TNS是一個能支持WEP設備的RNS，用來使現(xiàn)今網(wǎng)絡方便的遷徙到RNS。(三)中國提出的WLAN安全標準——WAPI除了國際上的通用安全標準之外，我國也在2003年提出了無線局域網(wǎng)國家標準GB15629.11，標準中包含了全新的WAPI（WLANAuthenticationandPrivacyInfrastructure）安全機制，這種安全機制由WAI（WLANAuthenticationInfrastructure）實現(xiàn)對用戶身份的鑒別，WPI（WLANPrivacyInfrastructure）實現(xiàn)數(shù)據(jù)加密。WAI同802.11i一樣采用基于端口的雙向認證方式和公開密鑰密碼體制，整個認證過程由證書鑒別和密鑰協(xié)商組成，在認證過程中利用橢圓曲線加密算法，讓客戶端和AP協(xié)商出密鑰。WAI定義了一種名為ASU（AuthenticationServiceUnit，鑒別服務單元）的實體，用于管理參與信息交換各方所需要的證書。證書包含有證書頒發(fā)者的公鑰和簽名以及證書持有者的公鑰和簽名。而WPI的加密算法是由國家密碼管理委員會提供的分組加密算法，其算法是未公開的。2006年1月，國家質(zhì)檢總局頒布了三項補篇國家標準，形成了全面采用WAPI技術的WLAN國家標準體系。2008年，WAPI被運用于北京奧運會，用事實證明了其極高的安全和穩(wěn)定性。2010年6月，WAPI基礎框架方法獲國際標準化組織正式批準發(fā)布。2013年12月，商務部公布的《第24屆中美商貿(mào)聯(lián)委會中方成果清單》顯示W(wǎng)API的核心專利已在美國通過專利。至此，中德英法日韓美等多個國家已經(jīng)承認相關專利。如今WAPI已被中國移動、中國電信和新聯(lián)通三大電信運營企業(yè)標準采納，并不斷擴大著其影響力。然而另一方面，WAPI加密算法的未公開也使其遭到了國際上對其安全性的質(zhì)疑。同時，中國改變標準將意味著游戲規(guī)則和話語權的改變，外國相關利益集團可能喪失最大化利潤的優(yōu)勢。因此在推行WAPI的推行過程中，中國遭到了相關聯(lián)盟、世界IT巨頭甚至美國政府等各方面的阻礙。WAPI的最終生死仍然存疑。（四）無線網(wǎng)絡安全的新挑戰(zhàn)縱然我們已經(jīng)在網(wǎng)絡安全技術上取得了不少成就與突破，并初步構建了一個相對穩(wěn)定和安全的無線網(wǎng)絡環(huán)境，但網(wǎng)絡形態(tài)的快速發(fā)展和變化使得新的挑戰(zhàn)仍然在不斷涌現(xiàn)。美國科學家MarkWeiser曾預言了一個即將到來的偉大時代——“無所不在的計算”時代。隨后，日本提出了“無所不在、無所不包、無所不能”的泛在網(wǎng)絡的構想。隨著嵌入技術、分布式計算、RFID、傳感網(wǎng)絡、微功率、無線通信技術等相關技術日趨成熟，無線網(wǎng)絡正快速經(jīng)歷著異構融合和泛在化的演變。同時，“物聯(lián)網(wǎng)”概念的提出又給網(wǎng)絡的應用指引了新的發(fā)展方向，使無線網(wǎng)絡有了更為廣泛和多樣的延伸。當廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)、個域網(wǎng)的資源共享，不同的域之間的協(xié)同通信變得普遍，我們要如何確保跨網(wǎng)的信息安全？針對物聯(lián)網(wǎng)環(huán)境下異構多域網(wǎng)絡并存、多源異構數(shù)據(jù)海量、多樣化服務并發(fā)等核心問題，如何構建安全高效的物聯(lián)網(wǎng)信息安全體系？毫無疑問，我們現(xiàn)有網(wǎng)絡安全技術能否有效支持未來無線網(wǎng)絡異構、泛在、物聯(lián)的復雜環(huán)境仍然是值得質(zhì)疑的。另一方面，不斷發(fā)展的網(wǎng)絡形態(tài)同時也導致了網(wǎng)絡中對于安全需求的變化。隨著公共安全、智能交通、智慧家庭與移動社交、環(huán)境監(jiān)測、位置服務