无线WLAN的安全技术体系
随着移动互联网的大潮,人们对随时随地享受网速更快、费用更低甚至是免费的网络访问有着庞大的需求。无线wlan所具备的高带宽、低成本的特性正是满足这种庞大需求的高速无线联网的接入技术,使得越来越多的区域提供无线wlan的接入服务。
做为一项开放性的公共服务,并且是通过开放性媒介(空气),使用电磁波作为载体来传输数据信号,无线通信双方是没有物理线缆连接的。如果无线信号在空气中传输的过程未采取适当的加密保护,数据传输的风险就会大大增加。任何人都有条件窃听或干扰信息,因此对越权存取和窃听的行为也更不容易防备。在2001年拉斯维加斯的黑客会议上,安全专家就指出,无线网络将成为黑客攻击的另一块热土。因此在wlan中确保传输的信号安全显得尤为重要。
无线wlan的安全基本措施一般来说有以下4个方面:信息过滤、链路认证、数据安全以及接入认证。
1.信息过滤
通过对多个无线接入点ap(access point)设置不同的ssid,并要求无线工作站出示正确的ssid才能访问ap,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为ssid是一个简单的口令,从而提供一定的安全,但如果配置ap向外广播其ssid,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该ssid,很容易共享给非法用户。如果ap停止广播ssid(静默),那么sta必须主动提供正确的ssid才能与ap相连。所以通过设置ssid的方式可以过滤一部分非法用户,但由于一般情况下,用户自己配置客户端系统,通过共享会使得越来越多人的都知道该ssid,很容易共享给非法用户。
2.链路认证
链路认证即wlan链路关联身份验证,是一种低级的身份验证机制。在sta同ap进行关联时发生,该行为早于接入认证。任何一个sta试图连接网络前,都必须进行链路身份验证进行身份确认。可以把链路身份验证看作是sta连接到网络时的握手过程的起点,是网络连接过程中的第一步。常用的链路认证方案包括开放系统身份认证和共享密钥身份认证。
开放系统认证
第一步,sta请求认证。sta发出认证请求,请求中包含sta的id(通常为 mac 地址)。
第二步,ap返回认证结果。ap发出认证响应,响应报文中包含表明认证是成功还是失败的消息。如果认证结果为成功,那么sta和ap 就通过双向认证。
共享密钥认证
共享密钥认证需要sta和ap配置相同的共享密钥。具体过程如下。
第一步,sta先向ap发送认证请求;
第二步,ap会随机产生一个challenge包(即一个字符串)发送给sta;
第三步,sta会将接收到字符串拷贝到新的消息中,用密钥加密后再发送给ap;
第四步,ap接收到该消息后,用密钥将该消息解密,然后对解密后的字符串和最初给sta的字符串进行比较。如果相同,则说明sta拥有无线设备端相同的共享密钥,即通过了共享密钥认证;否则共享密钥认证失败。
3.数据安全
通过对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了 wlan数据的安全性保护。
在wlan中通过有线等效加密(wep)、暂时密钥集成协议(tkip)和高级加密标准 aes-ccmp等三种方式进行数据加密,以保证信息的传输过程不被恶意窃取。
wep是mac层加密算法,保护终端与ap间的安全基,于对称密钥的rc4算法。wep加密采用静态的密钥,所有sta采用相同的密钥访问无线网络。
wep加密可以在open system、shared key链路认证方式中使用。
开放系统认证:wep密钥只做加密,即使密钥配的不一致,用户也是可以上线,但上线后传输的数据会因为密钥不一致被接收端丢弃。
共享密钥认证:如果双方密钥不一致,客户端就不能通过 shared key认证,无法上线。即当 wep和 shared key认证方式配合使用时,wep也可以作为一种认证方法。
认证是单向的,ap能认证客户端,但客户端没法认证ap。初始向量(iv)太短,重用很快,为攻击者提供很大的方便。wep没有办法应付所谓“重传攻击”(replayattack)。icv采用crc-32,报文很容易被篡改而不被发现。wep只支持预配置密钥,没有密钥管理,更新,分发的机制,完全要手工配置,用户往往常年不会去更换。
为增强wep加密机制而设计的过渡方案。它也和wep加密机制一样使用的是rc4算法,但是相比wep加密机制,tkip加密机制可以为wlan服务提供更加安全的保护,主要体现在以下几点:静态wep的密钥为手工配置,且一个服务区内的所有用户都共享同一把密钥,而tkip的密钥为动态协商生成,每个传输的数据包都有一个与众不同的密钥;tkip将密钥的长度由wep的40位加长到128位,初始化向量iv的长度由24位加长到48位,提高了wep加密的安全性;tkip支持mic认证(message integrity check,信息完整性校验)和防止重放攻击功能。
发送端会使用加密算法计算一个mic(message integrity code,消息完整码),tkip只要在msdu进行分片前将mic追加到msdu后面,形成一个新的msdu就好了,分片的事,它不管,那是mpdu的事情。接收端收到mpdu分片以后,会先将它们重组成一个msdu,然后进行mic的校验。
ccmp加密使用的aes算法中都是使用的128bit的密钥和128bit的加密块,ccm主要有两个参数:m=8,表示mic是8个字节;l=2,表示长度域是两个字节一共16位,这样就可以满足mpdu最大的长度。同时ccm需要给每个session指定不同的temporal key,而且每一个被加密的mpdu都需要一个指定的临时值,所以ccmp使用了一个48bit的pn(packet number),对同一个pn的使用将会使安全保证失效。
简单来说,tkip主要是用来加强wep加密,这个升级主要体现在算法上,使用tkip加密,并不需要进行硬件的升级,也就是说只要你的硬件支持wep加密,那么同时也能够支持更安全的tikp加密,同过软件升级来达到安全系数提高的目的,这种做法更加的平滑,也更容易被市场接受。但是ccmp不同,它必须要更新的硬件支持才能使用,所以tkip成了从wep过渡到ccmp的中间产物,按照标准来说,如果你的设备可以用tkip加密,就不要用wep加密,如果可以支持ccmp加密,就不要用tkip。
出售Agilent86106B光/电模块
C++优化方法
创“新”正当“适” :Xilinx 积极拥抱“新基建”
如何利用人工智能进行打拐
新宙邦发布2020年年报,去年实现营业收入29.61亿元
无线WLAN的安全技术体系
勾币究竟是不是真正的数字货币
关于自恢复保险丝的选型建议,看这七点就够了!
中芯国际与光刻机巨头ASML签订12亿美元订单
罗平锌电发布2020年三季度报告,较上年同期由盈转亏
Android 12使通过AirDrop解放“附近共享”轻松共享无线连接的凭据
Wolf3D致力构建跨平台服务 将不同虚拟体整合到一个的虚拟世界
永磁同步电动机原理
红米RedmiBook14体验 到底怎么样
OnRobot推出2.5D视觉系统“Eyes”,实现视觉引导机器人应用的极致简易操作
2030年苹果要实现整个供应链的碳中和
如何扩大卷积来消除与Transformer的性能差距
利用机器学习技术和无人机技术实现高度精确地探测“蝴蝶”地雷
74ls192计数器应用电路图大全(五款电子骰子/计时/定时电路)
常用的一些压力传感器的工作原理及应用介绍
做为一项开放性的公共服务,并且是通过开放性媒介(空气),使用电磁波作为载体来传输数据信号,无线通信双方是没有物理线缆连接的。如果无线信号在空气中传输的过程未采取适当的加密保护,数据传输的风险就会大大增加。任何人都有条件窃听或干扰信息,因此对越权存取和窃听的行为也更不容易防备。在2001年拉斯维加斯的黑客会议上,安全专家就指出,无线网络将成为黑客攻击的另一块热土。因此在wlan中确保传输的信号安全显得尤为重要。
无线wlan的安全基本措施一般来说有以下4个方面:信息过滤、链路认证、数据安全以及接入认证。
1.信息过滤
通过对多个无线接入点ap(access point)设置不同的ssid,并要求无线工作站出示正确的ssid才能访问ap,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为ssid是一个简单的口令,从而提供一定的安全,但如果配置ap向外广播其ssid,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所以很多人都知道该ssid,很容易共享给非法用户。如果ap停止广播ssid(静默),那么sta必须主动提供正确的ssid才能与ap相连。所以通过设置ssid的方式可以过滤一部分非法用户,但由于一般情况下,用户自己配置客户端系统,通过共享会使得越来越多人的都知道该ssid,很容易共享给非法用户。
2.链路认证
链路认证即wlan链路关联身份验证,是一种低级的身份验证机制。在sta同ap进行关联时发生,该行为早于接入认证。任何一个sta试图连接网络前,都必须进行链路身份验证进行身份确认。可以把链路身份验证看作是sta连接到网络时的握手过程的起点,是网络连接过程中的第一步。常用的链路认证方案包括开放系统身份认证和共享密钥身份认证。
开放系统认证
第一步,sta请求认证。sta发出认证请求,请求中包含sta的id(通常为 mac 地址)。
第二步,ap返回认证结果。ap发出认证响应,响应报文中包含表明认证是成功还是失败的消息。如果认证结果为成功,那么sta和ap 就通过双向认证。
共享密钥认证
共享密钥认证需要sta和ap配置相同的共享密钥。具体过程如下。
第一步,sta先向ap发送认证请求;
第二步,ap会随机产生一个challenge包(即一个字符串)发送给sta;
第三步,sta会将接收到字符串拷贝到新的消息中,用密钥加密后再发送给ap;
第四步,ap接收到该消息后,用密钥将该消息解密,然后对解密后的字符串和最初给sta的字符串进行比较。如果相同,则说明sta拥有无线设备端相同的共享密钥,即通过了共享密钥认证;否则共享密钥认证失败。
3.数据安全
通过对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了 wlan数据的安全性保护。
在wlan中通过有线等效加密(wep)、暂时密钥集成协议(tkip)和高级加密标准 aes-ccmp等三种方式进行数据加密,以保证信息的传输过程不被恶意窃取。
wep是mac层加密算法,保护终端与ap间的安全基,于对称密钥的rc4算法。wep加密采用静态的密钥,所有sta采用相同的密钥访问无线网络。
wep加密可以在open system、shared key链路认证方式中使用。
开放系统认证:wep密钥只做加密,即使密钥配的不一致,用户也是可以上线,但上线后传输的数据会因为密钥不一致被接收端丢弃。
共享密钥认证:如果双方密钥不一致,客户端就不能通过 shared key认证,无法上线。即当 wep和 shared key认证方式配合使用时,wep也可以作为一种认证方法。
认证是单向的,ap能认证客户端,但客户端没法认证ap。初始向量(iv)太短,重用很快,为攻击者提供很大的方便。wep没有办法应付所谓“重传攻击”(replayattack)。icv采用crc-32,报文很容易被篡改而不被发现。wep只支持预配置密钥,没有密钥管理,更新,分发的机制,完全要手工配置,用户往往常年不会去更换。
为增强wep加密机制而设计的过渡方案。它也和wep加密机制一样使用的是rc4算法,但是相比wep加密机制,tkip加密机制可以为wlan服务提供更加安全的保护,主要体现在以下几点:静态wep的密钥为手工配置,且一个服务区内的所有用户都共享同一把密钥,而tkip的密钥为动态协商生成,每个传输的数据包都有一个与众不同的密钥;tkip将密钥的长度由wep的40位加长到128位,初始化向量iv的长度由24位加长到48位,提高了wep加密的安全性;tkip支持mic认证(message integrity check,信息完整性校验)和防止重放攻击功能。
发送端会使用加密算法计算一个mic(message integrity code,消息完整码),tkip只要在msdu进行分片前将mic追加到msdu后面,形成一个新的msdu就好了,分片的事,它不管,那是mpdu的事情。接收端收到mpdu分片以后,会先将它们重组成一个msdu,然后进行mic的校验。
ccmp加密使用的aes算法中都是使用的128bit的密钥和128bit的加密块,ccm主要有两个参数:m=8,表示mic是8个字节;l=2,表示长度域是两个字节一共16位,这样就可以满足mpdu最大的长度。同时ccm需要给每个session指定不同的temporal key,而且每一个被加密的mpdu都需要一个指定的临时值,所以ccmp使用了一个48bit的pn(packet number),对同一个pn的使用将会使安全保证失效。
简单来说,tkip主要是用来加强wep加密,这个升级主要体现在算法上,使用tkip加密,并不需要进行硬件的升级,也就是说只要你的硬件支持wep加密,那么同时也能够支持更安全的tikp加密,同过软件升级来达到安全系数提高的目的,这种做法更加的平滑,也更容易被市场接受。但是ccmp不同,它必须要更新的硬件支持才能使用,所以tkip成了从wep过渡到ccmp的中间产物,按照标准来说,如果你的设备可以用tkip加密,就不要用wep加密,如果可以支持ccmp加密,就不要用tkip。
出售Agilent86106B光/电模块
C++优化方法
创“新”正当“适” :Xilinx 积极拥抱“新基建”
如何利用人工智能进行打拐
新宙邦发布2020年年报,去年实现营业收入29.61亿元
无线WLAN的安全技术体系
勾币究竟是不是真正的数字货币
关于自恢复保险丝的选型建议,看这七点就够了!
中芯国际与光刻机巨头ASML签订12亿美元订单
罗平锌电发布2020年三季度报告,较上年同期由盈转亏
Android 12使通过AirDrop解放“附近共享”轻松共享无线连接的凭据
Wolf3D致力构建跨平台服务 将不同虚拟体整合到一个的虚拟世界
永磁同步电动机原理
红米RedmiBook14体验 到底怎么样
OnRobot推出2.5D视觉系统“Eyes”,实现视觉引导机器人应用的极致简易操作
2030年苹果要实现整个供应链的碳中和
如何扩大卷积来消除与Transformer的性能差距
利用机器学习技术和无人机技术实现高度精确地探测“蝴蝶”地雷
74ls192计数器应用电路图大全(五款电子骰子/计时/定时电路)
常用的一些压力传感器的工作原理及应用介绍