為了使WLAN技術從這種被動局面中解脫出來, IEEE 802.11i工作組致力於制訂被稱為IEEE 802.11i的新壹代安全標準,
802.11i的網絡構架
802.11i標準規定了兩種網絡構架:過渡安絡(TSN)和強健的安絡(RSN)。
TSN:規定在其網絡中可以兼容現有的使用WEP方式工作的設備,使現有的無線局域網系統可以向802.11i網絡平穩過渡。市場對於提高WLAN安全的需求是十分緊迫的,IEEE 802.11i不能解決上述RSN對於現有設備升級困難的問題,標準的制定進展也不能完全滿足這壹需要。因此,TSN的發展和制定就顯得十分重要。
在這種情況下,Wi-Fi聯盟制定了WPA(Wi-Fi Protected Access)標準,作為向IEEE 802.11i過渡的中間標準。這壹標準采用了IEEE 802.11i的草案,保證了與未來出現的協議的前向兼容。
RSN:為了使WLAN技術從這種被動局面中解脫出來, IEEE 802.11的i工作組致力於制訂被稱為IEEE 802.11i的新壹代安全標準,這種安全標準為了增強WLAN的數據加密和認證性能,定義了RSN(Robust Security Network,健壯安絡)的概念,並且針對WEP加密機制的各種缺陷做了多方面的改進。
IEEE 802.11i的安全改進:
相比以往的無線安全協議,IEEE 802.11i具有以下壹些技術優勢:
WLAN底層引入AES算法,克服WEP的缺陷
有線對等保密(WEP)協議的缺陷延緩了無線局域網(WLAN)在許多企業內的應用和普及。無線局域網網絡會暴露某個網絡,因此,從安全的角度來講,不能像核心企業網絡而必須像接入網絡那樣來對待。如果企業用戶通過壹個局域網交換中心互相連接,人們就可認為他們已經成為信任用戶。
WEP在接入點和客戶端之間以“RC4”方式對分組信息進行加密的技術,密碼很容易被破解。WEP使用的加密密鑰包括收發雙方預先確定的40位(或者104位)通用密鑰,和發送方為每個分組信息所確定的24位、被稱為IV密鑰的加密密鑰。但是,為了將IV密鑰告訴給通信對象,IV密鑰不經加密就直接嵌入到分組信息中被發送出去。如果通過無線竊聽,收集到包含特定IV密鑰的分組信息並對其進行解析,那麽就連秘密的通用密鑰都可能被計算出來。
為了幫助堵住無線局域網中的安全漏洞,IEEE 802.11工作組建立了802.11i任務小組,為802.11標準開發安全升級。802.11i規定了壹個基於“高級加密標準”AES加密算法的CCMP(Counter-Mode/CBC-MAC Protocol)數據加密模式CCMP,以實施更強大的加密和信息完整性檢查。
AES是1997年1月由NIST提出的,其目的是開發壹種新的能保證政府信息安全的編碼算法。AES是壹種對稱的塊加密技術,提供比WEP/TKIP中RC4算法更高的加密性能。對稱密碼系統要求收發雙方都知道密鑰,而這種系統的困難在於如何安全地將密鑰分配給收發的雙方,特別是在網絡環境中。AES加密算法使用128bit分組加碼數據。
它的輸出更具有隨機性,對128比特、輪數為7的密文進行攻擊時需要幾乎整個的密碼本,對192、256比特加密的密文進行攻擊不僅需要密碼本,還需要知道相關的但並不知道密鑰的密文,這比WEP具有更高的安全性,攻擊者要獲取大量的密文,耗用很大的資源,花費更長的時間破譯。它解密的密碼表和加密的密碼表是分開的,支持子密鑰加密,這種做法優於最初的用壹個特殊的密鑰解密,很容易防護冪攻擊和同步攻擊,加密和解密的速度快,在安全性上優於WEP。
AES算法支持任意分組的大小,密鑰的大小為128、192、256,可以任意組合。它初始時間快,其固有的並行性可以有效地利用處理器資源,有很好的軟件性能。在加密和解密分別進行的時候,很適合有限距離的環境,並且對ROM和RAM要求很低;當加密和解密同時進行的時候,對ROM要求有所上升,但仍適合距離有限的環境。AES還適用於交叉存取和非交叉存取兩種情況。在這兩種情況下,它的性能幾乎沒有變化,這使得DSP設備可以有效地優化其密碼。此外,AES還具有應用範圍廣、等待時間短、相對容易隱藏、吞吐量高的優點。經過比較分析,可知此算法在性能等各方面都優於WEP,利用此算法加密,無線局域網的安全性會獲得大幅度提高,從而能夠有效地防禦外界攻擊。
采用WPA規範使現有設備向IEEE802.11i平穩過渡
企業對無線局域網技術的主要擔心是Wi-FI技術缺少壹個可靠的安全標準。而WiFi聯盟為了滿足現在市場的需求,制定了WPA(Wi-Fi Protected Access)標準作為壹種可替代 WEP的無線安全技術,在 IEEE 802.11i 標準最終確定前,將為IEEE 802.11 無線局域網 (WLAN)提供更強大的安全性能。
WPA是IEEE 802.11i的壹個子集,其核心就是IEEE 802.1x和TKIP。IEEE 802.11i與WPA的關系如圖2所示。
WPA考慮到了不同的用戶和不同的應用安全需要,例如:企業用戶需要很高的安全保護(企業級),否則可能會泄漏非常重要的商業機密;而家庭用戶往往只是使用網絡來瀏覽 Internet、收發Email、打印和***享文件,這些用戶對安全的要求相對較低。為了滿足不同要求用戶的需要,WPA中規定了兩種應用模式:
企業模式。通過使用認證服務器和復雜的安全認證機制來保護無線網絡通信安全。
家庭模式(包括小型辦公室)。在AP(或者無線路由器)以及連接無線網絡的無線終端上輸入***享密鑰來保護無線鏈路的通信安全。
WPA是繼承了WEP基本原理而又解決了WEP缺點的壹種新技術。由於WPA利用暫時密鑰完整協議(TKIP)作為改進WEP所使用密鑰的安全性的協議和算法,加強了生成加密密鑰的算法,因此即便收集到分組信息並對其進行解析,也幾乎無法計算出通用密鑰。另外,TKIP與WEP壹樣將此密鑰用於RC4加密處理。WPA和以AES加密方式工作的11i不同,可以以軟件方式和附加硬件設備實現的,避免了更換硬件帶來的成本問題。WPA還采用IEEE 802.11x來實現防止數據中途被篡改的功能和認證功能。