無線網(wǎng)絡(luò)安全協(xié)議改革思考

前言：本站為你精心整理了無線網(wǎng)絡(luò)安全協(xié)議改革思考范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要:IEEE802.1l標(biāo)準(zhǔn)和802.11b標(biāo)準(zhǔn)為WLAN定義了WEP協(xié)議——加密和認(rèn)證機(jī)制.但是,WEP協(xié)議有很多的安全漏洞。首先簡要描述了WEP協(xié)議的加密和認(rèn)證機(jī)制.然后總結(jié)了WEP協(xié)議的各種安全漏洞,最后重點(diǎn)描述了兩種不同條件下彌補(bǔ)漏洞的方案。

關(guān)鍵詞:無線局域網(wǎng);認(rèn)證安全;WLAN;無線網(wǎng)絡(luò)協(xié)議;WEP協(xié)議

1加密過程

從明文到密文.經(jīng)過了兩次處理,一次用來加密明文,另一次求完整性校驗和防止篡改數(shù)據(jù)。40-bit的共享密鑰K與初始向量IV(InitializationVector)聯(lián)接起來,構(gòu)成密鑰。以該密鑰作為偽隨機(jī)數(shù)發(fā)生器(PRNC-PseudorandomNumberGenerator)的種子,生成偽隨機(jī)數(shù)序列,作為晟后加密數(shù)據(jù)所用的實(shí)際密鑰。PRNG使用RC4算法產(chǎn)生偽隨機(jī)數(shù)序列。ICV是通過CRC-32算法生成的,長4個字節(jié)。明文與完整性校驗和連接在一起,再與偽隨機(jī)數(shù)序列做異或運(yùn)算,從而產(chǎn)生密文,所以加密結(jié)果要比明文長4個字節(jié)。

2認(rèn)證過程

“開放系統(tǒng)認(rèn)證”實(shí)際上就足不要身份認(rèn)證。因為它甚至小需要STA(Station)提供正確的身份信息,所以“這種認(rèn)證方式不具有安全性。保留這種認(rèn)證方式的原因就是為了方便使用。“共享密鑰認(rèn)證”的共享密鑰與用來加解密的密鑰相同。

3WEP協(xié)議存在的安全漏洞

(1)使用共享密鑰這種方式加密和認(rèn)證,當(dāng)有很多的STA和AP都知道共享的密鑰時,密鑰的保街性很難得到保證。

(2)WEP協(xié)議的共享密鑰用來加密數(shù)據(jù)顯得過短,不能抵抗某些具有強(qiáng)大計算能力的組織或個人的窮舉攻擊或字典攻擊。

(3)WEP協(xié)議的初始向量IV為24-bit,難以保證不重復(fù)出現(xiàn),大概每半天就將重復(fù)一次。WEP協(xié)議建議每個數(shù)據(jù)包使用不同的IV,但是由于IV的重復(fù)使用率較高,所以RC4密鑰流的加密方式對于已知明文攻擊的抵抗能力相對較弱。

(4)IV的使用方式在WEP協(xié)議中沒有明確定義.因而某些不合理的使用方式將導(dǎo)致其抵抗攻擊的能力大大降低,比如使用IV遞增方式,使得IV可以很容易地被預(yù)測到。

(5)可以采用某些手段使得即使使用ICV也無法檢測到數(shù)據(jù)包的變化,比如把密文C篡改為C’而不被發(fā)現(xiàn)。

4彌補(bǔ)漏洞的高級方案

隨著計算機(jī)設(shè)備的計算能力的不斷提高,傳統(tǒng)采用的臨時辦法的抗攻擊能力將變得越來越弱。所以.新架設(shè)的WLAN基礎(chǔ)設(shè)施位該采用下述的高級方案來改善WLAN的安全性。高級方案的核心是用802IX標(biāo)準(zhǔn)來進(jìn)行加密和認(rèn)證,它與802.11和80211b標(biāo)準(zhǔn)所定義的加密和認(rèn)證方式是不兼容的.所以該方案不足以針對上述所描述的各個漏洞而分別提出改進(jìn)方案,而是一個全新的安全方案。

802IX利用可擴(kuò)展認(rèn)證協(xié)泌EAP(ExlensibleAuthen-tieationPmtoco)代替WEP協(xié)議的共享密鑰認(rèn)證方式。EAP協(xié)議既可以用于無線網(wǎng)也可以用于有線網(wǎng),而且提供了多種認(rèn)證方法,如公鑰認(rèn)證方法等。802IX協(xié)議連提供了密鑰動態(tài)分配和更新的功能,有效地解決了WEP在密鑰管理方面的空白。身份認(rèn)證和密鑰脅商的步驟如下:

(1)STA向AP提交聯(lián)網(wǎng)申請消息。

(2)AP應(yīng)以EAP—request消息來要求STA提供身份信息。同時,除了STA發(fā)往認(rèn)證服務(wù)器(如RADIUS-RemoteAuthenticationDialInUserServieelalll)的EAP數(shù)據(jù)包之外,AP阻塞STA發(fā)出的所有其它數(shù)據(jù)包,如DHCP、0P3數(shù)據(jù)包等。直到STA成功登錄到同絡(luò)之后,這些數(shù)據(jù)包才被允許通過。

(3)STA同應(yīng)以EAP-response消息,其中含有用戶身份信息。

(4)認(rèn)證服務(wù)器使用特定的認(rèn)證方法來認(rèn)證用戶的身份。下面以EAP為例說明認(rèn)證過程,并假設(shè)認(rèn)證服務(wù)器是RADIUS服務(wù)器。RADIUS服務(wù)器首先發(fā)出挑戰(zhàn)數(shù)據(jù)包。然后STA求出用戶口令與挑戰(zhàn)數(shù)據(jù)包串聯(lián)后的單向散列結(jié)果,發(fā)回給RADIUS服務(wù)器,RADIUS服務(wù)器從用戶數(shù)據(jù)庫中取得口令信息并執(zhí)行同樣的求散列操作,將計算結(jié)果與STA發(fā)回的數(shù)據(jù)比較,如果相同,則STA通過證.RADIUS服務(wù)器發(fā)送EAP消息給STA;反之,則不能通過身份驗證,RADIUS服務(wù)器發(fā)送EAP—rcject消息給STA。該過程反過來再執(zhí)行一次,就能實(shí)現(xiàn)STA對RADIUS服務(wù)器的認(rèn)證。當(dāng)雙向身份認(rèn)證成功完成之后,STA與RADIus服務(wù)器之間要協(xié)商一個會話密鑰,該會話櫥鑰對每個STA都不同。

(5)RADIUS服務(wù)器發(fā)送會話密鑰到AP,這段是通過有線網(wǎng)傳輸?shù)?所以可以使用明文傳輸。

(6)AP用會話密鑰加密廣播密鑰.并將加密結(jié)果發(fā)給STA,STA用會活密鑰解密而得到廣播密鑰。

(7)STA與AP按照AES(AdvancedEncryptionStan-dard)協(xié)議,使用會話密鑰和廣播密鑰繼續(xù)會話。

參考文獻(xiàn)

[1]張堯?qū)W.透明計算:概念、結(jié)構(gòu)和示例[J].電子學(xué)報,2004,32(12A):169-174.

[2]周悅芝,張堯?qū)W,王勇.一種用于網(wǎng)絡(luò)計算的可定制啟動協(xié)議[J].軟件學(xué)報,2003,14(3).