• 易迪拓培训,专注于微波、射频、天线设计工程师的培养
首页 > RFID和物联网 > RFID > 802.11i增强WiFi技术的安全性

802.11i增强WiFi技术的安全性

录入:edatop.com     点击:

    在网络安全方面802.11i的提出是一个非常大的进步,它是对产品认证和访问的无线安全规范,是第一个令政府和商业公司都感到满意的无线安全解决方案的标准。802.11i标准获得通过,使企业在应用无线网络时看起来安全了许多。

    众所周知,无线局域网中的WEP加密机制并不能够为无线用户提供足够的安全保护。因此,自无线局域网开始商业应用之时,安全问题就成为了限制其进一步发展的主要制约因素。许多潜在的用户对于WLAN技术所带来的灵活性十分感兴趣,但却由于不能够得到可靠的安全保护而对是否采用WLAN系统犹豫不决。

    毫无疑问,802.11i的提出是一个非常大的进步,它是对产品认证和访问的无线安全规范,是第一个令政府和商业公司都感到满意的无线安全解决方案的标准。802.11i标准获得通过,使企业在应用无线网络时看起来安全了许多。

    802.11i基于强大的AES-CCMP(高速加密标准模式/CBC-MAC协议)加密算法,避免了WEP(有线等效协议)中不可避免的IV(向量初始化)和MIC(信息完整性检查)的错误。通过使用AES-CCMP,802.11i不仅能加密数据包的有效负载,还可以保护被选中数据包的头字段。IEEE 802.11i规定使用802.1x认证和密钥管理方式,在数据加密方面,定义了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)认证方式,使得WLAN的安全程度大大提高,是实现RSN的强制性要求。由于AES对硬件要求比较高,因此CCMP无法通过在现有设备的基础上进行升级实现。WRAP机制基于AES加密算法和OCB(Offset Codebook),是一种可选的加密机制。

    在802.11i标准没有获得IEEE通过以前,许多供应商就开始将AES框架下的产品移至802.11i框架下。Wi-Fi 联盟会在9月份开始对802.11i进行测试。它们还在开发WPA2规范,这个规范是Wi-Fi联盟为兼容802.11i标准而制定的,会在10月出台。WPA采用了802.1x和TKIP来实现WLAN的访问控制、密钥管理与数据加密。802.1x是一种基于端口的访问控制标准,用户必须通过了认证并获得授权之后,才能通过端口使用网络资源。TKIP虽然与WEP同样都是基于RC4加密算法,但却引入了4个新算法:
  ● 扩展的48位初始化向量(IV)和IV顺序规则(IV Sequencing Rules);
  ● 每包密钥构建机制(per-packet key construction);
  ● Michael(Message Integrity Code,MIC)消息完整性代码;
  ● 密钥重新获取和分发机制。

    支持WPA的AP工作需要在开放系统认证方式下,STA以WPA模式与AP建立关联之后,如果网络中有RADIUS服务器作为认证服务器,那么STA就使用802.1x方式进行认证;如果网络中没有RADIUS,STA与AP就会采用预共享密钥(PSK,Pre-Shared Key)的方式。

    STA通过了802.1x身份验证之后,AP会得到一个与STA相同的Session Key, AP与STA将该Session Key作为PMK(Pairwise Master Key,对于使用预共享密钥的方式来说,PSK就是PMK)。随后AP与STA通过EAPOL-KEY进行WPA的四次握手(4-Way Handshake)过程。

    在这个过程中,AP和STA均确认了对方是否持有与自己一致的PMK,如不一致,四次握手过程就告失败。为了保证传输的完整性,在握手过程中使用了名为MIC(Message Integrity Code)的检验码。在四次握手的过程中,AP与STA经过协商计算出一个512位的PTK(Pairwise Transient Key),并将该PTK分解成为五种不同用途的密钥。

    四次握手成功后,AP要生成一个256位的GTK(Group Transient Key),GTK是一组全局加密密钥,所有与该AP建立关联的STA均使用相同的GTK,AP用这个GTK来加密所有与它建立关联的STA的通信报文, STA则使用这个GTK来解密由AP发送的报文并检验其MIC。该密钥可以分解为三种不同用途的密钥, 最前面的128位作为构造全局“每报文密钥”(Per-packet Encryption Key)的基础密钥(Base Key),后面的两个64位的密钥分别作为计算和检验WPA数据报文的MIC的密钥。AP使用EAPOL-KEY加密密钥将GTK加密并发送给STA,并指明该GTK是否允许STA用作发送报文所使用,STA成功接收到该报文,将GTK解密后,向AP发送应答报文,并根据AP所指示的Key Index将其安装无线网卡的相应位置,如果AP使用GTK作为向某一STA单播传输的密钥,则该STA也需要使用GTK作为向AP发送单播报文的密钥。

    TKIP并不直接使用由PTK/GTK分解出来的密钥作为加密报文的密钥,而是将该密钥作为基础密钥(Base Key),经过两个阶段的密钥混合过程,从而生成一个新的每一次报文传输都不一样的密钥,该密钥才是用做直接加密的密钥。 通过这种方式可以进一步增强WLAN的安全性。

    目前几家大公司都针对802.11i推出了相应产品,Intel公司的802.11b/g和a/b/g适配器(Intel Pro/Wireless 模块 2200和2915)都支持WPA2,Dell和HP也推出了兼容802.11i适配器的驱动,IBM期望在这个季度将WPA2加入它的访问连接软件系列,但目前看来Intel符合802.11b的协议模块(Intel Pro/Wireless 2100)不太可能升级到802.11i。

    “Wi-Fi联盟”表示WPA2尽管首次在Wi-Fi网络上实现了128位的AES,但它也将需要新的访问卡,在有些情况下还需要新的访问节点。Wi-Fi卡和许多访问节点中的处理器的运算能力都不够强大,不能处理128位的密码,更强大的加密技术可能会迫使用户购买新的访问点和无线访问卡。这也许是802.11i标准的美中不足。

13.56MHz NFC天线,13.56MHz RFID天线设计培训课程套装,让天线设计不再难

上一篇:IEEE802.11e规范的服务质量保障机制解读
下一篇:Biometrics+RFID 催生安全新模式

13.56MHz 线圈天线设计详情>>
手机天线设计培训教程详情>>

手机天线设计培训教程 国内最全面、系统、专业的手机天线设计培训课程,没有之一;是您学习手机天线设计的最佳选择...【More..

  网站地图