无线安全基石IEEE 802.11i
网络设备
最近有读者来信询问百通,关于IEEE 802.11a/b/g/n(草案)等无线网络的标准,百通已介绍得很多。而IEEE 802.11i又是什么呢?它又有何特点呢?
它是什么
IEEE 802.11i是目前主流的无线安全标准,这一标准被广泛地应用在各种无线设备中,是无线局域网的安全基石。
相比有线网络,无线网络的信号容易在传输过程中被第三方截获,所以无线网络的安全便成为很多无线用户关注的焦点。
在IEEE 802.11i出现之前,无线局域网的主流安全标准是有线等效协议(WEP),它使用共享密钥RC4加密算法。使用静态WEP加密可以设置4个WEP Key,使用动态WEP加密时,WEP Key会随时间变化而变化。许多年以来,WEP技术一直用于WLAN安全防范中的加密、身份验证和密钥管理等领域。但WEP的弱点众所周知,WEP的查问/应答鉴别机制中存在的漏洞使WEP密钥易被破解。
而IEEE 802.11i的出现解决了WEP的这些不足,它以WiFi保护访问协议(WPA)为基础,WPA迅速解决了WEP存在的缺陷问题。
为何安全
IEEE 802.11i标准具备新的加密密钥协议,即动态密钥完整性协议(TKIP)和高级加密标准(AES),能与IEEE 802.11a/b/g/n(草案)等无线标准良好的共存。
IEEE 802.11i标准在数据加密方面,定义了TKIP、CCMP(Counter-Mode/CBC-MAC Protocol,计数器模式/密文反馈链接消息认证码协议)和WRAP(Wireless Robust Authenticated Protocol,无线健壮认证协议)三种加密机制。
TKIP虽然与WEP同样基于RC4加密算法,却引入了4个新算法,TKIP并不直接使用由PTK/GTK分解出来的密钥作为加密报文的密钥,而是将该密钥作为基础密钥,经过两个阶段的密钥混合,从而生成一个新的每一次报文传输都不一样的密钥,所以它可以进一步增强WLAN的安全性,大大增加了破解密钥的难度。
与WEP相比,WPA(Wi-Fi Protected Access,WiFi保护接入)利用了TKIP加密和802.1x以及可扩展认证协议(EAP)作为认证机制,所以它的安全性比WEP强得多。
在实际应用中,支持WPA的无线路由器需要工作在开放系统认证方式下,无线终端以WPA模式与无线路由器建立关联之后,如果网络中有RADIUS服务器作为认证服务器,那么无线终端就使用802.1x方式进行认证;如果网络中没有RADIUS,无线终端与无线路由器就会采用预共享密钥的方式。WPA改善了我们所熟知的WEP的大部分弱点,通过无线设备及Windows系统对WPA的支持,可大大增强无线网络安全性。
IEEE 802.11i无线安全标准的普及应用,大大增加了无线网络的安全性。当然,有盾就有矛,十全十美的安全技术还未诞生,IEEE 802.11i还有不少缺点和漏洞,但正是在这种不断完善之中,盾抵御矛进攻的能力才越来越强。