無線網絡安全協(xié)議改革思考

前言：本站為你精心整理了無線網絡安全協(xié)議改革思考范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

摘要:IEEE802.1l標準和802.11b標準為WLAN定義了WEP協(xié)議——加密和認證機制.但是,WEP協(xié)議有很多的安全漏洞。首先簡要描述了WEP協(xié)議的加密和認證機制.然后總結了WEP協(xié)議的各種安全漏洞,最后重點描述了兩種不同條件下彌補漏洞的方案。

關鍵詞:無線局域網;認證安全;WLAN;無線網絡協(xié)議;WEP協(xié)議

1加密過程

從明文到密文.經過了兩次處理,一次用來加密明文,另一次求完整性校驗和防止篡改數據。40-bit的共享密鑰K與初始向量IV(InitializationVector)聯接起來,構成密鑰。以該密鑰作為偽隨機數發(fā)生器(PRNC-PseudorandomNumberGenerator)的種子,生成偽隨機數序列,作為晟后加密數據所用的實際密鑰。PRNG使用RC4算法產生偽隨機數序列。ICV是通過CRC-32算法生成的,長4個字節(jié)。明文與完整性校驗和連接在一起,再與偽隨機數序列做異或運算,從而產生密文,所以加密結果要比明文長4個字節(jié)。

2認證過程

“開放系統(tǒng)認證”實際上就足不要身份認證。因為它甚至小需要STA(Station)提供正確的身份信息,所以“這種認證方式不具有安全性。保留這種認證方式的原因就是為了方便使用。“共享密鑰認證”的共享密鑰與用來加解密的密鑰相同。

3WEP協(xié)議存在的安全漏洞

(1)使用共享密鑰這種方式加密和認證,當有很多的STA和AP都知道共享的密鑰時,密鑰的保街性很難得到保證。

(2)WEP協(xié)議的共享密鑰用來加密數據顯得過短,不能抵抗某些具有強大計算能力的組織或個人的窮舉攻擊或字典攻擊。

(3)WEP協(xié)議的初始向量IV為24-bit,難以保證不重復出現,大概每半天就將重復一次。WEP協(xié)議建議每個數據包使用不同的IV,但是由于IV的重復使用率較高,所以RC4密鑰流的加密方式對于已知明文攻擊的抵抗能力相對較弱。

(4)IV的使用方式在WEP協(xié)議中沒有明確定義.因而某些不合理的使用方式將導致其抵抗攻擊的能力大大降低,比如使用IV遞增方式,使得IV可以很容易地被預測到。

(5)可以采用某些手段使得即使使用ICV也無法檢測到數據包的變化,比如把密文C篡改為C’而不被發(fā)現。

4彌補漏洞的高級方案

隨著計算機設備的計算能力的不斷提高,傳統(tǒng)采用的臨時辦法的抗攻擊能力將變得越來越弱。所以.新架設的WLAN基礎設施位該采用下述的高級方案來改善WLAN的安全性。高級方案的核心是用802IX標準來進行加密和認證,它與802.11和80211b標準所定義的加密和認證方式是不兼容的.所以該方案不足以針對上述所描述的各個漏洞而分別提出改進方案,而是一個全新的安全方案。

802IX利用可擴展認證協(xié)泌EAP(ExlensibleAuthen-tieationPmtoco)代替WEP協(xié)議的共享密鑰認證方式。EAP協(xié)議既可以用于無線網也可以用于有線網,而且提供了多種認證方法,如公鑰認證方法等。802IX協(xié)議連提供了密鑰動態(tài)分配和更新的功能,有效地解決了WEP在密鑰管理方面的空白。身份認證和密鑰脅商的步驟如下:

(1)STA向AP提交聯網申請消息。

(2)AP應以EAP—request消息來要求STA提供身份信息。同時,除了STA發(fā)往認證服務器(如RADIUS-RemoteAuthenticationDialInUserServieelalll)的EAP數據包之外,AP阻塞STA發(fā)出的所有其它數據包,如DHCP、0P3數據包等。直到STA成功登錄到同絡之后,這些數據包才被允許通過。

(3)STA同應以EAP-response消息,其中含有用戶身份信息。

(4)認證服務器使用特定的認證方法來認證用戶的身份。下面以EAP為例說明認證過程,并假設認證服務器是RADIUS服務器。RADIUS服務器首先發(fā)出挑戰(zhàn)數據包。然后STA求出用戶口令與挑戰(zhàn)數據包串聯后的單向散列結果,發(fā)回給RADIUS服務器,RADIUS服務器從用戶數據庫中取得口令信息并執(zhí)行同樣的求散列操作,將計算結果與STA發(fā)回的數據比較,如果相同,則STA通過證.RADIUS服務器發(fā)送EAP消息給STA;反之,則不能通過身份驗證,RADIUS服務器發(fā)送EAP—rcject消息給STA。該過程反過來再執(zhí)行一次,就能實現STA對RADIUS服務器的認證。當雙向身份認證成功完成之后,STA與RADIus服務器之間要協(xié)商一個會話密鑰,該會話櫥鑰對每個STA都不同。

(5)RADIUS服務器發(fā)送會話密鑰到AP,這段是通過有線網傳輸的,所以可以使用明文傳輸。

(6)AP用會話密鑰加密廣播密鑰.并將加密結果發(fā)給STA,STA用會活密鑰解密而得到廣播密鑰。

(7)STA與AP按照AES(AdvancedEncryptionStan-dard)協(xié)議,使用會話密鑰和廣播密鑰繼續(xù)會話。

參考文獻

[1]張堯學.透明計算:概念、結構和示例[J].電子學報,2004,32(12A):169-174.

[2]周悅芝,張堯學,王勇.一種用于網絡計算的可定制啟動協(xié)議[J].軟件學報,2003,14(3).