无线局域网的安全灵药 – “IEEE 802.11i”(二)

前篇文章谈到了 ”IEEE 802.11i” 的三个主要元件之一 验证 (authentication) 。接着再来聊聊另外两个元件 加密 (encryption) 以及金钥管理 (key management)

加密 (encryption)

802.11i 设计了一个 半新 和全新的加密协定 , 分别是 TKIP CCMP

TKIP - 之所以称 TKIP 为一个 半新 的加密协定 , 只是因为它保留了 WEP 所使用的加密引擎 RC4 和基本架构。作这样的保留是为了要使 TKIP 能够相容于支援 WEP 的硬体 , 以便于使用者日后升级。事实上 TKIP 原本被称为 WEP2, 但由于 WEP 经证实存在瑕疵 , 为了能与 WEP 有所区隔 , 因此更名为 TKIP

WEP 最大的弱点在于过短的 IV 以及直接以使用者设定的 WEP 金钥为输入项目产生金钥串流 , 再以之结合资料进行加密。 TKIP 24-bit IV 增加为 48-bit, 如此可以有效防止 IV 空间在金钥的使用期限内耗尽。再来就是 RC4 用来产生金钥串流的金钥 , TKIP , 这把用来产生金钥串流的金钥是以配钥 (key mixing) 的方式产生的。首先无线装置和 AP 之间在验证阶段或重新验证阶段 (802.11i 规范的验证方式 ) 会以随机 (random) 的方式协商出成对主钥 PMK, 这把 PMK 的任务之一就是要衍生出暂时金钥 (temporal key), 并于配送 (distribution) 金钥时对金钥进行加密。 TKIP 再以暂时金钥以及其他元素 ( 例如传送端的 MAC address) 为输入项目 , 进行二个阶段的配钥程序产生出密钥 , 这个密钥就是用来产生金钥串流的种子。也因为使用配钥的方式 , 使得 TKIP 能为每一个传送的讯眶 (frame) 打造一把独特的密钥。

CCMP - WEP 以及 TKIP 均使用 RC4 演算法。 RC4 是一种以串流密码锁 (stream cipher) 为基础的演算法。由于 RC4 本身隐含了极大的瑕疵 , 虽然 TKIP 针对 WEP 的弱点作了重大的改良 , 但仍免不了存在着 RC4 本身隐含的弱点。有鉴于此 ,802.11i 重新设计了一个以 AES 为基础的的加密协定 - CCMP

AES 是以区块密码锁 (block cipher) 为基础、强度高于 RC4 的一种演算法。因此 AES 也被认为是比 WEP/TKIP 所采用的 RC4 更适合应用在无线局域网 (WLAN) 的一种 MAC 加密演算法。但是由于 AES 的复杂度更高 , 需要更多的硬体运算资源 , 因此无法向下相容于早期仅支持 WEP 的硬体。言下之意 , 早期的无线网路设备可能无法透过软体更新 / 升级的方式来支持 CCMP  

金钥管理 (key management)

金钥管理的复杂度绝对不亚于加密协定的复杂度。简单的说 ,802.11i 定义的金钥管理包括了金钥阶层 (key hierarchy) 、无线网路设备间 ( 例如无线网路装置和 AP) 如何协商出金钥、金钥的衍生 (derivation) 以及金钥的配送 (distribution) 等。

 

802.11i – 固安网路连线 RSNA 定义的三项主要元件包含验证 (authentication) 、加密 (encryption) 以及金钥管理 (key management), 三者是一连串相辅相成的程序 , 缺一不可。

 

之所以称 802.11i 为安全灵药而不是万灵丹 , 是因为 802.11i 只解决了无线局域网 MAC 的安全问题 ( 当然这是它的主要任务之一 ), 也就是说如果 AP 同时扮演着有线网路和无线网路的桥接器 ( 当然目前大部分的 AP 都具备这样的功能 , 也都同时扮演着这样的角色 ), 资料讯眶 (frame) 一旦流出 AP 到有线网路环境 , 这样的安全加密便不复存在 , 若想保持整个通讯会期 (session) 的资料加密 , 就有赖于上层的加密协定 ( 例如 IPSec VPN SSL VPN) 。那 802.11i 另一个主要任务是什么呢 !? 嘿嘿嘿 !!! 当然就是要消弭使用者对于无线局域网的安全疑虑啰 !!!

posted on 2007-03-14 00:22 C. H. 阅读(955) 评论(0)  编辑 收藏 引用 所属分类: WLAN无线乐园

只有注册用户登录后才能发表评论。
<2024年12月>
24252627282930
1234567
891011121314
15161718192021
22232425262728
2930311234

导航

统计

公告

我相信-
科技始终来自于人性
科技的目的是要让”不可能”成为”可能”

我来自于台湾
现于江苏省-镇江市落脚
我是C. H.

----------------------------------

MSN: iceliao618@hotmail.com

留言簿(2)

随笔分类(22)

随笔档案(22)

相册

玩转科技时尚-3C数码

搜索

积分与排名

最新评论

阅读排行榜