无线安全被打破后的思考:我们该如何做好无线安全?

2010年2月5日 分类: 网来往事

无线安全被打破后的思考:我们该如何做好无线安全?
现在随着无线网络的普及,wifi的覆盖到处都是,3G网络的覆盖也遍及了大中城市的各个角落,无线信号无处不在。尤其是wlan,家庭和企业的网络安全面临了严重的威胁。安全问题日益突出,有超过50%的人,自己的无线网络遭到入侵。在大肆破-解的背后,也说明了现在人们的安全意识还很薄弱。阻止黑客的入侵和信息的窃取值得我们思考。
如今我们面对诸如欺骗攻击,网络资源的窃取,战争驾驶等无线网络安全威胁。对于家庭用户,损失的可能只是带宽的资源被占用,而对于企业,就可能面临公司的机密资料被泄露窃取,导致无法估计的损失。所以,有必要增加安全防范知识。技术不断在更新,新的安全漏洞会不断出现,现在认为的成熟的安全协议,很有可能在若干年后,脆弱的变的不堪一击,就像现如今的WEP一样。安全是一种思想,随着技术的更新,在不断强化。无线破-解后,我们需要做的就是不断强化我们的安全意识,而不是一味的去破-解新的无线网络。中国无线论坛希望大家今后能多多交流更多更深层的无线安全的技术,共同建立安全干净的无线网络。
现在由中国自主研究开发的WAPI的无线局域网的安全标准在国际上越来越受到重视。无线网络正变的更加安全。当然,强调的一点,对于安全,没有绝对的安全,只能做到尽力而为。

下面就WAPI做下简单的介绍,大家可以对无线安全有更深入的了解。文章来源与维基百科。原文地址:http://zh.wikipedia.org/w/index.php?title=WAPI&variant=zh-cn
WAPI基本概念
什么是WAPI
WAPI(Wireless Authentication Privacy Infrastructure),无线验证与保密结构,一般读作(WAIPI)。是一种应用于WLAN系统的安全性协议。WAPI安全系统采用公钥密码技术,鉴别服务器AS负责证书的颁发、验证与吊销等,无线客户端即移动终端与无线接入点AP上都安装有AS颁发的公钥证书,作为自己的数字身份凭证。当移动终端MT登录至无线接入点AP时,在使用或访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果,持有合法证书的移动终端MT才能接入持有合法证书的无线接入点AP,也就是说才能通过AP访问网络。这样不仅可以防止非法移动终端MT接入AP而访问网络并占用网络资源,而且还可以防止移动终端MT登录至非法AP而造成信息泄漏。
无线局域网鉴别与保密基础结构(WAPI)系统中包含以下部分:
WAI鉴别及密钥管理
WPI数据传输保护
WAPI的历史
1992年,中国开始无线局域网研究
1994年,中国第一台WLAN样机,通过部级鉴定
2003年5月,国家强制标准GB 15629.11/1102-2003批准发布
2003年12月,质检总局、认监委发布公告,宣布对无线局域网产品实施强制性产品认证
2004年3月,美国务卿、商务部长和贸易代表联名致信,要求中国放弃WAPI标准
2004年4月,国家质检总局、国家认监委、国家标准委联合发布公告:2004年6月1日将延期强制实施WAPI标准
2005年11月,发改委等八部委连续召开WAPI部际联席会议
2005年12月,财政部等三部委联合 “关于印发无线局域网产品政府采购实施意见的通知”
2006年1月,GB15629.11-2003第1号修改单和2项WLAN扩展子项国家强制性标准颁布
2006年6月,质检总局、国标委联合发布《关于发布无线局域网国家标准的公告》
2009年4月, 中国工信部召集手机厂商开会,宣布今后国内所有2G和3G手机都可以使用WAPI技术

WAPI的证书体制
WAPI为了解决目前无线局域网的安全机制存在的漏洞和隐患,利用基于数字证书的双向认证,在客户端(无线网卡)与无线接入点(AP)之间建立一个相互验证的方法,双方都在一个合理的时间内证明它们的合法性,只有双向的身份验证才能使检测和隔离虚假访问点与非法客户端成为可能。
具体来说,基于WAPI协议的WLAN安全网络由AP、客户端和认证服务器(AS)三个实体组成,利用公开密码体系完成客户端和AP间的双向认证,认证过程中利用椭圆曲线密码算法,客户端和AP间协商出会话密钥;对通信过程中的数据采用国家密码主管部门指定的加密算法完成加密。同时,WAPI还支持在通信过程中在一定时间间隔后或传输了一定数量的数据包后,更新会话密钥。
WAPI提供有线无线一体化IP数据访问安全方案,可以在用户信息系统中提供集中的安全认证和管理方案。

加解密算法
WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法。

WPI
无线局域网保密基础结构(WPI)对MAC子层的MPDU进行加、解密处理,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

WAI
无线局域网鉴别基础结构(WAI)不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理。从而满足更多用户和更复杂的安全性要求。

WAPI和802.11i的对比

项目WEPWAPIIEEE 802.11i
鉴别鉴别机制单向鉴别(AP鉴别MT)双向鉴别(AP和MT通过AS实现相互的身份鉴别)单向和双向鉴别(MT和Radius之间),MT不能够鉴别AP的合法性
鉴别方法开放式系统鉴别(或共享密钥鉴别)身份凭证为公钥数字证书; 无线用户与无线接入点地位对等,实现无线接入点的接入控制; 客户端支持多证书,方便用户多处使用 用户身份通常为用户名和口令; AP后端的Radius服务器对用户进行认证;
鉴别对象客户机用户用户
密钥管理无全集中(局域网内统一由AS管理)AP和Radius服务器之间需手工设置共享密钥; AP和MT之间只定义了认证体系结构,不同厂商的具体设计可能不兼容;
算法64 bit RC4192位椭圆曲线算法(ECC192)与具体的协议有关
安全漏洞鉴别易于伪造未查明用户身份凭证简单,被盗取后可任意使用;
加密密钥静态动态动态
算法64 bit RC4私有加密算法 SMS4128 bit AES和128 bit RC4

WAPI的标准化情况
GB15629.11
基于WAPI协议,中国于2003年5月颁布了基于WAPI安全协议的无线局域网基础性国家标准GB15629.11-2003《无线局域网媒体访问控制和物理层规范》和扩展子项标准GB 15629.1102-2003《无线局域网媒体访问控制和物理层规范:2.4GHz频段较高速物理层扩展规范》;WAPI以其技术先进性获2005年国家技术发明奖二等奖、获2005年第九届联合国世界知识产权组织和国家知识产权局联合颁发的中国发明专利金奖。
2006年1月,国家质检总局颁布了无线局域网修改单GB 15629.11-2003/XG1-2006及其扩展子项国家标准GB 15629.1101-2006《无线局域网媒体访问控制和物理层规范:5.8GHz频段高速物理层扩展规范》、GB15629.1104-2006《无线局域网媒体访问控制和物理层规范:2.4GHz频段更高数据速率扩展规范》、GB/T 15629.1103-2006《无线局域网媒体访问控制和物理层规范:附加管理域操作规范》等三项补篇国家标准,形成了全面采用WAPI技术的WLAN国家标准体系。

国际标准的推进情况
2009年6月1日至5日,在ISO/IEC JTC1/SC6在日本东京召开全会上,WAPI获包括美、英、法等10余个与会国家成员体一致同意,将以独立文本形式推进为国际标准,由此WAPI也成为无线计算机网络通信无线局域网技术领域除IEEE标准组织之外,惟一由ISO/IEC国家成员体(中国)直接提交的国际标准提案。

标签: , , , , , , , , ,

2 条评论 于 “无线安全被打破后的思考:我们该如何做好无线安全?”

  1. 2010年4月6日21:02
    1
    ChromePlus 1.3.8.2 ChromePlus 1.3.8.2 Windows XP Windows XP
    Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/533.3 (KHTML, like Gecko) Chrome/5.0.356.2 Safari/533.3 ChromePlus/1.3.8.2

    我挖坟我自重。。
    封IP已经阻止不了我了。。

    • 灵曦
      2010年4月6日21:04
      2
      Maxthon 2.0 Maxthon 2.0 Windows 7 Windows 7
      Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MAXTHON 2.0)

      2B,哥是解冻了

灵曦

/qy /sy /hx /hp /cj /hz /yang more »