博大精深 細致入微
無線網(wǎng)絡(luò)安全的基礎(chǔ)與標準
2022-09-21
無線安全技術(shù)的完善,使得該技術(shù)在最近幾年內(nèi),從不受信任、僅能作為某個技術(shù)備胎的新鮮事物,逐步發(fā)展成為數(shù)據(jù)通訊的基石以及日常生活不可分割的一步分。據(jù)預(yù)測:很快,大多數(shù)人會將擁有的移動智能手機作為其重要的計算機工具。無線已經(jīng)成為很多人通訊的選擇。然而,如果沒有有效的數(shù)據(jù)安全,無線技術(shù)就不會獲得發(fā)展,人們?nèi)匀粫蕾囉芯€網(wǎng)絡(luò),盡管存在費用以及其它方面的不方便。
數(shù)據(jù)安全
何謂安全?我們都有需要保護的事物。在現(xiàn)實世界,我們有房屋和汽車;在數(shù)字世界,我們有個人數(shù)據(jù),如社保號、在線密碼和保密郵件交換等等。工、商業(yè)用戶則希望保護它們的知識產(chǎn)權(quán)以及產(chǎn)品免受侵犯。
然而,我們會經(jīng)??吹侥承┍砻嫔峡雌饋肀容^安全的公司網(wǎng)絡(luò)被黑客攻擊,而束手無策。那我們?nèi)绾伪Wo我們的財產(chǎn)不被盜竊或侵犯?這種擔(dān)心由來已久。安全的基礎(chǔ)是:我們自己可以不受妨礙的獲取我們的財產(chǎn),而其它人卻受到限制或根本不能接觸。
在現(xiàn)實世界,我們將門鎖上,并用鑰匙來打開它。在數(shù)字王國,我們輸入一系列的數(shù)字和字母的組合來進入計算機或獲取數(shù)據(jù)。最基本的原則是,有鎖和鑰匙,這個比喻要牢記腦海中。鑰匙對鎖是唯一的;沒有其它的鑰匙可以開啟它。鎖可以被取走,或者被破壞(暴力方法);鑰匙可能被盜竊或借走。所有的安全措施都有類似的弱點。
圖1:秘鑰必須同時與客戶端和接入點相匹配。將秘鑰,包括其完整性校驗值(ICV),以及密鑰流整合到一起,來加密純文本報文。圖片來源:多樣化技術(shù)服務(wù)公司。
數(shù)據(jù)的訪問控制
無線安全可以包含幾種不同的部分,這取決于個人或公司安全保護的需要。小型系統(tǒng),比如小型辦公室/家庭辦公室的路由器或個人無線局域網(wǎng)(WLAN),一般通過密碼來限制接入網(wǎng)絡(luò)。大型企業(yè)WLAN也需要密碼,但是還需要額外的授權(quán)和加密的方法,該方法依靠授權(quán)服務(wù)器來控制對無線網(wǎng)絡(luò)的接入。大型企業(yè)還將流量限制為不同的角色,并依靠虛擬局域網(wǎng)(VLAN)和其它方法來對網(wǎng)絡(luò)流量進一步細分。這些技術(shù)使得管理員可以控制數(shù)據(jù),還可以依據(jù)工作職責(zé)或部門等層級來決定誰可以獲取數(shù)據(jù)。
無線入侵檢測系統(tǒng)(WIDS)也被用來發(fā)現(xiàn)和減少未經(jīng)授權(quán)的用戶,并持續(xù)監(jiān)控網(wǎng)絡(luò);在大多數(shù)情況下這些系統(tǒng)非常有效,但是費用也比較高。最后,這一點也是經(jīng)常被忽視的,無論WLAN規(guī)模的大小,必須有一個安全策略。大多數(shù)網(wǎng)絡(luò)漏洞都受所謂的“社會工程”所累。這個詞描繪的過程為:一個人由于受騙,將他或她的證明文件出示給未經(jīng)授權(quán)的人。一個可靠的安全政策,在教育人們?nèi)绾伪苊庖蚴茯_、或受迫而將授權(quán)證書出示給未經(jīng)授權(quán)的人方面十分有效。
無線網(wǎng)絡(luò)安全標準的發(fā)展
曾經(jīng),無線網(wǎng)絡(luò)是有點昂貴的新鮮事物,并且沒有用于任何關(guān)鍵應(yīng)用上。開放系統(tǒng)授權(quán)(OSA),是早期用于網(wǎng)絡(luò)接入的方法,僅僅由接入點(AP)向客戶端查詢,以便確??蛻舳嗽O(shè)備兼容IEEE 802.11。當(dāng)有線網(wǎng)絡(luò)太貴或者無法實現(xiàn)時,無線被用作有線網(wǎng)絡(luò)的延伸。隨著WLAN設(shè)施應(yīng)用的越來越廣泛,開發(fā)、實施某種途徑來確保無線網(wǎng)絡(luò)的安全也應(yīng)需而生。
保障無線網(wǎng)絡(luò)安全的首次嘗試就是所謂的有線等效加密(WEP)。WEP的目的就是為無線網(wǎng)絡(luò)提供一種等效的數(shù)據(jù)可靠性驗證方法,正如在有線網(wǎng)絡(luò)中作用一樣。WEP用隨機產(chǎn)生的24位“初始向量”(IV),以及一個40或104位的靜態(tài)秘鑰(分別用于64位或128位WEP)來加密純文本。秘鑰必須同時與客戶端和接入點相匹配。
WEP受制于其內(nèi)在的缺陷,這種缺陷與密鑰的構(gòu)建和IV的重復(fù)使用有關(guān)。IV被用于傳播純文本,這樣就有可能通過各種技術(shù)試探IV的復(fù)用和沖突,從而確定秘鑰。其完整性校驗值(ICV)基于循環(huán)冗余校驗CRC-32,而這種方法本質(zhì)上不是用于安全傳輸?shù)?;這就提供了另外一種試探的方法。使用常用工具,WEP能夠在10秒鐘內(nèi)被攻破;因此WEP不再被使用,而且應(yīng)該避免使用,即使在小型辦公室環(huán)境下亦是如此。
臨時密鑰完整性協(xié)議(TKIP)被設(shè)計用于修補IV復(fù)用事宜。盡管使用的是現(xiàn)有設(shè)備,TKIP能夠提供數(shù)據(jù)安全,因為它們可以通過固件的升級而實現(xiàn)升級。TKIP由IEEE 802.11i任務(wù)組和Wi-Fi聯(lián)盟聯(lián)合開發(fā),用于替代WEP。它已經(jīng)成為無線保護訪問(WPA)的基礎(chǔ)。這只是一個過渡措施,在更強健的安全機制被開發(fā)并投入使用前,提供的一種解決方案。TKIP使用動態(tài)產(chǎn)生的唯一128位加密秘鑰,或者稱之為“臨時秘鑰”,而WEP使用的是靜態(tài)秘鑰。一個被稱為“4次握手協(xié)議”的過程,發(fā)生在接入點和客戶端設(shè)備之間,用于產(chǎn)生這些秘鑰。每幀還會指定一個序列號;如果某個幀接收時不在序列之內(nèi),則會被拒絕。
此外,由于使用了復(fù)雜的密鑰,再加上開發(fā)更強密鑰流的過程,就可以解決密鑰太弱以及密鑰復(fù)用的問題。設(shè)計TKIP的目的是用于使用WEP加密的過時設(shè)備;RC4密碼在TKIP中也有所使用。最后,實現(xiàn)了增強的數(shù)據(jù)完整組合:報文完整性編碼(MIC)。盡管TKIP的使用在WPA中是強制性的,但是在WAP2中確是可選的,因為WAP2強制使用CCMP-AES加密。
圖3:CCMP加密過程框圖。CCMP使用AES組密碼,該組密碼能夠處理組內(nèi)數(shù)據(jù),加密方法一般稱之為CCMP/AES
IEEE 802.11和CCMP/AES
自從認識到無線網(wǎng)絡(luò)技術(shù)的應(yīng)用正在呈指數(shù)級增長,而安全在支持該技術(shù)發(fā)展方面至關(guān)重要之后,IEEE 802.11i工作組就開始研究能夠確保無線網(wǎng)絡(luò)安全的先進方法。
從IEEE 802.11i修正案開始,強健安全網(wǎng)絡(luò)(RSN)和強健安全網(wǎng)絡(luò)聯(lián)合(RSNA)就被引入以便為安全無線網(wǎng)絡(luò)提供框架。一般來講,成功的授權(quán)意味著交易的雙方相互驗證了對方的身份,并已經(jīng)生成動態(tài)加密密鑰來確保安全數(shù)據(jù)的傳輸。
WPA2是一種復(fù)雜的安全方法,該方法借鑒了美國聯(lián)邦信息處理標準(FIPS-197)所提供的先進加密方法。WPA/WPA2的命名由Wi-Fi聯(lián)盟開發(fā),鏡像了IEEE標準控制工程網(wǎng)版權(quán)所有,它實際上是一種認證,確保設(shè)備能夠遵循一種常用的安全標準。WPA2規(guī)定了兩種類型的安全:用于小型和小型辦公室/家庭辦公室網(wǎng)絡(luò)的密碼授權(quán)控制工程網(wǎng)版權(quán)所有,以及用于企業(yè)網(wǎng)絡(luò)的802.1X/EAP安全。
WPA2強制使用一種新協(xié)議,計數(shù)器模式與密文塊鏈接報文認證碼協(xié)議(CCMP)。CCMP使用AES分組密碼;代替在WEP中所使用的RC4密碼以及臨時密鑰完整性協(xié)議。分組密碼在數(shù)據(jù)塊中處理數(shù)據(jù),而數(shù)據(jù)流密碼,比如RC4則以串行數(shù)據(jù)流的形式逐位加密。這種加密方式一般稱之為CCMP/AES。CAES使用128位密鑰,來加密128位數(shù)據(jù)組。CCMP/AES進行了多項改進,包括臨時密鑰(TK)、分組編碼、一次性數(shù)據(jù)(僅使用一次的數(shù)字或位字符串)、上層加密、附加的授權(quán)數(shù)據(jù)(AAD)。應(yīng)當(dāng)明白的是:AES是一種標準而不是協(xié)議。AES標準規(guī)定了Rijndael對稱分組密碼的使用,它能使用128、192、和256位的密鑰來加密128位的數(shù)據(jù)組。
CCMP是一種安全協(xié)議。它遵循精心設(shè)計的步驟,該步驟包括使用AES所規(guī)定算法來加密敏感數(shù)據(jù)。CCMP由可以提供特定功能的專門部件組成。它也使用一個臨時密鑰來完成所有的加密和數(shù)據(jù)完整性過程?!?/span>
縱深防御策略的5個技巧
利用先進的網(wǎng)絡(luò)安全和系統(tǒng)監(jiān)控功能,能夠改進電源可靠性、降低能源消耗。允許網(wǎng)絡(luò)接入引發(fā)了工業(yè)企業(yè)對網(wǎng)絡(luò)安全問題的擔(dān)憂,縱深防御措施將會對此有所幫助。
為了做出智能電源管理的決定,以便降低能源消耗、改善電源可靠性非常關(guān)鍵的一點是監(jiān)視并了解電源是如何被利用的,盡管收集和獲取這些信息會引起大家對網(wǎng)絡(luò)安全的關(guān)注。通過工業(yè)控制系統(tǒng)所實現(xiàn)的監(jiān)視功能,可被用于獲取設(shè)備的信息,從而避免停機、了解系統(tǒng)參數(shù)和診斷信息,但是同時也會造成一種新的風(fēng)險:接觸到未經(jīng)授權(quán)的信息,或者為未經(jīng)授權(quán)的用戶提供無意識的接觸到設(shè)備運行及參數(shù)設(shè)定的機會。
“縱深防御”是一種在組織內(nèi)的多個層面建立不同屏障的策略,以確保工業(yè)控制系統(tǒng)的安全。關(guān)于“縱深防御”的5個技巧包括:
1. 在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)的多個網(wǎng)段和區(qū)域之間,為通訊建立防火墻以便增加更嚴格的多重規(guī)則;
2. 通過將關(guān)鍵元件分組并將其與傳統(tǒng)的商業(yè)IT網(wǎng)絡(luò)隔離開來,從而在已建立的防火墻中建立非管制區(qū);
3. 部署入侵檢測和預(yù)防系統(tǒng),著力識別出在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中可能出現(xiàn)的偶發(fā)事件;
4. 針對工業(yè)控制網(wǎng)絡(luò)的安全,建立良好的審查政策、流程、標準和指導(dǎo)方針,并用文本記錄;
5. 持續(xù)進行安全評估和培訓(xùn),確保工業(yè)控制系統(tǒng)的安全,以及依靠這些工業(yè)控制系統(tǒng)的人們的安全。
(作者:Daniel E. Capano)
<< 上一頁
下一頁 >>