博大精深 细致入微
无线网络安全的基础与标准
2022-09-21
无线安全技术的完善,使得该技术在最近几年内,从不受信任、仅能作为某个技术备胎的新鲜事物,逐步发展成为数据通讯的基石以及日常生活不可分割的一步分。据预测:很快,大多数人会将拥有的移动智能手机作为其重要的计算机工具。无线已经成为很多人通讯的选择。然而,如果没有有效的数据安全,无线技术就不会获得发展,人们仍然会依赖有线网络,尽管存在费用以及其它方面的不方便。
数据安全
何谓安全?我们都有需要保护的事物。在现实世界,我们有房屋和汽车;在数字世界,我们有个人数据,如社保号、在线密码和保密邮件交换等等。工、商业用户则希望保护它们的知识产权以及产品免受侵犯。
然而,我们会经常看到某些表面上看起来比较安全的公司网络被黑客攻击,而束手无策。那我们如何保护我们的财产不被盗窃或侵犯?这种担心由来已久。安全的基础是:我们自己可以不受妨碍的获取我们的财产,而其它人却受到限制或根本不能接触。
在现实世界,我们将门锁上,并用钥匙来打开它。在数字王国,我们输入一系列的数字和字母的组合来进入计算机或获取数据。最基本的原则是,有锁和钥匙,这个比喻要牢记脑海中。钥匙对锁是唯一的;没有其它的钥匙可以开启它。锁可以被取走,或者被破坏(暴力方法);钥匙可能被盗窃或借走。所有的安全措施都有类似的弱点。
图1:秘钥必须同时与客户端和接入点相匹配。将秘钥,包括其完整性校验值(ICV),以及密钥流整合到一起,来加密纯文本报文。图片来源:多样化技术服务公司。
数据的访问控制
无线安全可以包含几种不同的部分,这取决于个人或公司安全保护的需要。小型系统,比如小型办公室/家庭办公室的路由器或个人无线局域网(WLAN),一般通过密码来限制接入网络。大型企业WLAN也需要密码,但是还需要额外的授权和加密的方法,该方法依靠授权服务器来控制对无线网络的接入。大型企业还将流量限制为不同的角色,并依靠虚拟局域网(VLAN)和其它方法来对网络流量进一步细分。这些技术使得管理员可以控制数据,还可以依据工作职责或部门等层级来决定谁可以获取数据。
无线入侵检测系统(WIDS)也被用来发现和减少未经授权的用户,并持续监控网络;在大多数情况下这些系统非常有效,但是费用也比较高。最后,这一点也是经常被忽视的,无论WLAN规模的大小,必须有一个安全策略。大多数网络漏洞都受所谓的“社会工程”所累。这个词描绘的过程为:一个人由于受骗,将他或她的证明文件出示给未经授权的人。一个可靠的安全政策,在教育人们如何避免因受骗、或受迫而将授权证书出示给未经授权的人方面十分有效。
无线网络安全标准的发展
曾经,无线网络是有点昂贵的新鲜事物,并且没有用于任何关键应用上。开放系统授权(OSA),是早期用于网络接入的方法,仅仅由接入点(AP)向客户端查询,以便确保客户端设备兼容IEEE 802.11。当有线网络太贵或者无法实现时,无线被用作有线网络的延伸。随着WLAN设施应用的越来越广泛,开发、实施某种途径来确保无线网络的安全也应需而生。
保障无线网络安全的首次尝试就是所谓的有线等效加密(WEP)。WEP的目的就是为无线网络提供一种等效的数据可靠性验证方法,正如在有线网络中作用一样。WEP用随机产生的24位“初始向量”(IV),以及一个40或104位的静态秘钥(分别用于64位或128位WEP)来加密纯文本。秘钥必须同时与客户端和接入点相匹配。
WEP受制于其内在的缺陷,这种缺陷与密钥的构建和IV的重复使用有关。IV被用于传播纯文本,这样就有可能通过各种技术试探IV的复用和冲突,从而确定秘钥。其完整性校验值(ICV)基于循环冗余校验CRC-32,而这种方法本质上不是用于安全传输的;这就提供了另外一种试探的方法。使用常用工具,WEP能够在10秒钟内被攻破;因此WEP不再被使用,而且应该避免使用,即使在小型办公室环境下亦是如此。
临时密钥完整性协议(TKIP)被设计用于修补IV复用事宜。尽管使用的是现有设备,TKIP能够提供数据安全,因为它们可以通过固件的升级而实现升级。TKIP由IEEE 802.11i任务组和Wi-Fi联盟联合开发,用于替代WEP。它已经成为无线保护访问(WPA)的基础。这只是一个过渡措施,在更强健的安全机制被开发并投入使用前,提供的一种解决方案。TKIP使用动态产生的唯一128位加密秘钥,或者称之为“临时秘钥”,而WEP使用的是静态秘钥。一个被称为“4次握手协议”的过程,发生在接入点和客户端设备之间,用于产生这些秘钥。每帧还会指定一个序列号;如果某个帧接收时不在序列之内,则会被拒绝。
此外,由于使用了复杂的密钥,再加上开发更强密钥流的过程,就可以解决密钥太弱以及密钥复用的问题。设计TKIP的目的是用于使用WEP加密的过时设备;RC4密码在TKIP中也有所使用。最后,实现了增强的数据完整组合:报文完整性编码(MIC)。尽管TKIP的使用在WPA中是强制性的,但是在WAP2中确是可选的,因为WAP2强制使用CCMP-AES加密。
图3:CCMP加密过程框图。CCMP使用AES组密码,该组密码能够处理组内数据,加密方法一般称之为CCMP/AES
IEEE 802.11和CCMP/AES
自从认识到无线网络技术的应用正在呈指数级增长,而安全在支持该技术发展方面至关重要之后,IEEE 802.11i工作组就开始研究能够确保无线网络安全的先进方法。
从IEEE 802.11i修正案开始,强健安全网络(RSN)和强健安全网络联合(RSNA)就被引入以便为安全无线网络提供框架。一般来讲,成功的授权意味着交易的双方相互验证了对方的身份,并已经生成动态加密密钥来确保安全数据的传输。
WPA2是一种复杂的安全方法,该方法借鉴了美国联邦信息处理标准(FIPS-197)所提供的先进加密方法。WPA/WPA2的命名由Wi-Fi联盟开发,镜像了IEEE标准控制工程网版权所有,它实际上是一种认证,确保设备能够遵循一种常用的安全标准。WPA2规定了两种类型的安全:用于小型和小型办公室/家庭办公室网络的密码授权控制工程网版权所有,以及用于企业网络的802.1X/EAP安全。
WPA2强制使用一种新协议,计数器模式与密文块链接报文认证码协议(CCMP)。CCMP使用AES分组密码;代替在WEP中所使用的RC4密码以及临时密钥完整性协议。分组密码在数据块中处理数据,而数据流密码,比如RC4则以串行数据流的形式逐位加密。这种加密方式一般称之为CCMP/AES。CAES使用128位密钥,来加密128位数据组。CCMP/AES进行了多项改进,包括临时密钥(TK)、分组编码、一次性数据(仅使用一次的数字或位字符串)、上层加密、附加的授权数据(AAD)。应当明白的是:AES是一种标准而不是协议。AES标准规定了Rijndael对称分组密码的使用,它能使用128、192、和256位的密钥来加密128位的数据组。
CCMP是一种安全协议。它遵循精心设计的步骤,该步骤包括使用AES所规定算法来加密敏感数据。CCMP由可以提供特定功能的专门部件组成。它也使用一个临时密钥来完成所有的加密和数据完整性过程。
纵深防御策略的5个技巧
利用先进的网络安全和系统监控功能,能够改进电源可靠性、降低能源消耗。允许网络接入引发了工业企业对网络安全问题的担忧,纵深防御措施将会对此有所帮助。
为了做出智能电源管理的决定,以便降低能源消耗、改善电源可靠性非常关键的一点是监视并了解电源是如何被利用的,尽管收集和获取这些信息会引起大家对网络安全的关注。通过工业控制系统所实现的监视功能,可被用于获取设备的信息,从而避免停机、了解系统参数和诊断信息,但是同时也会造成一种新的风险:接触到未经授权的信息,或者为未经授权的用户提供无意识的接触到设备运行及参数设定的机会。
“纵深防御”是一种在组织内的多个层面建立不同屏障的策略,以确保工业控制系统的安全。关于“纵深防御”的5个技巧包括:
1. 在工业控制系统网络内的多个网段和区域之间,为通讯建立防火墙以便增加更严格的多重规则;
2. 通过将关键元件分组并将其与传统的商业IT网络隔离开来,从而在已建立的防火墙中建立非管制区;
3. 部署入侵检测和预防系统,着力识别出在工业控制系统网络中可能出现的偶发事件;
4. 针对工业控制网络的安全,建立良好的审查政策、流程、标准和指导方针,并用文本记录;
5. 持续进行安全评估和培训,确保工业控制系统的安全,以及依靠这些工业控制系统的人们的安全。
(作者:Daniel E. Capano)
<< 上一页
下一页 >>