Wi-Fi®安全状况
Wi-Fi®安全状况
Wi-Fi Alliance® 2009年9月
执行摘要
Wi-Fi Alliance通过其Wi-Fi CERTIFIED™项目,致力于推动无线局域网(WLAN)设备和网络互操作性的运用与技术创新。Wi-Fi CERTIFIED设备可带来即开即用的多厂商互操作性及出色的性能。
Wi-Fi安全的发展
Wi-Fi技术发展迅速,以适应日新月异的市场和技术形势。全球对WPA和WPA2等先进的安全机制的运用进一步加强了世界范围内对Wi-Fi CERTIFIED设备的信赖(表1)。
1997年9月 |
IEEE 802.11标准获批,包括WEP |
|
2000年4月 |
Wi-Fi CERTIFIED项目推出,支持WEP |
|
2001年5月 |
IEEE 802.11i工作组成立 |
|
2003年4月 |
WPA推出,包括 • IEEE 802.1X鉴权 • 支持临时密钥完整性协议(TKIP)加密 • 支持EAP传输层安全(EAP-TLS) |
|
2003年9月 |
WPA成为针对所有Wi-Fi CERTIFIED设备的强制性要求 |
|
2004年6月 |
IEEE 802.11i修正版获批 |
|
2004年9月 |
WPA2推出,包括: • IEEE 802.1X鉴权 • 支持AES加密 • 支持EAP-TLS |
|
2005年4月 |
增加对四种EAP类型的支持: • EAP隧道TLS微软挑战握手认证协议第2版(EAP-TTLS/MSCHAPv2) • 保护EAP第0版(PEAPv0)/EAP-MSCHAPv2 |
|
• EAP用户识别模块(EAP-SIM) • 保护EAP第1版(PEAPv1)/ EAP通用令牌卡(EAP-GTC) |
||
2006年3月 |
WPA2成为针对所有Wi-Fi CERTIFIED设备的强制性要求 |
|
2007年1月 |
Wi-Fi保护设置项目推出 |
|
2007年11月 |
IEEE 802.11w工作组成立 |
|
2009年5月 |
新增对EAP-AKA和EAP-FAST的支持 |
|
表1 Wi-Fi安全大事记
接入控制和加密技术进步以及平行的标准化工作(尤其是IEEE 802.11i(媒体接入控制[MAC]层安全增强))和IEEE 802.11w(保护管理框架)工作组的工作)实现了Wi-Fi安全的发展。 随着Wi-Fi运用的增长而突出的新应用和使用情况促使新型安全机制问世。几年前,Wi-Fi在住宅和企业网络中的迅速普及增加了WEP审查,其局限性很快被察觉。此外,Wi-Fi作为家庭主要接入技术的出现、公共热点的日益普及以及传送敏感和关键任务数据的企业网络的部署提高了对Wi-Fi的安全审查要求。 作为第一代安全解决方案,WEP由于在重要大小(最初为40位,后来扩展到104位)上的局限性以及缺乏重播侦测功能而容易受到攻击。因此,用户不得不通过使用虚拟专用网(VPN)、IEEE 802.1X或专有解决方案对WEP加以补充,以满足他们的安全需求。 到2003年,Wi-Fi Alliance已改用包括IEEE 802.11i修正版子集的WPA。WPA是在预期 IEEE 802.11i修正版通过的情况下,为弥补WEP的不足而设计的第二代临时解决方案;IEEE 802.11i修正版随后被并入IEEE 802.11-2007标准中,对Wi-Fi安全机制做出了规定(表2)。WPA用TKIP进行数据加密。WPA鉴权由IEEE 802.1X利用EAP为企业用户提供,由PSK为住宅和个人用户提供。
2004年,在IEEE 802.11i修正版获批的同时,Wi-Fi Alliance推出了WPA2。起初,它是一项可选认证,但于2006年成为取代WPA、针对提交认证的所有新设备的强制性要求。虽然建立在WPA功能的基础之上,但WPA2引入了更强大的加密功能,增加了使用AES分组密码的CCMP协议。2006年以来接受测试的所有Wi-Fi CERTIFIED设备都支持WPA2,为Wi-Fi用户提供最先进的标准安全机制。WPA2迅速成为Wi-Fi设备运用最广、最值得信赖的安全框架。
WEP |
WPA |
WPA2 |
||
主要加密机制 |
手动密钥分配,使用Rivest密码法4(RC4)流密码的共享密钥 |
基于RC4流密码的TKIP |
使用128位AES分组密码的计数器模式密码块链信息认证码协议(CCMP) |
|
数据完整性 |
线性哈希函数 |
密码哈希函数 |
||
密钥管理 |
无 |
有 |
||
重播侦测 |
无 |
有 |
||
WPA2技术概述
厂商和用户对WPA2的广泛认可和信赖源于四个关键因素:
双向鉴权:WPA2用IEEE 802.1X(WPA2企业版)和PSK(WPA2个人版)提供双向鉴权。在单向鉴权的情况下,客户端设备发送证书,如果被批准接入,客户端设备就会连上网络。双向鉴权要求客户端设备在建立连接之前验证网络证书,以防用户连上未经授权的接入点。
强加密:AES被规定为联邦信息处理标准(FIPS Publication 197),是最早公开的加密机制,符合美国政府保护敏感机密信息的要求3。迄今为止,AES已证明在面对由于AES的广泛运用而引发的大量已公布之攻击时极富弹性。当通过WPA2网络传输的数据用采用AES的CCMP算法进行加密后,就受到目前最先进的标准数据加密方法的保护。全球企业网络中所使用的很多协议和应用都要求支持AES。
可互操作性:WPA2是基于标准的解决方案,得到2006年以来接受测试的所有Wi-Fi CERTIFIED设备的支持。无论何种设备品牌,WPA2都可在接入点和客户端设备支持WPA2的任何会话中被激活。这大大提升了WPA2的可用性,使网络运营商和用户相信,他们的网络、设备和数据流处处受到保护。
使用简便:WPA2不但是保护Wi-Fi用户的强大工具,而且容易激活。2007年,Wi-Fi Alliance推出了独立认证项目——Wi-Fi保护设置,以简化WPA2的配置,加速其在住宅网络中的运用。
WPA2企业版和WPA2个人版
根据网络要求,WPA2有两种运行模式——企业模式和个人模式(表3)。对WPA2个人版的支持是对所有Wi-Fi CERTIFIED客户端设备和接入点的强制性要求。对WPA2企业版的支持是非强制性要求,但是对在大型网络中工作的设备是建议性要求。具体的安全要求决定了在网络中使用哪一种模式。 住宅和小型办公网络一般使用WPA2个人版,因为它除了Wi-Fi CERTIFIED接入点和设备以外无需任何设备。在WPA2个人版中,密钥来自网络服务区标识符(SSID)和用户输入的密码。必须选择强大的密码,以充分利用WPA2的保护。较长、复杂、任意的密码是良好安全性的关键,而且应经常修改。 采用IEEE 802.1X鉴权、授权和记账(AAA)服务器的企业网络可得益于WPA2企业版所提供的更加复杂的功能,包括监控和管理流量、规定用户特定鉴权级别以及提供游客接入的能力。WPA2企业版还通过共享现有的用户数据库,允许无线接入与整体网络接入控制进行整合。
WPA2企业版 |
WPA2个人版 |
每位用户分配到独一无二的证书 |
使用PSK、不受管理的鉴权模式允许使用一般由该网络用户共享的手动输入的密码 |
需要支持EAP、带有鉴权数据库的IEEE 802.1X AAA服务器 |
无需鉴权服务器 |
每一个会话的数据安全密钥是独一无二的 |
每一个会话的数据安全密钥是独一无二的 |
采用IEEE 802.1X / EAP的鉴权
WPA2企业版使用支持EAP的EEE 802.1X框架进行鉴权(表4)。对多种EAP类型的支持使企业能够针对自己的运行环境选择最适当的鉴权技术。就网络而言,在接入点、IEEE 802.1X AAA服务器中必须实现对一种或多种EAP类型的支持。客户端设备和网络(即接入点和服务器)都必须支持相同的EAP方法,以完成鉴权过程。 WPA2企业版支持全球用于在企业环境中提供安全鉴权的多种EAP方法。WPA2具有在新的EAP类型出现后支持这些新类型的灵活性。随着市场需求的增长,Wi-Fi Alliance不断增加对新的EAP类型的支持,以便为用户提供最适合他们的设备、应用和网络的鉴权技术。
对Wi-Fi网络所支持的EAP类型的选择取决于设备外型设计、网络托管的应用、所使用的操作系统以及网络拥有者的具体安全要求,包括用户名和密码、令牌、认证及PSK。 Wi-Fi Alliance认证项目目前支持的EAP方法有:
EAP-TLS:使用数字鉴权证书的互联网工程工作组(IETF)全球标准协议。
EAP-TTLS/MSCHAPv2:在TLS记录内安全建立客户密码鉴权隧道。
PEAPv0/EAP-MSCHAPv2:使用基于密码的鉴权
PEAPv1/EAP-GTC:使用不断修改的鉴权令牌值
EAP-FAST:用TLS安全建立任何鉴权证书隧道(如密码或令牌)
EAP-SIM:基于使用全球移动通信系统(GSM)网络的手机和其他设备中所安装的SIM
EAP-AKA:使用通用移动通信系统(UMTS)用户识别模块(USIM)进行鉴权
PEAPv1/EAP-GTC:使用不断修改的鉴权令牌值
WPA2如何发挥作用? |
|
WPA2企业版 |
WPA2个人版 |
1. 客户端设备联合接入点,将其身份信息发送给鉴权服务器 2. 鉴权服务器收到客户身份信息后,向客户端设备发送证书 3. 客户端设备将该服务器识别为授权服务器,并提交用户证书进行验证 4. 客户端设备和鉴权服务器生成成对主密钥(PMK)和成对临时密钥(PTK) 5. 鉴权在客户端设备与接入点之间通过四路交接完成 6. AES加密密钥来自PTK,以对客户端设备与接入点之间交换的数据进行加密 |
1. 客户端设备联合接入点。客户端设备和接入点核实它们拥有相同的PSK 2. 鉴权在客户端设备与接入点之间通过四路交接完成 3. 在四路交接中,PSK被用于在客户端设备和接入点生成PTK。 4. PTK包括用于保护客户端设备与接入点之间所交换的数据的AES密钥 |
采用AES的CCMP加密
IEEE 802.11i和WPA2要求使用CCMP加密协议,该加密协议使用AES为加密和完整性保护采用相同的密钥。AES是采用多种密钥长度和块大小的分组密码。IEEE 802.11i和WPA2要求使用带128位密钥和128位块的AES。AES加密密钥来自使用四路交接的PTK,基于IEEE 802.11i密钥管理协议。 在WPA2中纳入AES,为Wi-Fi用户带来经过最广泛测试、运用最广的加密标准之一。如今,AES被用于多种数据传输技术,并经过了密码学家们的严格审查。
Wi-Fi保护设置
Wi-Fi保护设置作为可选认证项目,于2007年推出,以简化家庭和小型办公网络中WPA2的配置和激活(图1)。到2009年8月,已有700多款产品通过了Wi-Fi保护设置认证。虽然2006以来接受测试的所有Wi-Fi CERTIFIED设备都支持WPA2,但WPA2必须经过配置和激活,设备用户才能从中受益。如果需要的话,Wi-Fi保护设置允许住宅和小型企业用户跳过详细的WPA2配置步骤,而且他们也不必手动输入PSK,就能利用WPA2保护自己的网络。
通过Wi-Fi保护设置,用户在设置WPA2方面拥有多重选择:
个人识别号码(PIN):用户输入数码。针对接入点和客户端设备的强制性要求。
按钮配置(PBC):用户在接入点和相关客户端设备上按下按钮。针对
接入点的强制性要求,针对客户端设备的非强制性要求。
近场通信(NFC)令牌:使用NFC令牌,或使接入点与客户端接触。非强制性要求。
Wi-Fi Alliance计划扩大2010年测试的Wi-Fi保护设置认证,以纳入ad-hoc模式。
目前依然在进行中的Wi-Fi认证项目(星号表示可选项目)包括:
可互操作性及标准规则: IEEE 802.11a, IEEE 802.11b, IEEE 802.11g和IEEE 802.11n*
安全 :WPA2 个人版,支持EAP的WPA2 企业版*,Wi-Fi Protected Setup*
语音Wi-Fi: Voice Personal*
借助服务质量(QoS)的应用支持 Wi-Fi多媒体 TM *(WMM®)
用于移动设备的节电项目: WMM Power Save*
Wi-Fi和蜂窝融合: 融合无线组无线电频率(CWG-RF)概要*
关于Wi - Fi Alliance
Wi-Fi Alliance是一家国际非营利性行业协会,拥有数百家成员公司,共同致力于推动无线局域网(WLAN)的增长。Wi-Fi Alliance在技术开发、市场建设以及管理项目方面的不懈努力,促进了Wi-Fi在全球的应用。 Wi-Fi CERTIFIED™项目始于2000年3月。该项目提供的可互操作性和质量标准得到广泛认可,可帮助Wi-Fi产品实现最佳用户体验。迄今为止,已经有超过6000种产品获得了Wi-Fi CERTIFIED™指定认证标志,有力地拓展了Wi-Fi产品和服务在各个新兴和成熟市场的应用范围。 欲了解更多Wi-Fi安全及Wi-Fi Alliance认证项目的信息及下载白皮书,请访问www.wi-fi.org
Wi-Fi®安全状况相关推荐
- wifi频率和zigbee干扰_浅谈ZigBee和Wi—Fi的共存和干扰
龙源期刊网 http://www.qikan.com.cn 浅谈 ZigBee 和 Wi - Fi 的共存和干扰 作者:姜伟 朱凯 刘童 来源:<科技视界> 2013 年第 16 期 [摘 ...
- 比较802.11ac(Wi‑Fi 5)和802.11ax(Wi‑Fi 6)
MIMO 802.11ac仅在下行模式下,支持多用户MIMO. 802.11ax不仅下行链路:也在上行链路支持MIMO功能,因此多个用户可以同时上传视频. 调制方法 802.11ax具有更高的调制方案 ...
- android环境监测,基于Wi―Fi和Android家居环境监测与实现
摘 要 为了人们生活环境健康安全,实现家居环境检测,利用现在手持智能设备,设计出一种基于Android的家居检测系统.本文采用了具有Android操作系统的智能手机或平板电脑作为家居设备终端,以STM ...
- 操作系统有哪些.智能手机的操作系统有哪些?
以WM为操作系统:主要分为两类:SmartPhone和PPC. SmartPhone 代表品牌:多普达. PPC 代表品牌:多普达,i-mate 酷派,华硕,三星(部分机型),摩托罗拉(部分机型) W ...
- Android之wifi工作流程
Android Wifi的工作流程 一.WIFI工作相关部分 Wifi 网卡状态 1. WIFI_STATE_DISABLED:WIFI网卡不可用 2. WIFI_STATE_DISABL ...
- 朴素贝叶斯(西瓜数据集分类,社区恶意留言分类,垃圾邮件分类,新浪新闻分类),AODE分类器 代码实现
朴素贝叶斯(西瓜数据集分类,社区恶意留言分类,垃圾邮件分类,新浪新闻分类),AODE分类器 代码实现 以下代码为本人学习后,修改或补充后的代码实现,数据集和原代码请参考:https://github. ...
- 可视门铃全国产化电子元件推荐方案
方案概述: 可视门铃由电池供电,当有人来访按门铃,通信模块经路由器上传至云端与手机实现交 互, 便可以通过手机视频看到来访者, 可实现多部手机共同控制 ,可视门铃采用了 CMOS图像传感器,有效降低了 ...
- Cydia 软体介绍
樯外闲逛偶遇奇文,小饰剪辑,与众锋友共享 摘录自http://blog.yam.com/pclong/article/28611582 本文为 Cydia 软体介绍 , 让使用者以最简短的内容了解程式 ...
- 家居安防与监控全国产化电子元件推荐方案
方案概述: 家居安防监控系统主要由摄像头 , 无线模块, 中控单元, 电源模块, 报警器等组成.通过手机和电脑将安防摄像头与移动网络紧密结合,实时监控家居安全.如果有人贸然闯入家中, 安装好的监控系统 ...
最新文章
- 亿级浏览型网站静态化架构演变
- python数据结构与算法(2)
- 大数据产业不只是建设数据中心
- jms消息模式和区别_JMS管理对象和JMS消息
- Ubuntu下安装MySQL及简单操作
- EasyExcel导出excel(写)
- 计算机应用基础考试excel操作题,计算机应用基础上机操作试题
- java键值对_Java 读写键值对
- php 时间转换时间戳_php时间戳转换日期方法总结
- 苹果电脑安装windows双系统
- 电力电子pwm控制技术
- Sparse R-CNN
- 最新PHP软文发稿新闻文章发布自助推广平台源码
- JavaCV 实现照片打马赛克功能
- 开课吧 深度学习与神经网络
- 人的本能和本性在游戏里表现无疑
- 微信小程序使用高德地图Web服务爬取企业数据
- 人品计算器代码Android,Android 人品计算器案例
- ubuntu16.04安装 petalinux记录
- Semantic Web学习资料库
热门文章
- HASH和HMAC(5):SHA-384、SHA-512、SHA-512/224和SHA-512/256算法原理
- 计算机考研数学专硕教材,20考研:过来人教你数学教材的正确使用方法
- 服务器微信服务号响应变慢,微信卡顿和响应慢,教大家轻松搞定:简单操作,赶快收藏分享吧...
- 苹果电脑mac系统运行卡顿 反应慢怎么办?
- 现下追求互动体验强的时代,企业展厅给客户传递更为全面的信息
- 2021/5/12爬虫第十一次课(ajax、selenium、Phantomjs)
- 英语音标怎么发音 48个英语音标正确读法
- Symantec赛门铁克强制型SSL服务器证书_网站安全SSL数字证书
- Comparator.comparing的使用
- 边缘检测 从Roberts到Canny算子