博大精深 細(xì)致入微
無線網(wǎng)絡(luò)安全的基礎(chǔ)與標(biāo)準(zhǔn)
2022-09-21
無線安全技術(shù)的完善,使得該技術(shù)在最近幾年內(nèi),從不受信任、僅能作為某個(gè)技術(shù)備胎的新鮮事物,逐步發(fā)展成為數(shù)據(jù)通訊的基石以及日常生活不可分割的一步分。據(jù)預(yù)測(cè):很快,大多數(shù)人會(huì)將擁有的移動(dòng)智能手機(jī)作為其重要的計(jì)算機(jī)工具。無線已經(jīng)成為很多人通訊的選擇。然而,如果沒有有效的數(shù)據(jù)安全,無線技術(shù)就不會(huì)獲得發(fā)展,人們?nèi)匀粫?huì)依賴有線網(wǎng)絡(luò),盡管存在費(fèi)用以及其它方面的不方便。
數(shù)據(jù)安全
何謂安全?我們都有需要保護(hù)的事物。在現(xiàn)實(shí)世界,我們有房屋和汽車;在數(shù)字世界,我們有個(gè)人數(shù)據(jù),如社保號(hào)、在線密碼和保密郵件交換等等。工、商業(yè)用戶則希望保護(hù)它們的知識(shí)產(chǎn)權(quán)以及產(chǎn)品免受侵犯。
然而,我們會(huì)經(jīng)??吹侥承┍砻嫔峡雌饋肀容^安全的公司網(wǎng)絡(luò)被黑客攻擊,而束手無策。那我們?nèi)绾伪Wo(hù)我們的財(cái)產(chǎn)不被盜竊或侵犯?這種擔(dān)心由來已久。安全的基礎(chǔ)是:我們自己可以不受妨礙的獲取我們的財(cái)產(chǎn),而其它人卻受到限制或根本不能接觸。
在現(xiàn)實(shí)世界,我們將門鎖上,并用鑰匙來打開它。在數(shù)字王國,我們輸入一系列的數(shù)字和字母的組合來進(jìn)入計(jì)算機(jī)或獲取數(shù)據(jù)。最基本的原則是,有鎖和鑰匙,這個(gè)比喻要牢記腦海中。鑰匙對(duì)鎖是唯一的;沒有其它的鑰匙可以開啟它。鎖可以被取走,或者被破壞(暴力方法);鑰匙可能被盜竊或借走。所有的安全措施都有類似的弱點(diǎn)。
圖1:秘鑰必須同時(shí)與客戶端和接入點(diǎn)相匹配。將秘鑰,包括其完整性校驗(yàn)值(ICV),以及密鑰流整合到一起,來加密純文本報(bào)文。圖片來源:多樣化技術(shù)服務(wù)公司。
數(shù)據(jù)的訪問控制
無線安全可以包含幾種不同的部分,這取決于個(gè)人或公司安全保護(hù)的需要。小型系統(tǒng),比如小型辦公室/家庭辦公室的路由器或個(gè)人無線局域網(wǎng)(WLAN),一般通過密碼來限制接入網(wǎng)絡(luò)。大型企業(yè)WLAN也需要密碼,但是還需要額外的授權(quán)和加密的方法,該方法依靠授權(quán)服務(wù)器來控制對(duì)無線網(wǎng)絡(luò)的接入。大型企業(yè)還將流量限制為不同的角色,并依靠虛擬局域網(wǎng)(VLAN)和其它方法來對(duì)網(wǎng)絡(luò)流量進(jìn)一步細(xì)分。這些技術(shù)使得管理員可以控制數(shù)據(jù),還可以依據(jù)工作職責(zé)或部門等層級(jí)來決定誰可以獲取數(shù)據(jù)。
無線入侵檢測(cè)系統(tǒng)(WIDS)也被用來發(fā)現(xiàn)和減少未經(jīng)授權(quán)的用戶,并持續(xù)監(jiān)控網(wǎng)絡(luò);在大多數(shù)情況下這些系統(tǒng)非常有效,但是費(fèi)用也比較高。最后,這一點(diǎn)也是經(jīng)常被忽視的,無論WLAN規(guī)模的大小,必須有一個(gè)安全策略。大多數(shù)網(wǎng)絡(luò)漏洞都受所謂的“社會(huì)工程”所累。這個(gè)詞描繪的過程為:一個(gè)人由于受騙,將他或她的證明文件出示給未經(jīng)授權(quán)的人。一個(gè)可靠的安全政策,在教育人們?nèi)绾伪苊庖蚴茯_、或受迫而將授權(quán)證書出示給未經(jīng)授權(quán)的人方面十分有效。
無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的發(fā)展
曾經(jīng),無線網(wǎng)絡(luò)是有點(diǎn)昂貴的新鮮事物,并且沒有用于任何關(guān)鍵應(yīng)用上。開放系統(tǒng)授權(quán)(OSA),是早期用于網(wǎng)絡(luò)接入的方法,僅僅由接入點(diǎn)(AP)向客戶端查詢,以便確??蛻舳嗽O(shè)備兼容IEEE 802.11。當(dāng)有線網(wǎng)絡(luò)太貴或者無法實(shí)現(xiàn)時(shí),無線被用作有線網(wǎng)絡(luò)的延伸。隨著WLAN設(shè)施應(yīng)用的越來越廣泛,開發(fā)、實(shí)施某種途徑來確保無線網(wǎng)絡(luò)的安全也應(yīng)需而生。
保障無線網(wǎng)絡(luò)安全的首次嘗試就是所謂的有線等效加密(WEP)。WEP的目的就是為無線網(wǎng)絡(luò)提供一種等效的數(shù)據(jù)可靠性驗(yàn)證方法,正如在有線網(wǎng)絡(luò)中作用一樣。WEP用隨機(jī)產(chǎn)生的24位“初始向量”(IV),以及一個(gè)40或104位的靜態(tài)秘鑰(分別用于64位或128位WEP)來加密純文本。秘鑰必須同時(shí)與客戶端和接入點(diǎn)相匹配。
WEP受制于其內(nèi)在的缺陷,這種缺陷與密鑰的構(gòu)建和IV的重復(fù)使用有關(guān)。IV被用于傳播純文本,這樣就有可能通過各種技術(shù)試探IV的復(fù)用和沖突,從而確定秘鑰。其完整性校驗(yàn)值(ICV)基于循環(huán)冗余校驗(yàn)CRC-32,而這種方法本質(zhì)上不是用于安全傳輸?shù)?;這就提供了另外一種試探的方法。使用常用工具,WEP能夠在10秒鐘內(nèi)被攻破;因此WEP不再被使用,而且應(yīng)該避免使用,即使在小型辦公室環(huán)境下亦是如此。
臨時(shí)密鑰完整性協(xié)議(TKIP)被設(shè)計(jì)用于修補(bǔ)IV復(fù)用事宜。盡管使用的是現(xiàn)有設(shè)備,TKIP能夠提供數(shù)據(jù)安全,因?yàn)樗鼈兛梢酝ㄟ^固件的升級(jí)而實(shí)現(xiàn)升級(jí)。TKIP由IEEE 802.11i任務(wù)組和Wi-Fi聯(lián)盟聯(lián)合開發(fā),用于替代WEP。它已經(jīng)成為無線保護(hù)訪問(WPA)的基礎(chǔ)。這只是一個(gè)過渡措施,在更強(qiáng)健的安全機(jī)制被開發(fā)并投入使用前,提供的一種解決方案。TKIP使用動(dòng)態(tài)產(chǎn)生的唯一128位加密秘鑰,或者稱之為“臨時(shí)秘鑰”,而WEP使用的是靜態(tài)秘鑰。一個(gè)被稱為“4次握手協(xié)議”的過程,發(fā)生在接入點(diǎn)和客戶端設(shè)備之間,用于產(chǎn)生這些秘鑰。每幀還會(huì)指定一個(gè)序列號(hào);如果某個(gè)幀接收時(shí)不在序列之內(nèi),則會(huì)被拒絕。
此外,由于使用了復(fù)雜的密鑰,再加上開發(fā)更強(qiáng)密鑰流的過程,就可以解決密鑰太弱以及密鑰復(fù)用的問題。設(shè)計(jì)TKIP的目的是用于使用WEP加密的過時(shí)設(shè)備;RC4密碼在TKIP中也有所使用。最后,實(shí)現(xiàn)了增強(qiáng)的數(shù)據(jù)完整組合:報(bào)文完整性編碼(MIC)。盡管TKIP的使用在WPA中是強(qiáng)制性的,但是在WAP2中確是可選的,因?yàn)閃AP2強(qiáng)制使用CCMP-AES加密。
圖3:CCMP加密過程框圖。CCMP使用AES組密碼,該組密碼能夠處理組內(nèi)數(shù)據(jù),加密方法一般稱之為CCMP/AES
IEEE 802.11和CCMP/AES
自從認(rèn)識(shí)到無線網(wǎng)絡(luò)技術(shù)的應(yīng)用正在呈指數(shù)級(jí)增長,而安全在支持該技術(shù)發(fā)展方面至關(guān)重要之后,IEEE 802.11i工作組就開始研究能夠確保無線網(wǎng)絡(luò)安全的先進(jìn)方法。
從IEEE 802.11i修正案開始,強(qiáng)健安全網(wǎng)絡(luò)(RSN)和強(qiáng)健安全網(wǎng)絡(luò)聯(lián)合(RSNA)就被引入以便為安全無線網(wǎng)絡(luò)提供框架。一般來講,成功的授權(quán)意味著交易的雙方相互驗(yàn)證了對(duì)方的身份,并已經(jīng)生成動(dòng)態(tài)加密密鑰來確保安全數(shù)據(jù)的傳輸。
WPA2是一種復(fù)雜的安全方法,該方法借鑒了美國聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS-197)所提供的先進(jìn)加密方法。WPA/WPA2的命名由Wi-Fi聯(lián)盟開發(fā),鏡像了IEEE標(biāo)準(zhǔn)控制工程網(wǎng)版權(quán)所有,它實(shí)際上是一種認(rèn)證,確保設(shè)備能夠遵循一種常用的安全標(biāo)準(zhǔn)。WPA2規(guī)定了兩種類型的安全:用于小型和小型辦公室/家庭辦公室網(wǎng)絡(luò)的密碼授權(quán)控制工程網(wǎng)版權(quán)所有,以及用于企業(yè)網(wǎng)絡(luò)的802.1X/EAP安全。
WPA2強(qiáng)制使用一種新協(xié)議,計(jì)數(shù)器模式與密文塊鏈接報(bào)文認(rèn)證碼協(xié)議(CCMP)。CCMP使用AES分組密碼;代替在WEP中所使用的RC4密碼以及臨時(shí)密鑰完整性協(xié)議。分組密碼在數(shù)據(jù)塊中處理數(shù)據(jù),而數(shù)據(jù)流密碼,比如RC4則以串行數(shù)據(jù)流的形式逐位加密。這種加密方式一般稱之為CCMP/AES。CAES使用128位密鑰,來加密128位數(shù)據(jù)組。CCMP/AES進(jìn)行了多項(xiàng)改進(jìn),包括臨時(shí)密鑰(TK)、分組編碼、一次性數(shù)據(jù)(僅使用一次的數(shù)字或位字符串)、上層加密、附加的授權(quán)數(shù)據(jù)(AAD)。應(yīng)當(dāng)明白的是:AES是一種標(biāo)準(zhǔn)而不是協(xié)議。AES標(biāo)準(zhǔn)規(guī)定了Rijndael對(duì)稱分組密碼的使用,它能使用128、192、和256位的密鑰來加密128位的數(shù)據(jù)組。
CCMP是一種安全協(xié)議。它遵循精心設(shè)計(jì)的步驟,該步驟包括使用AES所規(guī)定算法來加密敏感數(shù)據(jù)。CCMP由可以提供特定功能的專門部件組成。它也使用一個(gè)臨時(shí)密鑰來完成所有的加密和數(shù)據(jù)完整性過程?!?/span>
縱深防御策略的5個(gè)技巧
利用先進(jìn)的網(wǎng)絡(luò)安全和系統(tǒng)監(jiān)控功能,能夠改進(jìn)電源可靠性、降低能源消耗。允許網(wǎng)絡(luò)接入引發(fā)了工業(yè)企業(yè)對(duì)網(wǎng)絡(luò)安全問題的擔(dān)憂,縱深防御措施將會(huì)對(duì)此有所幫助。
為了做出智能電源管理的決定,以便降低能源消耗、改善電源可靠性非常關(guān)鍵的一點(diǎn)是監(jiān)視并了解電源是如何被利用的,盡管收集和獲取這些信息會(huì)引起大家對(duì)網(wǎng)絡(luò)安全的關(guān)注。通過工業(yè)控制系統(tǒng)所實(shí)現(xiàn)的監(jiān)視功能,可被用于獲取設(shè)備的信息,從而避免停機(jī)、了解系統(tǒng)參數(shù)和診斷信息,但是同時(shí)也會(huì)造成一種新的風(fēng)險(xiǎn):接觸到未經(jīng)授權(quán)的信息,或者為未經(jīng)授權(quán)的用戶提供無意識(shí)的接觸到設(shè)備運(yùn)行及參數(shù)設(shè)定的機(jī)會(huì)。
“縱深防御”是一種在組織內(nèi)的多個(gè)層面建立不同屏障的策略,以確保工業(yè)控制系統(tǒng)的安全。關(guān)于“縱深防御”的5個(gè)技巧包括:
1. 在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)的多個(gè)網(wǎng)段和區(qū)域之間,為通訊建立防火墻以便增加更嚴(yán)格的多重規(guī)則;
2. 通過將關(guān)鍵元件分組并將其與傳統(tǒng)的商業(yè)IT網(wǎng)絡(luò)隔離開來,從而在已建立的防火墻中建立非管制區(qū);
3. 部署入侵檢測(cè)和預(yù)防系統(tǒng),著力識(shí)別出在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中可能出現(xiàn)的偶發(fā)事件;
4. 針對(duì)工業(yè)控制網(wǎng)絡(luò)的安全,建立良好的審查政策、流程、標(biāo)準(zhǔn)和指導(dǎo)方針,并用文本記錄;
5. 持續(xù)進(jìn)行安全評(píng)估和培訓(xùn),確保工業(yè)控制系統(tǒng)的安全,以及依靠這些工業(yè)控制系統(tǒng)的人們的安全。
(作者:Daniel E. Capano)
<< 上一頁
下一頁 >>