《用于数据采集的Wi-Fi安全技术入门.docx》由会员分享,可在线阅读,更多相关《用于数据采集的Wi-Fi安全技术入门.docx(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、用于数据采集的Wi-Fi安全技术入门概览在过去十年中,IT界的Wi-Fi无线网络的安全性能得到了极大的提高,使之成 为数据采集应用中的一个可行的解决方案。因为Wi-Fi采用空气作为其物理传 输媒介,相比于其它有线网络系统,它面临着更大的安全挑战。以下将简要介 绍采用NI公司无线数据采集设备(DAQ)进行数据保护的工业标准安全技术。IEEE 802. 11安全性背景知识正确了解无线安全性需要某些背景知识,包括:无线连网的历史和源自早期无 线部署的经验。自从最初的IEEE 802. 11标准于1997年被引入之后,IEEE 802. 11 Task Group已迭代开发了多种安全协议,最终形成现今
2、全球IT部门普 遍接受的IEEE 802. Hi标准。Wi-Fi安全体系的历史最初的802. 11标准中引入了有线等效协议(WEP)技术作为保护措施,以防不必 要的无线网络访问。每台客户端电脑的都有一个访问网络接入点的密码。这个 密码用于获取对网络的访问权,并且是网络接入点和客户机之间的所有消息加 密的基础。+放大图片因为WEP易于设置,所以大多数家庭和小型办公网络都使用WEP。但是,WEP容 易受到攻击,特别是使用不当的时候。WEP采用RC4密码对数据进行加密,采 用40位密钥对消息进行编码和解码。攻击者们已经找到了这个协议中的漏洞, 并开发了一些方法来入侵这种没有适当保护的WEP网络: 字
3、典攻击一很多用户都保留着无线网络接入点和网卡的出厂默认设 置。而其它一些用户则使用一些比较“弱”的WEP密钥,这些密钥都可 以在字典中找到。一些潜在的攻击者通过“猜测”安全性设置来利用这 些网络。有些攻击者采用蛮力攻击方式,同时还存在其它一些更复杂的 方法。选择一些比较复杂的密码就可以轻松预防字典攻击。中间人攻击一大多Wi-Fi网络接入点都将其SSID发布出来,这样客户 们可以方便地找到这些接入点并与之相连。如果某个伪装的网络接入点 发布相同的SSID,就可以诱骗客户发送其安全信息,从而使得攻击者可 以访问真实网络。常见最好的预防措施就是关掉路由器的SSID广播。重放攻击一当攻击者窃听无线网络
4、通信数据包并记录传输数据时,就 产生了重放攻击。然后,攻击者使用这些数据来重放包含伪造的或者错 误的数据消息,欺骗接入点去发送额外的地址解析协议(ARP)数据包。当 数据包达到足够数量(50, 000 - 100, 000)时,攻击者就可以破解WEP密钥 了。NI的无线数据采集设备支持WEP安全体系。但是,很多无线数据采集应用需要 更强大的安全协议。NI无线数据采集网络安全组件NI无线数据采集设备支持多种无线安全协议,包括WEP、Wi-Fi保护访问(WPA) 和IEEE 802. Hi (即所熟知的WPA2) o WPA通过阻止重放攻击,提供比WEP更好 的安全性能。WPA2则具有最优的无线网
5、络安全性能,同时具备更强大的数据保 护(加密)和访问控制(认证)性能。加密为了有效地保护无线数据传输,Wi-Fi网络必需具备一种强大的加密算法(密码) 和某种密钥管理形式。现在广泛采用两种Wi-Fi网络加密标准:TKIP和AES。IEEE 802. lli任务组为WPA引入了瞬时密钥集成协议(TKIP),作为对现有WEP 网络进行改进的一个权宜之策。接入点和客户可以通过一个简易的固件或软件 升级将WEP升级到WPA/TKIP。尽管加密算法还是一样的(RC4),但TKIP优于 WEP的一个地方在于TKIP使用了 128位而非40位的密钥。一个更重要的区别 在于,TKIP对每个消息包都使用一个不同
6、的密钥,这就是其名称中“瞬时”的 出处。将已知的成对瞬时密钥(PTK)和客户的MAC地址以及数据包的序列号进行 混合,动态创建这种瞬时密钥。当客户使用一个预共享密钥(PSK,所有网络用 户都知道的一种短语密码)和随机数生成器来连接到接入点时,PTK就生成了。 序列号在每次发送新数据包时递增。这就意味着重放攻击不可能再发生了,因 为每个数据包都不会再使用相同的密钥。当攻击者企图重发旧的数据包时,接 入点就可以检测到这种行为。作为最终的安全解决方案,IEEE 802. Ui任务组选择了高级加密标准(AES)作 为Wi-Fi网络的首选加密算法。不同于TPIK, AES需要对大多数WEP装置进行 硬件
7、升级,因为AES的密码算法对处理器要求更高。AES使用128位密码,所 以比TPIK和WEP中所使用的RC4算法更加难于破解。实际上,NIST(国家标准 与技术协会)要求所有美国政府机构选择AES作为加密标准。(FIPS publication 197详细描述了这些要求)。政府和军方的任何无线数据采集应用 都很可能必需采用AES来传输数据。密钥大小(位数)候选密钥数 若每M解密一次,若每Hs解密106次,暴力破解所需要的 暴力破解所需要的32232 = 4. 3 x 10935. 8分钟2. 15毫秒56256 = 7. 2 x 10161, 142 年10小时1282您= 3. 4 x 10
8、385. 4 x 1024 年5. 4 x 10年总时间总时间表1.穷举攻击或暴力破解所需要的总时间(FIPS 197)表1显示:即使借助大规模并行计算系统,也需要10常年来破解一组128位的 AES密码。认证 本质上来说,网络认证就是客户访问控制。在客户可以与无线接入点进行通信 之前,必须与网络进行认证。有两种认证形式:基于服务器的和基于PSK的。大多数企业网络都有至少一个认证服务器,通常执行远程认证拨号用户服务 (RADIUS) o WPA2网络安全体系采用基于端口的IEEE 802. IX认证标准,包括以 下几个部分:Supplicant (申请者)一访问网络的客户端无线设备Authen
9、ticator (认证装置)一无线接入点:控制申请者可以访问哪些 Authentication Server (认证服务器)一为认证装置提供认证服务(通常是 RADIUS)当申请者要求访问网络时,认证装置提供对未受控端口的访问。认证装置将访 问请求传给认证服务器,再由认证服务器决定接受还是拒绝申请者的访问。然 后,认证装置再将该响应从认证服务器传给申请者:要么允许访问可控端口, 要么继续阻止被拒绝的申请者。成功的认证过程生成一个成对主密钥(PMK)以加密无线传输。这种交换的细节取 决于该网络支持何种扩展认证协议(EAP)方式。以下是几种最常见的EAP方式 (NI无线数据采集设备支持所有这几种方
10、式): LEAP(轻量级EAP)-由Cisco公司开发的古老而私有的EAP方法。任 何微软操作系统中都不直接支持LEAPo EAP-TLS (EAP-传输层安全)一被大多数无线制造商所支持的开源标 准。EAP-TLS同时需要服务器认证和客户端认证,所以安装比较困难。 EAP-TTLS(EAP-隧道传输层安全)一与EAP-TLS方法相比是一种无需客 户端认证的协议,适用于经常升级的网络 PEAP (受保护的EAP)由Cisco公司、微软和RSA实验室开发的开源 标准。这是一种流行的EAP方法,仅仅需要服务器端认证。PEAPvO/EAP- MsCHAPv2是这种方法的最常见的变体。所有上面所列的E
11、AP方法都支持双向认证,这样可以阻止中间人攻击一一因为 客户需要对服务器进行认证,反之亦然。伪造的无线接入点无法伪造服务器端 安全认证。并非所有网络都有认证服务器,这就使得前述的认证方式无法实现。一些小型 办公室或家庭办公室(SOHO)网络可以在客户端(无线数据采集设备)和接入点之 间使用预共享密钥(PSK)来取代这些认证方式。本质上来说,预共享密钥是一种 短语密码,是用户用来初始化网络认证的。采用NI无线数据采集设备实现安全网络NI无线数据采集(DAQ)设备支持完整的IEEE 802. Ui安全标准,包括AES加 密和最流行的EAP认证方法。这是市场上最容易获得的无线网络安全设备,可 以保护
12、你的敏感数据不被侵犯。实际上,如果你的应用程序是用在政府或军方 机构中,那么很可能强制要求使用AES加密。对于其它的应用,你就可以选择 WPA和一些现有的接入点硬件。浏览NI无线数据采集设备指南 如果你要连接到一个企业网络,你应该与IT部门共同决定采用何种你们的服务 器所能接受的安全协议以及EAP方法。因为NI无线数据采集设备支持各种最 常见的EAP方法(LEAP、PEAP、EAPTLS和EAP-TTLS),所以你可以自由选择其 中一种以最佳匹配你的应用程序和网络构架。无线数据采集设备的安全设置非常易于使用。在测量和自动化管理器(MAX)中, 在NI-DAQmx Devices下选择你的无线数
13、据采集设备,然后在屏幕底部单击“Network”标签页;选择“Wireless”标签页,在一系列的下拉菜单中,配置 你的网络安全选项。如果你的EAP方法需要客户端认证,请确保在装配DAQ设备之前获取该认证。 如果要在没有认证服务器的条件下来装配你自己的网络,请确保采用一个复杂 的PSK短语密码(WPA和WPA2网络中)。使用MAX配置无线数据采集设备加密和认证设置MAX采用一种加密、只写的过程将所有的配置和安装数据发送到Wi-Fi或者以 太网网DAQ设备,包括用户名、密码和客户端认证,以进一步保护你的网络。获取更多详细说明,请参考NI WLS-9163使用者手册。概括NI无线数据采集(旧-Fi
14、 DAQ)设备使用当前最高的商用无线网络安全标准, 即:包含网络认证和数据加密的IEEE 802. Hi (WPA2企业版)。认证确保设备 只有经过授权才能访问网络;加密可防止数据包遭到拦截。IEEE 802.11安全 标准的创建依托着IT界10余年的使用经验,并已在全球普及。使用标准安全 协议的NI无线数据采集(Wi-Fi DAQ)设备,可将无线测量轻松安全地添加至信 息网络。无线数据采集设备网络安全最优方法清单 如果你的网络可以使用认证服务器(例如RADIUS服务器),则使用 802. IX (EAP) 如果没有认证服务器,则使用较复杂的PSK密码。避免使用字典中常见 的习语或单词,并混合使用大写字母、小写字母和数字字符。 创建无线接入点或路由器时,避免使用公共的或者出厂默认设置的 SSIDo 如果接入点硬件支持AES加密技术,则在TKIP上使用该技术 尽量不要使用WEP。将接入点升级到WPA,或者下载Windows XP WPA2 补丁