2024年3月10日发(作者:穰沛容)
无线城域网技术与标准
摘要:无线局域网(WLAN)和无线城域网(WMAN)是宽带无线网络。Wi-Fi(无线局域网
制造商联盟,Wi-Fi是无线局域网的俗称)近年来在中国发展势头强劲。现在20%的宽带家
庭用户正在使用Wi-Fi,67%的在线家庭用户已经计划使用Wi-Fi。
关键词:无线城域网;无线局域网;安全;认证;加密;
阐述了无线城域网和无线局域网的安全机制, 分析了它们在身份认证和数据加密方面
的异同,总结了它们的应用现状和对未来的展望。
一、安全机制分析
1.无线局域网安全机制分析。发布的无线局域网标准IEEE802.11,提供两种身份认证
服务:开放式认证和共享密钥认证。开放式认证在明文状态下要求提供与无线接入点AP相
同的正确的服务组标识(SSID)进行认证;共享密钥认证要求客户端与AP拥有相同的密钥,
使用有线等效保密WEP对认证过程进行加密。除此以外AP可以用每个无线网卡唯一的
48位的物理地址(即MAC地址)进行认证。使用SSID匹配和MAC地址过滤来控制访问权
限的方法简单、快捷,但安全性不高,属于较低级别的授权认证。共享密钥认证中的有线
等效保密WEP是IEEE802.11b协议中最基本的无线安全加密措施,目前虽然广泛应用,
但WEP的核心是RC4算法,在现实的应用中被发现有不少的安全漏洞,容易被攻击者破
解密钥。基于端口的访问控制协议。它提供了一个可靠的用户认证协议和密钥分发的框架,
和上层认证协议(EAP)配合来实现用户认证和密钥分发,它的核心是可扩展认证协议EAP。
IEEE802.1x+EAP认证采用双向认证机制,有效地消除了中间人攻击,如假冒的AP和认
证服务器,集中化认证管理和动态分配加密密钥机制,IEEE802.1x协议实现简单,安全可
靠。微软在Windows XP中已经整合了IEEE802.1x客户端软件。由生产厂商Wi-Fi联盟
联合IEEE802.11i任务组的专家共同提出WPA(Wi-Fi Protected Access)加密技术,对
WEP协议的不足之处进行了有针对性的改进。WPA标准其核心是IEEE802.1x和TKIP(临
时密钥完整性协议)。新一代的加密技术TKIP虽然与WEP一样基于RC4加密算法,但
TKIP将WEP密钥长度加长到128位,并根据共享密钥、客户端MAC地址、数据包的序
列号来为每个数据包生成唯一的密钥。
2.无线城域网安全机制分析。IEEE802.16作为无线城域网标准,是按照物理层(PHY)和
媒体访问控制层(MAC)两层结构体系组织的标准,它主要通过在MAC层中定义了一个安全
子层来实现安全认证、对密钥的分配管理和数据的加密。安全子层主要包括两个协议:数
据加密封装协议和密钥管理协议(PKM)。其中数据加密封装协议定义了IEEE802.16支持的
加密套件,即数据加密与完整性验证算法,以及对MACPDU载荷应用这些算法的规则。
而密钥管理协议则定义了从基站向用户工作站分发密钥数据的安全方式,两者之间密钥数
据的同步以及对接入网络服务的限制。IEEE 802.16安全机制中,密钥管理协议(PKM)使用
X.509数字证书、RSA公钥算法以及强壮的加密算法实现基站(BS)对用户站(SS)的身份认证,
接入授权以及会话密钥的发放和更新。所有的用户端设备(CPE)在出厂时就带有RSA私钥/
公钥对(或者提供了动态产生私钥/公钥对的内部算法),并且同时带有X.509数字证书。用
户站(SS)在登入系统时,向基站(BS)发送X.509数字证书。基站收到该证书后,采用公钥通
过相关算法认证CPE。只有通过认证的CPE才能接入到WiMAX基站中来,通常采用这种
客户端证书认证机制,防止非法客户端接入系统。DES-CBC(数据加密标准一密码分组链方
式)是一种相对较简单的加密技术,能很好地使用前一个分组的密文与当前分组明文作异或
后再加密,是无线城域网中常用的数据加密算法。但该算法的密钥长度只有56bit,容易遭
受到穷举攻击。IEEE802.16e采用了安全性能更高的AES-CCM加密算法,AES-CCM是基
于AES算法的CCM模式,就是用一个准计数器产生一系列的分组作为先进的加密算法
(AES)的明文输入,AES加密后输出的密文作为定长的密钥流与要保护的数据相异或产生密
文。
二、安全机制比较
1.认证机制方面。无线局域网的IEEE802.11协议中包含了一些基本的安全认证和加密
措施,包括:无线网络设备的服务组标识(SSID)、MAC地址访问控制以及WEP加密等技
术。无线城域网IEEE802.16主要采用X.509数字证书认证方式,保证只有合法用户才能接
入网络,有效地阻止假冒SS的非法接入。IEEE802.11i作为新一代无线局域网安全标准,
是相对成熟的安全标准。无线城域网IEEE 802.16的安全机制在很大程度上与802.11i有着
一致性,无线局域网无线城域网安全机制比较,它们都引进了基于EAP协议的认证机制。
也都引进了预认证方法。即在802.11i中当客户端在接入点之间漫游时,为了从根本上降
低恢复通信所需要的时间,采用预认证方法。IEEE802.11i使用802.1x完成初步认证并且
获得成对主密钥之后,再通过四次握手协议来互动地获得加密密钥和认证密钥,这对于
802.16安全认证机制中密钥的分配管理和更新也有着很大的借鉴作用。IEEE802.11i规定
使用IEEE802.1x认证,无线城域网和无线局域网在应用上都支持802.1x,RADIUS等认证
机制来提高整个系统的认证安全。
2.数据加密方面。无线局域网IEEE802.11标准定义了有线等效保密WEP协议,WEP
是最基本的安全加密措施,目前广泛应用于无线局域网系统。无线局域网生产厂商Wi-Fi
联盟提出了WPA保护接入,其核心是IEEE802.1x和TKIP(临时密钥完整性协议),新一代
的加密技术TKIP与WEP一样基于RC4加密算法,对WEP协议的不足之处进行了有针对
性的改进,提高了安全性能。无线局域网新一代无线安全标准IEEE802.11i,主要包含高级
加密技术AES与TKIP(临时密钥完整性协议),采用高级加密标准AES,提供比WEP/TKIP
中RC4算法更高的加密性能。无线城域网数据加密采用DES-CBC算法和AES-CCM算法。
DES和AES都是著名的标准加密算法。无线城域网在数据加密方面与无线局域网有着一致
性,都采用了AES数据加密算法。AES是新一代对称加密标准,128位分组对称加密算法,
速度快,安全级别高。大量分析表明AES能抵抗已知的各种密码攻击手段,在各种平台上
基本上是最快速的。无线城域网安全机制仍在在不断的发展和完善之中,会随着终端的不
同而出现新的变化,有关专家推测无线城域网802.16安全机制的发展趋势很可能会参照无
线局域网标准IEEE802.11i的安全设计思想。
总之,无线城域网以其先进的技术性能,正逐渐显示出它在宽带无线接入技术领域的
巨大潜力。随着无线局域网无线城域网的迅速应用和安全技术的不断完善,合理组合和应
用安全机制,用户可以享受到无线宽带网络带来的方便快捷。
参考文献:
[1]曹平.无线局域网安全系统.2019.
[2]刘雄宇.关于无线城域网技术与标准.2020.
2024年3月10日发(作者:穰沛容)
无线城域网技术与标准
摘要:无线局域网(WLAN)和无线城域网(WMAN)是宽带无线网络。Wi-Fi(无线局域网
制造商联盟,Wi-Fi是无线局域网的俗称)近年来在中国发展势头强劲。现在20%的宽带家
庭用户正在使用Wi-Fi,67%的在线家庭用户已经计划使用Wi-Fi。
关键词:无线城域网;无线局域网;安全;认证;加密;
阐述了无线城域网和无线局域网的安全机制, 分析了它们在身份认证和数据加密方面
的异同,总结了它们的应用现状和对未来的展望。
一、安全机制分析
1.无线局域网安全机制分析。发布的无线局域网标准IEEE802.11,提供两种身份认证
服务:开放式认证和共享密钥认证。开放式认证在明文状态下要求提供与无线接入点AP相
同的正确的服务组标识(SSID)进行认证;共享密钥认证要求客户端与AP拥有相同的密钥,
使用有线等效保密WEP对认证过程进行加密。除此以外AP可以用每个无线网卡唯一的
48位的物理地址(即MAC地址)进行认证。使用SSID匹配和MAC地址过滤来控制访问权
限的方法简单、快捷,但安全性不高,属于较低级别的授权认证。共享密钥认证中的有线
等效保密WEP是IEEE802.11b协议中最基本的无线安全加密措施,目前虽然广泛应用,
但WEP的核心是RC4算法,在现实的应用中被发现有不少的安全漏洞,容易被攻击者破
解密钥。基于端口的访问控制协议。它提供了一个可靠的用户认证协议和密钥分发的框架,
和上层认证协议(EAP)配合来实现用户认证和密钥分发,它的核心是可扩展认证协议EAP。
IEEE802.1x+EAP认证采用双向认证机制,有效地消除了中间人攻击,如假冒的AP和认
证服务器,集中化认证管理和动态分配加密密钥机制,IEEE802.1x协议实现简单,安全可
靠。微软在Windows XP中已经整合了IEEE802.1x客户端软件。由生产厂商Wi-Fi联盟
联合IEEE802.11i任务组的专家共同提出WPA(Wi-Fi Protected Access)加密技术,对
WEP协议的不足之处进行了有针对性的改进。WPA标准其核心是IEEE802.1x和TKIP(临
时密钥完整性协议)。新一代的加密技术TKIP虽然与WEP一样基于RC4加密算法,但
TKIP将WEP密钥长度加长到128位,并根据共享密钥、客户端MAC地址、数据包的序
列号来为每个数据包生成唯一的密钥。
2.无线城域网安全机制分析。IEEE802.16作为无线城域网标准,是按照物理层(PHY)和
媒体访问控制层(MAC)两层结构体系组织的标准,它主要通过在MAC层中定义了一个安全
子层来实现安全认证、对密钥的分配管理和数据的加密。安全子层主要包括两个协议:数
据加密封装协议和密钥管理协议(PKM)。其中数据加密封装协议定义了IEEE802.16支持的
加密套件,即数据加密与完整性验证算法,以及对MACPDU载荷应用这些算法的规则。
而密钥管理协议则定义了从基站向用户工作站分发密钥数据的安全方式,两者之间密钥数
据的同步以及对接入网络服务的限制。IEEE 802.16安全机制中,密钥管理协议(PKM)使用
X.509数字证书、RSA公钥算法以及强壮的加密算法实现基站(BS)对用户站(SS)的身份认证,
接入授权以及会话密钥的发放和更新。所有的用户端设备(CPE)在出厂时就带有RSA私钥/
公钥对(或者提供了动态产生私钥/公钥对的内部算法),并且同时带有X.509数字证书。用
户站(SS)在登入系统时,向基站(BS)发送X.509数字证书。基站收到该证书后,采用公钥通
过相关算法认证CPE。只有通过认证的CPE才能接入到WiMAX基站中来,通常采用这种
客户端证书认证机制,防止非法客户端接入系统。DES-CBC(数据加密标准一密码分组链方
式)是一种相对较简单的加密技术,能很好地使用前一个分组的密文与当前分组明文作异或
后再加密,是无线城域网中常用的数据加密算法。但该算法的密钥长度只有56bit,容易遭
受到穷举攻击。IEEE802.16e采用了安全性能更高的AES-CCM加密算法,AES-CCM是基
于AES算法的CCM模式,就是用一个准计数器产生一系列的分组作为先进的加密算法
(AES)的明文输入,AES加密后输出的密文作为定长的密钥流与要保护的数据相异或产生密
文。
二、安全机制比较
1.认证机制方面。无线局域网的IEEE802.11协议中包含了一些基本的安全认证和加密
措施,包括:无线网络设备的服务组标识(SSID)、MAC地址访问控制以及WEP加密等技
术。无线城域网IEEE802.16主要采用X.509数字证书认证方式,保证只有合法用户才能接
入网络,有效地阻止假冒SS的非法接入。IEEE802.11i作为新一代无线局域网安全标准,
是相对成熟的安全标准。无线城域网IEEE 802.16的安全机制在很大程度上与802.11i有着
一致性,无线局域网无线城域网安全机制比较,它们都引进了基于EAP协议的认证机制。
也都引进了预认证方法。即在802.11i中当客户端在接入点之间漫游时,为了从根本上降
低恢复通信所需要的时间,采用预认证方法。IEEE802.11i使用802.1x完成初步认证并且
获得成对主密钥之后,再通过四次握手协议来互动地获得加密密钥和认证密钥,这对于
802.16安全认证机制中密钥的分配管理和更新也有着很大的借鉴作用。IEEE802.11i规定
使用IEEE802.1x认证,无线城域网和无线局域网在应用上都支持802.1x,RADIUS等认证
机制来提高整个系统的认证安全。
2.数据加密方面。无线局域网IEEE802.11标准定义了有线等效保密WEP协议,WEP
是最基本的安全加密措施,目前广泛应用于无线局域网系统。无线局域网生产厂商Wi-Fi
联盟提出了WPA保护接入,其核心是IEEE802.1x和TKIP(临时密钥完整性协议),新一代
的加密技术TKIP与WEP一样基于RC4加密算法,对WEP协议的不足之处进行了有针对
性的改进,提高了安全性能。无线局域网新一代无线安全标准IEEE802.11i,主要包含高级
加密技术AES与TKIP(临时密钥完整性协议),采用高级加密标准AES,提供比WEP/TKIP
中RC4算法更高的加密性能。无线城域网数据加密采用DES-CBC算法和AES-CCM算法。
DES和AES都是著名的标准加密算法。无线城域网在数据加密方面与无线局域网有着一致
性,都采用了AES数据加密算法。AES是新一代对称加密标准,128位分组对称加密算法,
速度快,安全级别高。大量分析表明AES能抵抗已知的各种密码攻击手段,在各种平台上
基本上是最快速的。无线城域网安全机制仍在在不断的发展和完善之中,会随着终端的不
同而出现新的变化,有关专家推测无线城域网802.16安全机制的发展趋势很可能会参照无
线局域网标准IEEE802.11i的安全设计思想。
总之,无线城域网以其先进的技术性能,正逐渐显示出它在宽带无线接入技术领域的
巨大潜力。随着无线局域网无线城域网的迅速应用和安全技术的不断完善,合理组合和应
用安全机制,用户可以享受到无线宽带网络带来的方便快捷。
参考文献:
[1]曹平.无线局域网安全系统.2019.
[2]刘雄宇.关于无线城域网技术与标准.2020.