欢迎来到天天文库
浏览记录
ID:27523513
大小:120.50 KB
页数:6页
时间:2018-12-04
《Wi-Fi联盟最近公布了14年来最重磅的Wi-Fi安全升级.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、Wi-Fi联盟最近公布了14年来最重磅的Wi-Fi安全升级 Wi-Fi联盟最近公布了14年来最重磅的Wi-Fi安全升级。Wi-Fi保护访问3(简称WPA3)安全认证协议为2004年推出的WPA2协议提供了一些迫切需要的更新。WPA3并没有对Wi-Fi安全进行全面改造,而是专注于引入新技术来应对已经显现在WPA2中的漏洞。 除WPA3之外,Wi-Fi联盟还公布了另外两个独立的认证协议:EnhancedOpen(增强开放)协议和EasyConnect(简单连接)协议。它们不依赖于WPA3,但它们确实提高了特定类型网络和特定情况下的安全性。 所有
2、这些协议现在都可供制造商整合到他们的设备中。如果WPA2将要走下历史舞台,那么这些协议最终会被普遍采用,但Wi-Fi联盟尚未就此设定任何时间表。最有可能的是,随着新设备进入市场,我们最终会看到一个转折点,那之后WPA3、EnhancedOpen和EasyConnect就成了新的主流。 那么,所有这些新的认证协议能做些什么呢?由于大多数都与无线加密有关,还有很多复杂的数学计算,这就有些说来话长。不过,本文将只是概要地谈谈这些协议会为无线安全带来的四个主要变化。 同时对等身份认证(SAE) 这是WPA3带来的最大变化。任何网络防御中最重要的
3、时刻都是一个新设备或新用户试图连接进来时。把敌人拦截在门外才最安全,这就是WPA2和如今的WPA3都非常强调对新连接进行身份验证并确保它们不是攻击者获取访问权限的尝试的原因。 SAE是一种对尝试连接到网络的设备进行身份验证的新方法。SAE是使用加密技术来防止窃听者猜测密码的所谓“蜻蜓握手”(dragonflyhandshake)的一种变体,它确切地指明了一个新设备或用户在交换加密密钥时应该如何向网络路由器“打招呼”。 SAE取代了自2004年WPA2推出以来一直在使用的预共享密钥(PSK)方法。PSK也被称为“四次握手”(four-wayha
4、ndshake),这是指在路由器和连接设备之间来回握手或传递消息四次,四次握手后双方都要在没有任何一方直接透露事先商定的密码的情况下证明自己知道这密码。直到2016年,PSK似乎都是安全的,直到“密匙重装攻击”(KRACK)被发现。 一个KRACK通过假装暂时失去与路由器的连接来中断一系列的握手。实际上,它使用重复连接的机会来分析握手,直到将正确的密码拼凑出来为止。SAE阻止这种攻击以及更常见的离线字典攻击。在离线字典攻击中,一台计算机会用数百、数千或数百万个密码来做尝试,以确定其中哪个密码与PSK握手提供的验证信息相匹配。 顾名思义,SAE
5、的工作方式是将设备视为平等的,而不是将一方视为显式请求者而将另一方视为认证者(传统上分别是连接设备和路由器)。任何一方都可以发起握手,然后它们继续独立发送它们的认证信息,而不是作为来回交换的一部分。如果没有来回交换,KRACK无处可进,而字典攻击也毫无用处。 SAE提供了PSK没有的额外安全特性:前向保密性。假设攻击者可以访问路由器从更广泛的因特网上发送和接收的加密数据。以前,攻击者可以保留这些数据,然后,如果它们成功地获得了一个密码,它们就可以解密先前存储的数据。使用SAE,每次建立连接时都会更改加密密码,因此即使攻击者通过欺骗的方式进入网络
6、,他们也只能窃取密码来解密之后传输的数据。 标准IEEE802.11-2016中对SAE进行了定义。顺便说一下,该标准的长度超过3,500页。 192位安全协议 WPA3-Enterprise是面向金融机构、政府和企业的一个WPA3认证版本,具有192位加密功能。对于家庭网络上的路由器来说,这是一种过度的安全级别,但对于处理特别敏感信息的网络来说,这是有意义的。 Wi-Fi目前提供128位安全协议的安全性。192位的安全协议不是强制性的,对于那些希望或需要将其用于其网络的机构来说,它是一个可选的设置。Wi-Fi联盟还强调,企业网络应该拥有
7、强大的加密能力:系统安全的整体强度取决于其最薄弱的环节。 为了确保一个网络的整体安全性从头到尾地达到一致性,WPA3-Enterprise将使用256位伽罗瓦/计数器模式协议(Galois/CounterModeProtocol)进行加密,使用384位的散列消息认证模式(HashedMessageAuthenticationMode)来创建和确认密钥,以及使用椭圆曲线Diffie-Hellman(EllipticCurveDiffie-Hellman)交换和椭圆曲线数字签名算法(EllipticCurveDigitalSignatureAlgo
8、rithm)来认证密钥。这是一个很复杂的数学问题,但其结果是,这个过程的每一步都将为需要它的组织保持一个192位的加密和安全最小值。
此文档下载收益归作者所有