無線安全技術的完善,使得該技術在最近幾年內(nèi)��,從不受信任、僅能作為某個技術備胎的新鮮事物��,逐步發(fā)展成為數(shù)據(jù)通訊的基石以及日常生活不可分割的一步分����。據(jù)預測:很快,大多數(shù)人會將擁有的移動智能手機作為其重要的計算機工具��。無線已經(jīng)成為很多人通訊的選擇���。然而����,如果沒有有效的數(shù)據(jù)安全����,無線技術就不會獲得發(fā)展��,人們?nèi)匀粫蕾囉芯€網(wǎng)絡�,盡管存在費用以及其它方面的不方便����。
數(shù)據(jù)安全
何謂安全���?我們都有需要保護的事物�。在現(xiàn)實世界���,我們有房屋和汽車����;在數(shù)字世界��,我們有個人數(shù)據(jù)��,如社保號���、在線密碼和保密郵件交換等等��。工����、商業(yè)用戶則希望保護它們的知識產(chǎn)權以及產(chǎn)品免受侵犯。
然而�����,我們會經(jīng)?����?吹侥承┍砻嫔峡雌饋肀容^安全的公司網(wǎng)絡被黑客攻擊�����,而束手無策��。那我們?nèi)绾伪Wo我們的財產(chǎn)不被盜竊或侵犯����?這種擔心由來已久。安全的基礎是:我們自己可以不受妨礙的獲取我們的財產(chǎn)��,而其它人卻受到限制或根本不能接觸����。
在現(xiàn)實世界�,我們將門鎖上�,并用鑰匙來打開它。在數(shù)字王國����,我們輸入一系列的數(shù)字和字母的組合來進入計算機或獲取數(shù)據(jù)。最基本的原則是�,有鎖和鑰匙��,這個比喻要牢記腦海中����。鑰匙對鎖是唯一的;沒有其它的鑰匙可以開啟它�����。鎖可以被取走����,或者被破壞(暴力方法);鑰匙可能被盜竊或借走���。所有的安全措施都有類似的弱點�����。
圖1:秘鑰必須同時與客戶端和接入點相匹配����。將秘鑰,包括其完整性校驗值(ICV)���,以及密鑰流整合到一起�,來加密純文本報文���。圖片來源:多樣化技術服務公司�����。
數(shù)據(jù)的訪問控制
無線安全可以包含幾種不同的部分��,這取決于個人或公司安全保護的需要���。小型系統(tǒng),比如小型辦公室/家庭辦公室的路由器或個人無線局域網(wǎng)(WLAN)�,一般通過密碼來限制接入網(wǎng)絡。大型企業(yè)WLAN也需要密碼�,但是還需要額外的授權和加密的方法��,該方法依靠授權服務器來控制對無線網(wǎng)絡的接入����。大型企業(yè)還將流量限制為不同的角色����,并依靠虛擬局域網(wǎng)(VLAN)和其它方法來對網(wǎng)絡流量進一步細分。這些技術使得管理員可以控制數(shù)據(jù)���,還可以依據(jù)工作職責或部門等層級來決定誰可以獲取數(shù)據(jù)。
無線入侵檢測系統(tǒng)(WIDS)也被用來發(fā)現(xiàn)和減少未經(jīng)授權的用戶��,并持續(xù)監(jiān)控網(wǎng)絡����;在大多數(shù)情況下這些系統(tǒng)非常有效,但是費用也比較高��。最后�,這一點也是經(jīng)常被忽視的,無論WLAN規(guī)模的大小��,必須有一個安全策略����。大多數(shù)網(wǎng)絡漏洞都受所謂的“社會工程”所累���。這個詞描繪的過程為:一個人由于受騙,將他或她的證明文件出示給未經(jīng)授權的人����。一個可靠的安全政策,在教育人們?nèi)绾伪苊庖蚴茯_�、或受迫而將授權證書出示給未經(jīng)授權的人方面十分有效。
無線網(wǎng)絡安全標準的發(fā)展
曾經(jīng)��,無線網(wǎng)絡是有點昂貴的新鮮事物����,并且沒有用于任何關鍵應用上。開放系統(tǒng)授權(OSA)�����,是早期用于網(wǎng)絡接入的方法����,僅僅由接入點(AP)向客戶端查詢,以便確保客戶端設備兼容IEEE 802.11���。當有線網(wǎng)絡太貴或者無法實現(xiàn)時�,無線被用作有線網(wǎng)絡的延伸��。隨著WLAN設施應用的越來越廣泛�,開發(fā)、實施某種途徑來確保無線網(wǎng)絡的安全也應需而生����。
保障無線網(wǎng)絡安全的首次嘗試就是所謂的有線等效加密(WEP)。WEP的目的就是為無線網(wǎng)絡提供一種等效的數(shù)據(jù)可靠性驗證方法��,正如在有線網(wǎng)絡中作用一樣��。WEP用隨機產(chǎn)生的24位“初始向量”(IV)�����,以及一個40或104位的靜態(tài)秘鑰(分別用于64位或128位WEP)來加密純文本����。秘鑰必須同時與客戶端和接入點相匹配��。
WEP受制于其內(nèi)在的缺陷����,這種缺陷與密鑰的構建和IV的重復使用有關��。IV被用于傳播純文本���,這樣就有可能通過各種技術試探IV的復用和沖突,從而確定秘鑰�����。其完整性校驗值(ICV)基于循環(huán)冗余校驗CRC-32���,而這種方法本質(zhì)上不是用于安全傳輸?shù)?���;這就提供了另外一種試探的方法��。使用常用工具�,WEP能夠在10秒鐘內(nèi)被攻破��;因此WEP不再被使用�,而且應該避免使用,即使在小型辦公室環(huán)境下亦是如此。
臨時密鑰完整性協(xié)議(TKIP)被設計用于修補IV復用事宜�。盡管使用的是現(xiàn)有設備,TKIP能夠提供數(shù)據(jù)安全���,因為它們可以通過固件的升級而實現(xiàn)升級����。TKIP由IEEE 802.11i任務組和Wi-Fi聯(lián)盟聯(lián)合開發(fā)���,用于替代WEP��。它已經(jīng)成為無線保護訪問(WPA)的基礎�。這只是一個過渡措施��,在更強健的安全機制被開發(fā)并投入使用前��,提供的一種解決方案���。TKIP使用動態(tài)產(chǎn)生的唯一128位加密秘鑰�,或者稱之為“臨時秘鑰”���,而WEP使用的是靜態(tài)秘鑰。一個被稱為“4次握手協(xié)議”的過程,發(fā)生在接入點和客戶端設備之間�����,用于產(chǎn)生這些秘鑰��。每幀還會指定一個序列號���;如果某個幀接收時不在序列之內(nèi)��,則會被拒絕�。
此外���,由于使用了復雜的密鑰���,再加上開發(fā)更強密鑰流的過程,就可以解決密鑰太弱以及密鑰復用的問題�����。設計TKIP的目的是用于使用WEP加密的過時設備����;RC4密碼在TKIP中也有所使用�。最后��,實現(xiàn)了增強的數(shù)據(jù)完整組合:報文完整性編碼(MIC)����。盡管TKIP的使用在WPA中是強制性的,但是在WAP2中確是可選的���,因為WAP2強制使用CCMP-AES加密��。
圖3:CCMP加密過程框圖�����。CCMP使用AES組密碼����,該組密碼能夠處理組內(nèi)數(shù)據(jù)����,加密方法一般稱之為CCMP/AES
IEEE 802.11和CCMP/AES
自從認識到無線網(wǎng)絡技術的應用正在呈指數(shù)級增長,而安全在支持該技術發(fā)展方面至關重要之后���,IEEE 802.11i工作組就開始研究能夠確保無線網(wǎng)絡安全的先進方法����。
從IEEE 802.11i修正案開始����,強健安全網(wǎng)絡(RSN)和強健安全網(wǎng)絡聯(lián)合(RSNA)就被引入以便為安全無線網(wǎng)絡提供框架。一般來講����,成功的授權意味著交易的雙方相互驗證了對方的身份,并已經(jīng)生成動態(tài)加密密鑰來確保安全數(shù)據(jù)的傳輸���。
WPA2是一種復雜的安全方法�����,該方法借鑒了美國聯(lián)邦信息處理標準(FIPS-197)所提供的先進加密方法����。WPA/WPA2的命名由Wi-Fi聯(lián)盟開發(fā)�,鏡像了IEEE標準控制工程網(wǎng)版權所有,它實際上是一種認證���,確保設備能夠遵循一種常用的安全標準���。WPA2規(guī)定了兩種類型的安全:用于小型和小型辦公室/家庭辦公室網(wǎng)絡的密碼授權控制工程網(wǎng)版權所有�����,以及用于企業(yè)網(wǎng)絡的802.1X/EAP安全����。
WPA2強制使用一種新協(xié)議�����,計數(shù)器模式與密文塊鏈接報文認證碼協(xié)議(CCMP)���。CCMP使用AES分組密碼��;代替在WEP中所使用的RC4密碼以及臨時密鑰完整性協(xié)議�����。分組密碼在數(shù)據(jù)塊中處理數(shù)據(jù)����,而數(shù)據(jù)流密碼����,比如RC4則以串行數(shù)據(jù)流的形式逐位加密��。這種加密方式一般稱之為CCMP/AES。CAES使用128位密鑰���,來加密128位數(shù)據(jù)組�。CCMP/AES進行了多項改進�,包括臨時密鑰(TK)、分組編碼��、一次性數(shù)據(jù)(僅使用一次的數(shù)字或位字符串)���、上層加密���、附加的授權數(shù)據(jù)(AAD)。應當明白的是:AES是一種標準而不是協(xié)議�。AES標準規(guī)定了Rijndael對稱分組密碼的使用,它能使用128�����、192����、和256位的密鑰來加密128位的數(shù)據(jù)組��。
CCMP是一種安全協(xié)議����。它遵循精心設計的步驟�����,該步驟包括使用AES所規(guī)定算法來加密敏感數(shù)據(jù)���。CCMP由可以提供特定功能的專門部件組成�����。它也使用一個臨時密鑰來完成所有的加密和數(shù)據(jù)完整性過程�?��!?/span>
縱深防御策略的5個技巧
利用先進的網(wǎng)絡安全和系統(tǒng)監(jiān)控功能���,能夠改進電源可靠性、降低能源消耗。允許網(wǎng)絡接入引發(fā)了工業(yè)企業(yè)對網(wǎng)絡安全問題的擔憂��,縱深防御措施將會對此有所幫助�。
為了做出智能電源管理的決定,以便降低能源消耗���、改善電源可靠性非常關鍵的一點是監(jiān)視并了解電源是如何被利用的��,盡管收集和獲取這些信息會引起大家對網(wǎng)絡安全的關注���。通過工業(yè)控制系統(tǒng)所實現(xiàn)的監(jiān)視功能����,可被用于獲取設備的信息,從而避免停機���、了解系統(tǒng)參數(shù)和診斷信息��,但是同時也會造成一種新的風險:接觸到未經(jīng)授權的信息��,或者為未經(jīng)授權的用戶提供無意識的接觸到設備運行及參數(shù)設定的機會���。
“縱深防御”是一種在組織內(nèi)的多個層面建立不同屏障的策略,以確保工業(yè)控制系統(tǒng)的安全。關于“縱深防御”的5個技巧包括:
1. 在工業(yè)控制系統(tǒng)網(wǎng)絡內(nèi)的多個網(wǎng)段和區(qū)域之間�,為通訊建立防火墻以便增加更嚴格的多重規(guī)則;
2. 通過將關鍵元件分組并將其與傳統(tǒng)的商業(yè)IT網(wǎng)絡隔離開來�����,從而在已建立的防火墻中建立非管制區(qū)��;
3. 部署入侵檢測和預防系統(tǒng)���,著力識別出在工業(yè)控制系統(tǒng)網(wǎng)絡中可能出現(xiàn)的偶發(fā)事件�;
4. 針對工業(yè)控制網(wǎng)絡的安全��,建立良好的審查政策����、流程、標準和指導方針�,并用文本記錄;
5. 持續(xù)進行安全評估和培訓�,確保工業(yè)控制系統(tǒng)的安全,以及依靠這些工業(yè)控制系統(tǒng)的人們的安全����。
(作者:Daniel E. Capano)
86-15940276899
services@microcyber.cn
live:.cid.bae6f80588feeea9
