IEEE 802.11w保护无线LAN管理帧

日期: 2008-11-03 作者:David B. Jacobs翻译:曾少宁 来源:TechTarget中国 英文

IEEE 802.11w无线加密标准是建立在IEEE 802.11i框架上的,它可以对抗针对无线LAN(WLAN)管理帧的攻击。它可以增强运行着诸如无线VoIP等应用网络管理,在保证无线通信安全的同时能够提供足够的呼叫质量和稳定性。 早在2000年,人们就意识到加强无线LAN数据的加密和认证的需求。而其直接的结果就是2004年完成的IEEE 802.11i 协议。

IEEE 802.11i可以保护数据帧,但管理帧仍然是不经加密和认证进行发送的。认识到这个问题后,IEEE 会组织了802.11w委员会并在2006年开始工作。这个委员会目前正在检阅草拟的标准,该标准预计发在2009年年中发布。 早……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

IEEE 802.11w无线加密标准是建立在IEEE 802.11i框架上的,它可以对抗针对无线LAN(WLAN)管理帧的攻击。它可以增强运行着诸如无线VoIP等应用网络管理,在保证无线通信安全的同时能够提供足够的呼叫质量和稳定性。

早在2000年,人们就意识到加强无线LAN数据的加密和认证的需求。而其直接的结果就是2004年完成的IEEE 802.11i 协议。

IEEE 802.11i可以保护数据帧,但管理帧仍然是不经加密和认证进行发送的。认识到这个问题后,IEEE 会组织了802.11w委员会并在2006年开始工作。这个委员会目前正在检阅草拟的标准,该标准预计发在2009年年中发布。

早期的WLAN实现中,缺乏对管理帧的保护并不是一个主要的问题。黑客可以通过发送分解(Disassociate)或解除认证(Disauthentication)帧将工作站的网络中止,但这在管理帧中几乎没有信息反映这个严重的问题。而重新建立关联是一个快速的过程,只要仍然使用原始的WEP安全标准。

保护管理帧变得很重要

黑客攻击现在是一个非常严重的问题了。相比于WEP,使用802.11i恢复关联和认证过程是一个更复杂和时间更长的过程。而更重要的是,WLAN已经不仅仅局限于发送电子邮件和上网了。

诸如无线VoIP和无线视频之类的应用要求额外的IEEE标准支持。现在,管理帧带有关于管理网络和应用性能的非常重要的信息。

新WLAN标准依赖于安全的管理帧

2005年发布的IEEE 802.11e是用以消除应用QoS特性差异的。比如,VoIP和Email对于需要保证的响应时间和带宽的需求是非常不同的。IEEE 802.11e标准定义了AP用以声明所支持的服务类的管理帧。而基站响应它们的QoS条件。

由于目前管理数据包并没有加密,所以黑客可以知道管理网络操作的参数、基站的身份和其所需的条件。

如果没有管理帧认证,黑客可以发送一个伪装为来自合法基站或AP的帧来进行攻击,它通过减少一个特定的基站的网络访问或通过发送修改网络参数的数据包来扰乱网络操作。

对于WLAN操作至关重要的无线电频率信息

最近发布的IEEE 802.11k标准定义了一套无线电频率环境测量方法和一套用于在AP和工作站间用以传播这些信息的管理帧。

同时一个伴随标准802.11v也在制定中。它将详细说明802.11k指定测量方法是如何用于提高网络性能的。工作站能够知道附近的AP上的流量负荷,然后将流量转移到负荷较少的AP上。AP和工作站能够通过协商转换来变更频道以减少拥塞或者避免来自移动电话或微波炉的噪音干扰。新定义的管理帧可以使工作站扩展休眠周期,并且通过减少AP发射频率来节约电池电量。

无防卫的802.11k 和 802.11v标准下的帧为攻击提供了后门。工作站可能被黑客用于过度使用AP,而其它的AP则留作传输黑客的流量使用。工作站还可能被黑客置于长期休眠状态。因此,802.11w委员会也意识到了它作用对于802.11k 和802.11v的成功实现是至关重要。

创建在802.11i框架上的IEEE 802.11w

802.11w委员会将建议的标准基于802.11i使用过的AES-CCMP算法实现。委员会原本考虑使用TKIP,但是由于其不保护整个数据包而被否决。此外,委员会也注意到CPU速度和加密技术的提高将使TKIP变得易受攻击。

ASE-CCMP为单播(Unicast)数据包提供加密和认证功能。而广播数据包则带来一个更麻烦的问题。为了使还没有升级到支持802.11w的工作站仍然能免接收到广播包,传输的内容不能被加密。取而代之的是,该标准插入了一个新的信息元素,它包括了一个防止重播放的序列以及一个探测伪装签名的报文认证码。

标准的缺陷

802.11w不能够阻止所有的拒绝服务(DoS)攻击。对于Associate请求和响应或者密钥交换序列进行加密或者认证都是不可能的,因为所有这些数据包都在AP和工作站之间建立信任关系之前进行交换的。黑客可以用快速Associate和Authenticate请求来停顿AP,但是,使用802.11i可以阻止黑客访问网络。

IEEE 802.11w能够诸如那些合法的网络用户想要提高网络连接的速度之类的攻击。如果没有802.11w,他可以拦截和修改发送到其它工作站的管理数据包。他可以将其它工作站的QoS参数降级,或者将它们从工作使用的AP上移走。这些方法的任何一个都可以减少它需要竞争的流量并且提高访问速度。

虽然无法阻止所有的攻击,但是802.11w能够阻止那些较为狡猾的攻击。它将增强网络管理员对他们的诸如无线VoIP等应用的信心,从而可以提供足够的呼叫质量和稳定性。

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。

相关推荐

  • 福禄克:关于无线安全的五个误区

    在这个互联互通的世界里,可能导致身份信息失窃或专有信息丢失的安全威胁在无线网络中无处不在。随着首届国家网络安全宣传周的到来,网络安全日益引起人们的关注。这里总结了值得引起注意与行动的五大无线安全误区。

  • “懂场景”:锐捷网络智分3代智慧创新

    无线技术创新演进,不但让无线信号可以延伸至生产、生活的每个角落,更有望实现“从能用到好用,直至完全替代有线”的终极目标。所以,当前关注WLAN技术的热点,不再是讨论无线网的性能,而是由它带来的应用与体验变革。

  • 802.11n安全的新机遇(下)

    无线网络的大规模部署大大增加了无线安全及无线安全服务对业务的重要性。在本文中我们将与大家一起探讨802.11n安全的新机遇,包括无线入侵检测和防御……

  • 802.11n安全的新机遇(上)

    802.11n可实现多要求的移动应用部署,很多客户乐于大规模地部署无线网络,甚至来替换以太网。这种扩张大大增加了无线安全及无线安全服务对业务的重要性。