五十个网络安全学习项目——(九)无线网络安全分析
这个系列灵感来源是:50个网络安全项目创意:覆盖新手至专家级,本人打算把这些项目都做一遍,做好记录,也算是对自己的提升。
本文将对WAPI 协议和WPA2协议进行分析。
本文其实没写完,最近工作和学习都挺忙,状态也不好,没时间更新这个系列了,暂时停更啦!
一、WAPI协议
WAPI(无线局域网鉴别与保密基础结构)是中国自主制定的无线局域网安全标准,也是一种安全协议,旨在保障无线网络的安全性和数据传输的机密性。WAPI通过基于数字证书的身份认证机制,确保设备和用户的合法性,并采用中国自主研发的SMS4加密算法对无线通信数据进行加密保护,防止数据泄露和篡改。此外,WAPI引入动态密钥管理机制,在通信过程中动态协商和分发会话密钥,进一步增强安全性。作为国家标准,WAPI强调信息安全的自主可控,主要应用于中国的无线网络环境,提供完整的身份认证、数据加密与完整性保护解决方案。
1.关键词名词解释
组件 | 定义 | 功能 | 作用 |
---|---|---|---|
STA | 无线终端设备,如手机、笔记本等 | - 与 AP 进行双向认证,验证数字证书。 - 生成并使用会话密钥进行数据加密通信。 | 作为数据通信的发起方或接收方,传输和接收加密数据。 |
AP | 无线接入点,连接 STA 与有线网络 | - 转发 STA 和 ASU 之间的认证信息。 - 与 STA 进行双向认证,协商会话密钥。 | 作为中继设备,提供无线网络接入,并配合 ASU 进行认证。 |
ASU | 认证服务单元,负责证书验证与管理 | - 验证 STA 和 AP 的数字证书。 - 通知 AP 和 STA 继续后续的密钥协商过程。 | 作为第三方认证中心,确保设备身份合法性,保障网络安全。 |
2. 认证流程
- STA向AP发出接入鉴别请求,其中包括STA的证书和STA的签名等信息。
- AP收到接入鉴别请求,验证STA的签名,无误后,向ASU发起证书鉴别请求,将STA证书、AP证书发给ASU。
- ASU验证AST证书和AP证书,生成验证结果信息,并进行签名,响应给AP。
- AP收到证书鉴别响应,对ASU签名进行认证,并且对证书验证结果进行核实,确认是否允许AST接入。
- 然后对AST发起接入鉴别响应,让AST验证ASU的签名,合适证书验证结果,确认是否接入AP。
- AST和AP完成证书认证之后,就开始密钥协商过程,STA 向 AP 发送请求,表示准备开始密钥协商,通常包括 STA 的证书信息、身份标识以及初始化密钥协商的随机数等信息。
- AP 收到 STA 的协商请求后,基于预定的加密算法和协议参数,开始协商并计算出一个初始密钥。AP 将该密钥以及相关协商信息响应回 STA。
- 在密钥协商完成后,双方通过协商的协议和随机数,结合预共享的参数,共同计算出一个会话密钥。该密钥将用于之后的加密数据传输。WAPI 使用中国自主研发的 SM4算法对数据进行加密,这是一种对称密钥加密算法。
- 通信结束后,WAPI 会销毁会话密钥,确保密钥的安全性,防止后续被攻击者利用。
3. 安全性概述
WAPI 协议通过结合身份认证、数据加密、完整性保护和密钥管理等多种安全机制,确保无线网络中的数据通信能够安全可靠地进行。其主要目标是保护通信数据的机密性、完整性,并防止未授权访问。
首先,WAPI 协议使用数字证书进行设备身份认证。通过认证过程,STA(终端设备)和AP(接入点)可以相互验证身份,防止恶意设备假冒接入网络。WAPI 支持双向认证,即 STA 和 AP 都必须提供自己的数字证书,并进行验证,确保只有合法设备才能加入无线网络。这个双向认证机制有效避免了中间人攻击(MITM)和伪造设备的问题。
在数据传输过程中,WAPI 协议通过加密算法确保数据的机密性。具体来说,WAPI 协议使用自主研发的SMS4加密算法进行数据加密。SMS4 是一种对称加密算法,用于加密通信中的数据流,确保数据在传输过程中不会被窃听或篡改。对称加密意味着加密和解密使用同一密钥,而这个密钥是通过密钥协商过程动态生成的。每次通信会话结束后,密钥都会被销毁,避免了长期使用同一密钥导致的安全漏洞。
WAPI 协议还在数据传输中提供了完整性保护,使用消息认证码(MAC)来确保数据未被篡改。每个数据包在传输时都会附带一个消息认证码,接收方可以使用相同的密钥来验证数据的完整性,从而防止数据篡改和丢失。此外,WAPI 通过引入随机数、时间戳等技术来防止重放攻击,确保每一条消息都是有效的、唯一的。
密钥协商与分发是 WAPI 协议的另一个重要安全机制。通过安全的密钥协商过程,STA 和 AP 能够共享一个安全的会话密钥。该过程使用随机数、数字签名和加密算法等技术,确保密钥的安全性。在密钥协商过程中,密钥是动态生成的,每个会话使用不同的密钥,防止了密钥泄露或被破解后对后续通信的影响。
WAPI 协议还能够有效防止暴力破解和字典攻击。由于密钥协商过程中使用了复杂的加密算法、随机数和时间戳等措施,攻击者即使试图进行暴力破解,也很难通过穷举方法获取密钥。此外,WAPI 通过定期更新会话密钥,使得即使密钥在某一时刻被破解,后续的通信依然是安全的。