無線安全技術(shù)的完善,使得該技術(shù)在最近幾年內(nèi)��,從不受信任���、僅能作為某個(gè)技術(shù)備胎的新鮮事物,逐步發(fā)展成為數(shù)據(jù)通訊的基石以及日常生活不可分割的一步分��。據(jù)預(yù)測:很快���,大多數(shù)人會(huì)將擁有的移動(dòng)智能手機(jī)作為其重要的計(jì)算機(jī)工具。無線已經(jīng)成為很多人通訊的選擇�����。然而,如果沒有有效的數(shù)據(jù)安全����,無線技術(shù)就不會(huì)獲得發(fā)展,人們?nèi)匀粫?huì)依賴有線網(wǎng)絡(luò)�,盡管存在費(fèi)用以及其它方面的不方便。
數(shù)據(jù)安全
何謂安全�?我們都有需要保護(hù)的事物。在現(xiàn)實(shí)世界��,我們有房屋和汽車����;在數(shù)字世界,我們有個(gè)人數(shù)據(jù)��,如社保號�、在線密碼和保密郵件交換等等。工���、商業(yè)用戶則希望保護(hù)它們的知識產(chǎn)權(quán)以及產(chǎn)品免受侵犯��。
然而��,我們會(huì)經(jīng)?���?吹侥承┍砻嫔峡雌饋肀容^安全的公司網(wǎng)絡(luò)被黑客攻擊,而束手無策����。那我們?nèi)绾伪Wo(hù)我們的財(cái)產(chǎn)不被盜竊或侵犯?這種擔(dān)心由來已久���。安全的基礎(chǔ)是:我們自己可以不受妨礙的獲取我們的財(cái)產(chǎn)��,而其它人卻受到限制或根本不能接觸�。
在現(xiàn)實(shí)世界�����,我們將門鎖上�,并用鑰匙來打開它。在數(shù)字王國���,我們輸入一系列的數(shù)字和字母的組合來進(jìn)入計(jì)算機(jī)或獲取數(shù)據(jù)�����。最基本的原則是����,有鎖和鑰匙��,這個(gè)比喻要牢記腦海中�。鑰匙對鎖是唯一的;沒有其它的鑰匙可以開啟它�。鎖可以被取走,或者被破壞(暴力方法)����;鑰匙可能被盜竊或借走。所有的安全措施都有類似的弱點(diǎn)��。
圖1:秘鑰必須同時(shí)與客戶端和接入點(diǎn)相匹配��。將秘鑰�����,包括其完整性校驗(yàn)值(ICV)���,以及密鑰流整合到一起�����,來加密純文本報(bào)文���。圖片來源:多樣化技術(shù)服務(wù)公司�。
數(shù)據(jù)的訪問控制
無線安全可以包含幾種不同的部分���,這取決于個(gè)人或公司安全保護(hù)的需要���。小型系統(tǒng),比如小型辦公室/家庭辦公室的路由器或個(gè)人無線局域網(wǎng)(WLAN)���,一般通過密碼來限制接入網(wǎng)絡(luò)����。大型企業(yè)WLAN也需要密碼��,但是還需要額外的授權(quán)和加密的方法����,該方法依靠授權(quán)服務(wù)器來控制對無線網(wǎng)絡(luò)的接入。大型企業(yè)還將流量限制為不同的角色��,并依靠虛擬局域網(wǎng)(VLAN)和其它方法來對網(wǎng)絡(luò)流量進(jìn)一步細(xì)分。這些技術(shù)使得管理員可以控制數(shù)據(jù)�,還可以依據(jù)工作職責(zé)或部門等層級來決定誰可以獲取數(shù)據(jù)��。
無線入侵檢測系統(tǒng)(WIDS)也被用來發(fā)現(xiàn)和減少未經(jīng)授權(quán)的用戶�����,并持續(xù)監(jiān)控網(wǎng)絡(luò)��;在大多數(shù)情況下這些系統(tǒng)非常有效�����,但是費(fèi)用也比較高�����。最后��,這一點(diǎn)也是經(jīng)常被忽視的���,無論WLAN規(guī)模的大小�,必須有一個(gè)安全策略�����。大多數(shù)網(wǎng)絡(luò)漏洞都受所謂的“社會(huì)工程”所累。這個(gè)詞描繪的過程為:一個(gè)人由于受騙��,將他或她的證明文件出示給未經(jīng)授權(quán)的人��。一個(gè)可靠的安全政策���,在教育人們?nèi)绾伪苊庖蚴茯_��、或受迫而將授權(quán)證書出示給未經(jīng)授權(quán)的人方面十分有效���。
無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的發(fā)展
曾經(jīng),無線網(wǎng)絡(luò)是有點(diǎn)昂貴的新鮮事物�����,并且沒有用于任何關(guān)鍵應(yīng)用上���。開放系統(tǒng)授權(quán)(OSA)���,是早期用于網(wǎng)絡(luò)接入的方法,僅僅由接入點(diǎn)(AP)向客戶端查詢����,以便確?���?蛻舳嗽O(shè)備兼容IEEE 802.11�。當(dāng)有線網(wǎng)絡(luò)太貴或者無法實(shí)現(xiàn)時(shí)���,無線被用作有線網(wǎng)絡(luò)的延伸�。隨著WLAN設(shè)施應(yīng)用的越來越廣泛�����,開發(fā)�、實(shí)施某種途徑來確保無線網(wǎng)絡(luò)的安全也應(yīng)需而生。
保障無線網(wǎng)絡(luò)安全的首次嘗試就是所謂的有線等效加密(WEP)�����。WEP的目的就是為無線網(wǎng)絡(luò)提供一種等效的數(shù)據(jù)可靠性驗(yàn)證方法���,正如在有線網(wǎng)絡(luò)中作用一樣�。WEP用隨機(jī)產(chǎn)生的24位“初始向量”(IV)����,以及一個(gè)40或104位的靜態(tài)秘鑰(分別用于64位或128位WEP)來加密純文本�����。秘鑰必須同時(shí)與客戶端和接入點(diǎn)相匹配��。
WEP受制于其內(nèi)在的缺陷�����,這種缺陷與密鑰的構(gòu)建和IV的重復(fù)使用有關(guān)��。IV被用于傳播純文本��,這樣就有可能通過各種技術(shù)試探IV的復(fù)用和沖突���,從而確定秘鑰。其完整性校驗(yàn)值(ICV)基于循環(huán)冗余校驗(yàn)CRC-32����,而這種方法本質(zhì)上不是用于安全傳輸?shù)模贿@就提供了另外一種試探的方法�。使用常用工具,WEP能夠在10秒鐘內(nèi)被攻破���;因此WEP不再被使用�����,而且應(yīng)該避免使用����,即使在小型辦公室環(huán)境下亦是如此。
臨時(shí)密鑰完整性協(xié)議(TKIP)被設(shè)計(jì)用于修補(bǔ)IV復(fù)用事宜�。盡管使用的是現(xiàn)有設(shè)備��,TKIP能夠提供數(shù)據(jù)安全�,因?yàn)樗鼈兛梢酝ㄟ^固件的升級而實(shí)現(xiàn)升級。TKIP由IEEE 802.11i任務(wù)組和Wi-Fi聯(lián)盟聯(lián)合開發(fā)����,用于替代WEP。它已經(jīng)成為無線保護(hù)訪問(WPA)的基礎(chǔ)����。這只是一個(gè)過渡措施,在更強(qiáng)健的安全機(jī)制被開發(fā)并投入使用前�,提供的一種解決方案。TKIP使用動(dòng)態(tài)產(chǎn)生的唯一128位加密秘鑰��,或者稱之為“臨時(shí)秘鑰”,而WEP使用的是靜態(tài)秘鑰��。一個(gè)被稱為“4次握手協(xié)議”的過程���,發(fā)生在接入點(diǎn)和客戶端設(shè)備之間�����,用于產(chǎn)生這些秘鑰��。每幀還會(huì)指定一個(gè)序列號�����;如果某個(gè)幀接收時(shí)不在序列之內(nèi)���,則會(huì)被拒絕。
此外���,由于使用了復(fù)雜的密鑰�,再加上開發(fā)更強(qiáng)密鑰流的過程�,就可以解決密鑰太弱以及密鑰復(fù)用的問題。設(shè)計(jì)TKIP的目的是用于使用WEP加密的過時(shí)設(shè)備;RC4密碼在TKIP中也有所使用�。最后,實(shí)現(xiàn)了增強(qiáng)的數(shù)據(jù)完整組合:報(bào)文完整性編碼(MIC)����。盡管TKIP的使用在WPA中是強(qiáng)制性的,但是在WAP2中確是可選的��,因?yàn)閃AP2強(qiáng)制使用CCMP-AES加密�。
圖3:CCMP加密過程框圖。CCMP使用AES組密碼����,該組密碼能夠處理組內(nèi)數(shù)據(jù),加密方法一般稱之為CCMP/AES
IEEE 802.11和CCMP/AES
自從認(rèn)識到無線網(wǎng)絡(luò)技術(shù)的應(yīng)用正在呈指數(shù)級增長��,而安全在支持該技術(shù)發(fā)展方面至關(guān)重要之后����,IEEE 802.11i工作組就開始研究能夠確保無線網(wǎng)絡(luò)安全的先進(jìn)方法�。
從IEEE 802.11i修正案開始,強(qiáng)健安全網(wǎng)絡(luò)(RSN)和強(qiáng)健安全網(wǎng)絡(luò)聯(lián)合(RSNA)就被引入以便為安全無線網(wǎng)絡(luò)提供框架�。一般來講,成功的授權(quán)意味著交易的雙方相互驗(yàn)證了對方的身份����,并已經(jīng)生成動(dòng)態(tài)加密密鑰來確保安全數(shù)據(jù)的傳輸�。
WPA2是一種復(fù)雜的安全方法�,該方法借鑒了美國聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS-197)所提供的先進(jìn)加密方法。WPA/WPA2的命名由Wi-Fi聯(lián)盟開發(fā)�,鏡像了IEEE標(biāo)準(zhǔn)控制工程網(wǎng)版權(quán)所有,它實(shí)際上是一種認(rèn)證���,確保設(shè)備能夠遵循一種常用的安全標(biāo)準(zhǔn)���。WPA2規(guī)定了兩種類型的安全:用于小型和小型辦公室/家庭辦公室網(wǎng)絡(luò)的密碼授權(quán)控制工程網(wǎng)版權(quán)所有,以及用于企業(yè)網(wǎng)絡(luò)的802.1X/EAP安全��。
WPA2強(qiáng)制使用一種新協(xié)議��,計(jì)數(shù)器模式與密文塊鏈接報(bào)文認(rèn)證碼協(xié)議(CCMP)����。CCMP使用AES分組密碼;代替在WEP中所使用的RC4密碼以及臨時(shí)密鑰完整性協(xié)議�。分組密碼在數(shù)據(jù)塊中處理數(shù)據(jù),而數(shù)據(jù)流密碼��,比如RC4則以串行數(shù)據(jù)流的形式逐位加密�。這種加密方式一般稱之為CCMP/AES�����。CAES使用128位密鑰����,來加密128位數(shù)據(jù)組��。CCMP/AES進(jìn)行了多項(xiàng)改進(jìn)�����,包括臨時(shí)密鑰(TK)����、分組編碼、一次性數(shù)據(jù)(僅使用一次的數(shù)字或位字符串)��、上層加密��、附加的授權(quán)數(shù)據(jù)(AAD)�。應(yīng)當(dāng)明白的是:AES是一種標(biāo)準(zhǔn)而不是協(xié)議����。AES標(biāo)準(zhǔn)規(guī)定了Rijndael對稱分組密碼的使用,它能使用128、192���、和256位的密鑰來加密128位的數(shù)據(jù)組�����。
CCMP是一種安全協(xié)議�。它遵循精心設(shè)計(jì)的步驟��,該步驟包括使用AES所規(guī)定算法來加密敏感數(shù)據(jù)�����。CCMP由可以提供特定功能的專門部件組成���。它也使用一個(gè)臨時(shí)密鑰來完成所有的加密和數(shù)據(jù)完整性過程����?���!?/span>
縱深防御策略的5個(gè)技巧
利用先進(jìn)的網(wǎng)絡(luò)安全和系統(tǒng)監(jiān)控功能,能夠改進(jìn)電源可靠性�、降低能源消耗�����。允許網(wǎng)絡(luò)接入引發(fā)了工業(yè)企業(yè)對網(wǎng)絡(luò)安全問題的擔(dān)憂�����,縱深防御措施將會(huì)對此有所幫助��。
為了做出智能電源管理的決定���,以便降低能源消耗、改善電源可靠性非常關(guān)鍵的一點(diǎn)是監(jiān)視并了解電源是如何被利用的��,盡管收集和獲取這些信息會(huì)引起大家對網(wǎng)絡(luò)安全的關(guān)注���。通過工業(yè)控制系統(tǒng)所實(shí)現(xiàn)的監(jiān)視功能�,可被用于獲取設(shè)備的信息�����,從而避免停機(jī)��、了解系統(tǒng)參數(shù)和診斷信息��,但是同時(shí)也會(huì)造成一種新的風(fēng)險(xiǎn):接觸到未經(jīng)授權(quán)的信息����,或者為未經(jīng)授權(quán)的用戶提供無意識的接觸到設(shè)備運(yùn)行及參數(shù)設(shè)定的機(jī)會(huì)。
“縱深防御”是一種在組織內(nèi)的多個(gè)層面建立不同屏障的策略���,以確保工業(yè)控制系統(tǒng)的安全�����。關(guān)于“縱深防御”的5個(gè)技巧包括:
1. 在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)的多個(gè)網(wǎng)段和區(qū)域之間��,為通訊建立防火墻以便增加更嚴(yán)格的多重規(guī)則�;
2. 通過將關(guān)鍵元件分組并將其與傳統(tǒng)的商業(yè)IT網(wǎng)絡(luò)隔離開來���,從而在已建立的防火墻中建立非管制區(qū)����;
3. 部署入侵檢測和預(yù)防系統(tǒng)�,著力識別出在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中可能出現(xiàn)的偶發(fā)事件;
4. 針對工業(yè)控制網(wǎng)絡(luò)的安全���,建立良好的審查政策���、流程���、標(biāo)準(zhǔn)和指導(dǎo)方針,并用文本記錄���;
5. 持續(xù)進(jìn)行安全評估和培訓(xùn)�,確保工業(yè)控制系統(tǒng)的安全���,以及依靠這些工業(yè)控制系統(tǒng)的人們的安全����。
(作者:Daniel E. Capano)
86-15940276899
services@microcyber.cn
live:.cid.bae6f80588feeea9
