وهكذا ، فان الامل الرئيسى للمجتمع الدولى 802.11 ومدراء شبكة تقع على عاتق 802.11i المعيار التنمية. 802.11i احيانا يشار اليها على انها قوى امن الشبكه (rsn) بالمقارنة مع التقليديه شبكة الامن (TSN). "أنا" معهد مهندسي الكهرباء والالكترونيات مهمة الفريق كان من المفترض أن تنتج جديدا لاسلكيه الأمنية الموحدة التي ينبغي ان تكون محل تركه الرز تماما بحلول نهاية عام 2003. وفي هذه الاثناء ، بعض اجزاء من الوافد 802.11i المعيار نفذت اللاسلكيه والمعدات والبرمجيات البائعين للتخفيف من المعروف 802.11 نقاط الضعف قبل 802.11i هو أصل. محميه الوصول اللاسلكي (ميلان) الشهاده التي تروجها واي فاي تحالف (http://www.wi-fialliance.org/opensection/protected_access.asp) هو مجموعة فرعية من 802.11i الحالية هو مشروع وتقنيا شبيهة جدا ل802.11i التقدم الحالي. بعض من 802.11i غير المدرجه في التطورات الراهنة النفسي المواصفات تشمل تأمين المخصص التواصل ، وتأمين سرعة handoff ، وتأمين deauthentication deassociation ، والى الاستفادة من الخدمات المعماريه والهندسية خوارزميه التشفير. وكما يحصل افرج 802.11i المعيار ، سيتم النفسي ورفع مستواها لتصبح wpa2 ، تنفيذ النهائية 802.11i الخصائص الامنية.
|
|
802.11 انني الهندسه المعماريه يمكن ان تنقسم الى اثنين من "طبقات" : تعزيزات وبروتوكولات التشفير 802.11x الميناء على اساس بروتوكول لمراقبة الدخول.
فإن المعيار 802.1x (http://standards.ieee.org/getieee802/download/802.1x-2001.pdf) كان في البداية مصممة لتوفير طبقة 2 مستخدم التوثيق تحول مثير على الشبكات.
على wlans ، 802.1x لديه وظيفة اضافية من ديناميه التوزيع الرئيسية. هذه هي وظيفة يوفرها الجيل الثاني للمجموعات الرئيسية. المجموعة الاولى هي الدورة او pairwise المفاتيح التي تنفرد بها عن كل زبون الرابطه بين المضيف ونقطة الوصول. دورة مفاتيح توفر لخصوصيه العلاقة وازالة واحدة "الارشاد للجميع" المشكلة. المجموعة الثانية هي مجموعة مفاتيح او كواترو. كواترو المفاتيح هي مشتركة بين كل المضيفين في خلية واحدة 802.11 ويستخدم لتشفير المتعدد حركة المرور. كل دورة وpairwise المفاتيح هي 128 في طول هذه المعاهدات. Pairwise المفاتيح هي مستمده من 256 بت طويلة - pairwise ماستر مفتاح (يعرف). فان يعرف يوزع من نصف قطرها الى خادم المشاركة كل جهاز باستخدام شعاع mppe ام اس - - - recv الرئيسية يعزو (vendor_id = 17). فى بطريقة مماثلة ، كواترو المفاتيح هي مستمده من كواترو ماستر مفتاح (gmk). عندما المستمده هذه المفاتيح ، او يعرف gmk تستخدم في بالاشتراك مع أربعة مفاتيح eapol المصافحه ، كما يشار اليها على انها عابرة pairwise الرئيسية.
SOHO في البيئات المنزلية أو الشبكات نشر داءره قطرها الخادم مع وجود قاعدة بيانات المستعمل هو مستبعدا. وهكذا ، فقط preshared (دخلت يدويا) يعرف يستخدم لتوليد الدورة المفاتيح. هذا هو مماثل لاستخدام الأصل الارشاد.
لأنه لا يوجد من الموانئ الماديه على 802.11 lans ، رابطة بين عميل جهاز اللاسلكي ونقطة الوصول ويعتبر بمثابة ميناء الوصول الى الشبكه. اللاسلكي العميل المعين باعتباره المتوسل (الأقران) والبروتوكول الاضافي على النحو الموثق. وهكذا ، في 802.1x تعاريف موحدة ، والوصول الى النقطه يأخذ موقف أحد على مفتاح إيثرنت سلكي lans. ومن الواضح ، ان هناك حاجة لاجراء التوثيق خادم على شبكة سلكي لهذا الجزء الذي يرتبط نقطة الوصول. هذه الوظيفة هو الشائع الذي القاه داءره قطرها خادم متكاملة مع بعض على شكل قاعدة بيانات المستخدمين ، بمن فيهم شعاع ، انت ، ونظام قواعد البيانات الوطنية ، أو النوافذ النشطه دليل. رفيعة نهاية منافذ تجارية لاسلكيه يمكن تنفيذ كلا من التوثيق والموثق خادم الوظائف. وينطبق نفس الشىء على العرف - بنيت مداخل لينكس ، والتي يمكن أن تدعم 802.1x مع hostap كما وصفها لها شعاع خادم تركيبها.
802.1 x المستخدم هو التوثيق التي توفرها طبقة 2 للامتداد توثيق البروتوكول (السكان النشطين اقتصاديا ؛ المتجدد 2284 ، (وضعتها فرقة هندسة الانترنت (الانترنت). السكان النشطين اقتصاديا متقدم لاستبدال الفصل تستخدمها تعادل القوة الشراءيه ، وضعت لدهس lans. السكان النشطين اقتصاديا اكثر من الشبكه المحلية (eapol) يعرف كيف السكان النشطين اقتصاديا هي مغلفة ضمن اطر 802.3 ، 802.5 ، 802.10 والاطر.
وهناك انواع متعددة من السكان الناشطين اقتصاديا المصممه مع مشاركة من مختلف البائعين الشركات. هذا التنوع يضيف الى 802.1x التطبيقات 'التوافق المشاكل ويجعل اختيار المناسبه والمعدات والبرمجيات لجهودكم التشديد اكثر صعوبة المهمة.
السكان النشطين اقتصاديا انواع انت من المحتمل أن يجد عند تشكيل التوثيق المستخدم الخاص بك لشبكة لاسلكيه تشمل ما يلي :
السكان النشطين اقتصاديا - md5 هو الاساس الزاميه مستوى الدعم الذي يقدمه السكان النشطين اقتصاديا القياسيه 802.1x واول نوع من السكان الناشطين اقتصاديا الى أن تكون المتقدمه. من حيث تشغيله ، والسكان النشطين اقتصاديا - md5 مكرره الفصل. اننا لا نوصي باستخدام md5 السكان النشطين اقتصاديا - لثلاثة أسباب. اولا وقبل كل شيء ، انها لا تؤيد ديناميه الارشاد التوزيع الرئيسية. وهي ايضا عرضة لرجل - في - أ ب - الشرق مارقه أو التوثيق خادم الهجوم فقط لأن الزبائن هم من صحتها. الى جانب ذلك ، وخلال عملية التوثيق المهاجم يمكن الشمه بها كل من التحدي والاستجابة المشفره واطلاق معروف الرسالة الغير مشفره او النص المشفر الهجوم.
السكان النشطين اقتصاديا - tls (طبقة النقل الامن ، وأقروا تجريبي 2716) اللوازم المتبادله القائمة على شهادة التوثيق. السكان النشطين اقتصاديا - tls هو قائم من sslv3 البروتوكول ويتطلب نشر شهادة السلطة.
السكان النشطين اقتصاديا - قفزة (خفيف السكان النشطين اقتصاديا او السكان النشطين اقتصاديا - سيسكو اللاسلكيه) هو سيسكو سيستمز نوع الملكيه السكان النشطين اقتصاديا ، نفذت من سيسكو aironet اللاسلكيه ونقاط الوصول الى العملاء. كامل السكان النشطين اقتصاديا - قفزة طريقة وصف موقع لhttp://lists.cistron.nl/pipermail/cistron-radius/2001-september/002042.html ويظل أفضل مصدر قفزه على وظيفة والعمليات. كانت اول قفزة) ولفترة طويلة الوحيد) 802.1x كلمة السر القائم على التوثيق المخطط. على هذا النحو ، قفزة هاءله اكتسبت شعبية وبل تدعمها الحرة الشعاع على الرغم من كونه ملكيه سيسكو الحل. قفزة يقوم على التحدي بسيط - كلمة السر البعثره الصرف. التوثيق خادم يرسل الى الزبون التحدي ، الذي لارجاع كلمة السر بعد اول الثرم انها مع التحدي الخيط الذي أصدره خادم التوثيق. ويجرى استخدام كلمة سر على أساس أسلوب المصادقه ، وقد السكان النشطين اقتصاديا - قفزة قوام جهاز المستخدم وليس على اساس التوثيق. وفي الوقت نفسه ، تعرض الى القاموس والاعتداءات الغاشمه - ارغام غائبة في الشهاده القائمة على السكان النشطين اقتصاديا اساليب تتضح.
معلومات مفصلة جدا بشأن العملي على التشكيل من السكان النشطين اقتصاديا - هو قفزة التي تقدمها سيسكو في http://www.cisco.com/warp/public/707/accessregistrar_leap.html.
نفذت انواع اقل شيوعا وتشمل خطة عمل القضاء على الفقر من السكان النشطين اقتصاديا (حمايه السكان النشطين اقتصاديا ، وهي مكونة مشروع المعيار) والسكان النشطين اقتصاديا - ttls (محفور نفق طبقة النقل الآمن السكان النشطين اقتصاديا ، وضعتها certicom الراءحه الكريهه والبرمجيات). ان الوضع قد تغير في وقت قريب ، لان هذه الاساليب هي كل السكان النشطين اقتصاديا قويا ودعما قويا من الصانعين ، مثل مايكروسوفت وسيسكو.
Ttls السكان النشطين اقتصاديا - الا يتطلب مصادقة خادم الشهاده ، حتى الحاجة لالمتوسل الشهاده هو القضاء والنشر يصبح أكثر وضوحا. السكان النشطين اقتصاديا - ttls تدعم مجموعة متنوعة من اساليب توثيق التراث ، بما في حلمة الثدي ، والفصل ، ام اس - الفصل ، ام اس - chapv2 ، وحتى السكان النشطين اقتصاديا - md5. لاستخدام هذه الأساليب بشكل آمن ، والسكان النشطين اقتصاديا - وهو يبني ttls مشفره tls النفق ، في الداخل الذي تركه اقل امنا التوثيق يتعارض مع البروتوكول. مثال عملي السكان النشطين اقتصاديا - ttls التنفيذ هي الرحله الطويلة البصري لمراقبة الدخول حل البرمجيات من الراءحه الكريهه البرمجيات (ويندوز xp/2000/98/me). السكان النشطين اقتصاديا - خطة عمل القضاء على الفقر هو تشبه الى حد بعيد - ttls السكان النشطين اقتصاديا ، وعلى الرغم من انه لا يدعم تركه طرائق التوثيق مثل حلمة الثدي والفصل. وبدلا من ان تدعم خطة عمل القضاء على الفقر - ام اس - chapv2 وخطة عمل القضاء على الفقر - السكان النشطين اقتصاديا - tls آمنة داخل النفق الذى انشئ فى بطريقة مماثلة الى السكان النشطين اقتصاديا - ttls النفق. السكان النشطين اقتصاديا - دعم خطة عمل القضاء على الفقر تنفذه سيسكو اللاسلكيه الامن وجناح تدمج سيسكو aironet الزبون فائدة (اتحاد المقاصه الآسيوي (ويندوز اكس بي حزمة الخدمات 1. ومن تروجها بنشاط سيسكو ، مايكروسوفت ، والامن وكالة الفضاء الروسيه.
اثنين آخرين من السكان النشطين اقتصاديا هي انواع السكان النشطين اقتصاديا - وسيم السكان النشطين اقتصاديا - لاكا وسيم usim القائم على التوثيق. كلا المشروعين في الانترنت هي لحظة وأستعرض هنا ليست لأنها تستخدم اساسا لتوثيق على GSM ، ولكن ليس 802.11 الشبكات اللاسلكيه. ومع ذلك ، فان السكان النشطين اقتصاديا - سيم يدعمه سيسكو aironet نقاط الوصول والاجهزه العميله.
الثانية طبقة من 802.11i الدفاع هو الترميز للتحسينات الاصلي نشأ اخيرا ينبغي ان يؤدي الى استبدال كامل للارشاد. الزمانيه مفتاح سلامة البروتوكول) tkip) وطريقة مجابهه مع CBC - ماك البروتوكول (ccmp) هي 802.11i التشفير التطبيقات الجديدة ، ترمي الى القضاء على المعيب الارشاد من 802.11 lans. Tkip هو الارتقاء الى الارشاد ، والذي من المفترض ان تعالج جميع جوانب الضعف المعروفة الارشاد. الترميز الحالي لطب الامن تقوم على استخدام tkip. Tkip يستخدم 48 بت ivs الرابع لتجنب اعادة استخدامها من جانب نظام الادارة المالية للاستغلال الهجوم. رابعا المقدرة ضعف الاطر الفترة مع ظهور tkip هو قرن تقريبا ، وذلك بحلول الموعد المحدد لالمفرقع بجمع ما يلزم من 3،000 او اكثر اثارة للاهتمام الرابع الاطر ، وقال انه او انها ستكون 300،000 عاما.
وللاسف ، ما هو سهل من الناحية النظريه يمكن ان يكون من الصعب تنفيذ في الممارسه العملية. تركة الاجهزه التي لا تزال تهيمن على السوق لن تزول في غضون اسبوع ولا يستطيع ان يفهم 48 بت ivs. لتجاوز هذه المشكلة ، 48 بت tkip الرابع تنقسم بين 16 بت و 32 بت اجزاء. 16 بت الجزء هو مبطن لمعاهدات الاستثمار الثنائية الى انتاج 24 الف التقليديه الرابع. فان البطانه هو فعل ذلك على نحو يتجنب احتمال ضعيف الجيل الرابع. ومن المثير للاهتمام ، 32 بت جزءا لا يستخدم لاحال الجيل الرابع ؛ وبدلا من ذلك ، يستخدم في tkip لكل علبة الرئيسية الخلط.
Tkip - الحزمه الواحدة يؤدي الخلط الرئيسية للivs لادخال البلبله رئيسية اضافية. الواحد - الحزمه الرئيسية لجيل عملية تتألف من مرحلتين ويستخدم العديد من المدخلات ، مثل معالجة يحيل جهاز ماكنتوش ، 32 رابعا من هذه المعاهدات التي سبق ذكرها ، وهي اول 16 رابعا من هذه المعاهدات ، والزمانيه الدورة الرئيسية. وتتضمن المرحلة الاولى الخلط الزمني الدورة الرئيسية ، و 32 رابعا معاهدات الاستثمار الثنائية ، والمرسل للجنة الهدنه العسكرية. في المرحلة الثانية الناتج من المرحلة الاولى يختلط الزمني الدورة الرئيسية و 16 من هذه المعاهدات الرابع. المرحلة 1 يزيل استخدام نفس المفتاح جميع الوصلات ، والمرحلة الثانية يقلل من ارتباط بين الرابع ولكل علبة الرئيسية. علما ان مفتاح خلط في النتائج المختلفة لمفاتيح كل اتجاه من الاتصالات على مدى كل وصلة.
آخر رواية التنفيذ في الرابع من tkip تتوجه انها تعني سلسلة مضادة. يذكر أن هناك تكرار الهجوم الادوات التي تستخدم لتعجيل حركة المرور جديد لارشاد من الانشقاق او حتى portscan تستضيف اللاسلكيه (reinj ، wepwedgie). لا يوجد شيء في الارشاد التقليديه لوقف هذه الهجمات من النجاح ، حيث لا يوجد معيار تحديد كيفية ivs ينبغي ان تكون مختارة. وفي غالبية الحالات ، وهذا الاختيار هو (الكاذب؟) عشواءيه. على العكس من ذلك ، ازداد tkip الرابع هو بالتتابع مع جميع خارج اطار التسلسل الرابع عبوة نبذها. وهذا يخفف من تكرار الهجمات ولكن يدخل مشكلة مع بعض نوعية الخدمة enchancements ادخلها معهد مهندسي الكهرباء والالكترونيات 802.11 مهمة فريق "هاء" على وجه الخصوص ، وردت كل acking على النحو المحدد في الاطار الأصلي csma / كاليفورنيا خوارزميه هو غير كفء. وهكذا ، وهو ما يمثل تحسنا دعا انفجار - كان يقر المقترح. وفقا لهذا التحسن ، ليست كل واحدة الاطار ، ولكن سلسلة من 16 اطر هو acked. اذا كان احد من الأطر من اصل ال 16 ارسلت لم تصل الى المقصد ، انتقاءيه acking (مماثلة الى انتقاءيه يقر برنامج التعاون التقني في الخيارات) يطبق اعد ارسال المفقودة الاطار وليس في جميع 16 على التوالي. وبطبيعة الحال ، tkip تسلسل مضادة سوف ترفض إذا أعاد الاطار مع الاطر العليا الرابع على ارقام وردت بالفعل. ولتفادي مثل هذا الازعاج ، وتستخدم tkip تكرار نافذة أن يتتبع ال 16 الماضية رابعا تلقى القيم والضوابط اذا المكرره يندرج في اطار هذه القيم. واذا فعلت ، وأنها لم تحصل بالفعل ، ومن المقبول.
Tkip كما يقدم رسالة النزاهه قانون) هيئة التصنيع العسكري او مايكل (اختباري بدلا من الاساسي وغير آمنة الارشاد النزاهه تحقق في مكافحة ناقلات (icv) الحساب. عرض لكم على اسس تطبيق الترميز من الضروري قبل الحديث عن هيكل هذه البعثره خاصة. Tkip ليس الزاميا للالمخطط النهائي 802.11i المعيار ، ولكنها متخلفه متوافقه مع القديم والارشاد لا يحتاج الى اجهزة لاسلكيه ترقيات.
بل على العكس ، ccmp سيكون الزاميا عندما 802.11i في النهاية ينفذ. Ccmp تستخدم معيار التشفير المتقدم (الخدمات المعماريه والهندسية (rijndael)) الشفرات في مواجهة مع واسطة والشفرات وكتلة تقييد رسالة توثيقه المدونه (CBC - ماكنتوش) التنفيذ. لجنة مكافحة الارهاب ، واسطة (الحزب) انشئت لاستخدامها في وقت لاحق ولكن 802.11i المقدمة الى nist للاستخدام العام للكيانات والشفرات. فإن حجم الخدمات المعماريه والهندسية الرئيسية التي حددها 802.11i المعيار هو 128 المعاهدات ، ونحن نتساءل لماذا مفتاح 256 بت لم يكن اختارت بدلا من ذلك. في طريقة مماثلة لtkip ، ccmp يستخدم 48 بت الرابع (يسمى علبة او عدد pn) والخروج التابعة لهيئة التصنيع العسكري. استخدام القوى خلق كيانات والشفرات ويجعل لكل علبة مفاتيح لا داعي لها ، وهكذا ccmp لا تنفذ لكل علبة اشتقاق المهام الرئيسية. Ccmp يستخدم نفس الواحد - الرابطه الرئيسية لكلا تشفير البيانات واختباري جيل. 8 - ثماني رسالة النزاهه اختباري تقدمها ccmp يعتبر ان تكون اقوى بكثير من tkip 'sمايكل.
لأن رقاقة منفصلة اجهزة تنفيذ الخدمات المعماريه والهندسية ويخطط لخفض عبء التشفير على 802.11 ، سرعة الشبكه ، والتي مرت ، كاملة 802.11 ومن المتوقع ان اصلاح الاجهزه عندما ccmp - بلغ دعم المنتجات في السوق. الى جانب ذلك ، لا تزال هناك بعض القضايا التى لا تغطيها 802.11i المعيار في الوقت الحاضر. وهذه القضايا تشمل تأمين المخصص الشبكات ، وبسرعة handoff ، وdeauthentication وdeassociation العمليات. وبالتالي ، فإن تنفيذ العملية على نطاق واسع من 802.11i لن تكون مهمة سهلة ، والارشاد (المأمول ، في تحسين شكل tkip) سيكون معنا لوقت طويل. هذا قد تدفع مديري الشبكات اللاسلكيه الى البحث عن موثوقه ، والبائعين النسخه المستقلة حلول الامن على عمليات التفتيش الموقعى طبقات فوق طبقة وصلة البيانات.
Online: 742 users browsing the articles directory
|
|