用于数据采集的Wi-Fi安全技术入门

用于数据采集的Wi-Fi安全技术入门概览在过去十年中，IT界的Wi-Fi无线网络的安全性能得到了极大的提高，使之成为数据采集应用中的一个可行的解决方案因为Wi-Fi采用空气作为其物理传输媒介，相比于其它有线网络系统，它面临着更大的安全挑战以下将简要介绍采用NI公司无线数据采集设备（DAQ）进行数据保护的工业标准安全技术IEEE

802.11安全性背景知识正确了解无线安全性需要某些背景知识，包括无线连网的历史和源自早期无线部署的经验自从最初的IEEE

802.11标准于1997年被引入之后，IEEE

802.11TaskGroup已迭代开发了多种安全协议，最终形成现今全球IT部门普遍接受的IEEE

802.Hi标准Wi-Fi安全体系的历史最初的

802.11标准中引入了有线等效协议（WEP）技术作为保护措施，以防不必要的无线网络访问每台客户端电脑的都有一个访问网络接入点的密码这个密码用于获取对网络的访问权，并且是网络接入点和客户机之间的所有消息加密的基础[+]放大图片因为WEP易于设置，所以大多数家庭和小型办公网络都使用WEP但是，WEP容易受到攻击，特别是使用不当的时候WEP采用RC4密码对数据进行加密，采用40位密钥对消息进行编码和解码攻击者们已经找到了这个协议中的漏洞，并开发了一些方法来入侵这种没有适当保护的WEP网络字典攻击一很多用户都保留着无线网络接入点和网卡的出厂默认设置而其・它一些用户则使用一些比较“弱”的WEP密钥，这些密钥都可以在字典中找到一些潜在的攻击者通过“猜测”安全性设置来利用这些网络有些攻击者采用蛮力攻击方式，同时还存在其它一些更复杂的方法选择一些比较复杂的密码就可以轻松预防字典攻击•中间人攻击一大多Wi-Fi网络接入点都将其SSID发布出来，这样客户们可以方便地找到这些接入点并与之相连如果某个伪装的网络接入点发布相同的SSID,就可以诱骗客户发送其安全信息，从而使得攻击者可以访问真实网络常见最好的预防措施就是关掉路由器的SSID广播•重放攻击一当攻击者窃听无线网络通信数据包并记录传输数据时，就产生了重放攻击然后，攻击者使用这些数据来重放包含伪造的或者错误的数据消息，欺骗接入点去发送额外的地址解析协议（ARP）数据包当数据包达到足够数量（50,000-100,000）时，攻击者就可以破解WEP密钥了NI的无线数据采集设备支持WEP安全体系但是，很多无线数据采集应用需要更强大的安全协议NI无线数据采集网络安全组件NI无线数据采集设备支持多种无线安全协议，包括WEP、Wi-Fi保护访问（WPA）和IEEE

802.Hi（即所熟知的WPA2）WPA通过阻止重放攻击，提供比WEP更好的o安全性能WPA2则具有最优的无线网络安全性能，同时具备更强大的数据保护（加密）和访问控制（认证）性能加密为了有效地保护无线数据传输，Wi-Fi网络必需具备一种强大的加密算法（密码）和某种密钥管理形式现在广泛采用两种Wi-Fi网络加密标准TKIP和AESIEEE

802.lli任务组为WPA引入了瞬时密钥集成协议（TKIP）,作为对现有WEP网络进行改进的一个权宜之策接入点和客户可以通过一个简易的固件或软件升级将WEP升级到WPA/TKIP尽管加密算法还是一样的（RC4）,但TKIP优于WEP的一个地方在于TKIP使用了128位而非40位的密钥一个更重要的区别在于，TKIP对每个消息包都使用一个不同的密钥，这就是其名称中“瞬时”的出处将已知的成对瞬时密钥（PTK）和客户的MAC地址以及数据包的序列号进行混合，动态创建这种瞬时密钥当客户使用一个预共享密钥（PSK,所有网络用户都知道的一种短语密码）和随机数生成器来连接到接入点时，PTK就生成了序列号在每次发送新数据包时递增这就意味着重放攻击不可能再发生了，因为每个数据包都不会再使用相同的密钥当攻击者企图重发旧的数据包时，接入点就可以检测到这种行为作为最终的安全解决方案，IEEE

802.Ui任务组选择了高级加密标准（AES）作为Wi-Fi网络的首选加密算法不同于TPIK,AES需要对大多数WEP装置进行硬件升级，因为AES的密码算法对处理器要求更高AES使用128位密码，所以比TPIK和WEP中所使用的RC4算法更加难于破解实际上，NIST（国家标准与技术协会）要求所有美国政府机构选择AES作为加密标准（FIPS publication197详细描述了这些要求）政府和军方的任何无线数据采集应用都很可能必需采用AES来传输数据密钥大小（位数）候选密钥数若每M解密一次，若每Hs解密106次，32232=

4.3x

10935.8分钟

2.15毫秒56256=

7.2x10161,142年10小时1282=

3.4x

10385.4x1024年

5.4x10年您总时间总时间暴力破解所需要的暴力破解所需要的表1显示即使借助大规模并行计算系统，也需要10常年来破解一组128位的AES密码认证本质上来说，网络认证就是客户访问控制在客户可以与无线接入点进行通信表穷举攻击或暴力破解所需要的总时间（）

1.FIPS197之前，必须与网络进行认证有两种认证形式基于服务器的和基于PSK的大多数企业网络都有至少一个认证服务器，通常执行远程认证拨号用户服务（RADIUS）o WPA2网络安全体系采用基于端口的IEEE

802.IX认证标准，包括以下几个部分•Supplicant（申请者）一访问网络的客户端无线设备Authenticator（认证装置）一无线接入点控制申请者可以访问哪些•Authentication Server（认证服务器）一为认证装置提供认证服务（通常是RADIUS当申请者要求访问网络时，认证装置提供对未受控端口的访问认证装置将访问请求传给认证服务器，再由认证服务器决定接受还是拒绝申请者的访问然后，认证装置再将该响应从认证服务器传给申请者要么允许访问可控端口，要么继续阻止被拒绝的申请者成功的认证过程生成一个成对主密钥（PMK）以加密无线传输这种交换的细节取决于该网络支持何种扩展认证协议（EAP）方式以下是几种最常见的EAP方式（NI无线数据采集设备支持所有这几种方式）•LEAP（轻量级EAP）-由Cisco公司开发的古老而私有的EAP方法任何微软操作系统中都不直接支持LEAPo•EAP-TLS（EAP-传输层安全）一被大多数无线制造商所支持的开源标准EAP-TLS同时需要服务器认证和客户端认证，所以安装比较困难•EAP-TTLS（EAP-隧道传输层安全）一与EAP-TLS方法相比是一种无需客户端认证的协议，适用于经常升级的网络•PEAP（受保护的EAP）—由Cisco公司、微软和RSA实验室开发的开源标准这是一种流行的EAP方法，仅仅需要服务器端认证PEAPvO/EAP-MsCHAPv2是这种方法的最常见的变体所有上面所列的EAP方法都支持双向认证，这样可以阻止中间人攻击一一因为客户需要对服务器进行认证，反之亦然伪造的无线接入点无法伪造服务器端安全认证并非所有网络都有认证服务器，这就使得前述的认证方式无法实现一些小型办公室或家庭办公室（SOHO）网络可以在客户端（无线数据采集设备）和接入点之间使用预共享密钥（PSK）来取代这些认证方式本质上来说，预共享密钥是一种短语密码，是用户用来初始化网络认证的采用NI无线数据采集设备实现安全网络NI无线数据采集（DAQ）设备支持完整的IEEE

802.Ui安全标准，包括AES加密和最流行的EAP认证方法这是市场上最容易获得的无线网络安全设备，可以保护你的敏感数据不被侵犯实际上，如果你的应用程序是用在政府或军方机构中，那么很可能强制要求使用AES加密对于其它的应用，你就可以选择WPA和一些现有的接入点硬件浏览NI无线数据采集设备指南如果你要连接到一个企业网络，你应该与IT部门共同决定采用何种你们的服务器所能接受的安全协议以及EAP方法因为NI无线数据采集设备支持各种最常见的EAP方法（LEAP、PEAP、EAPTLS和EAP-TTLS）,所以你可以自由选择其中一种以最佳匹配你的应用程序和网络构架无线数据采集设备的安全设置非常易于使用在测量和自动化管理器（MAX）中，在NI-DAQmx Devices下选择你的无线数据采集设备，然后在屏幕底部单击“Network”标签页；选择“Wireless”标签页,在一系列的下拉菜单中，配置你的网络安全选项如果你的EAP方法需要客户端认证，请确保在装配DAQ设备之前获取该认证如果要在没有认证服务器的条件下来装配你自己的网络，请确保采用一个复杂的PSK短语密码（WPA和WPA2网络中）使用MAX配置无线数据采集设备加密和认证设置MAX采用一种加密、只写的过程将所有的配置和安装数据发送到Wi-Fi或者以太网网DAQ设备，包括用户名、密码和客户端认证，以进一步保护你的网络获取更多详细说明，请参考NI WLS-9163使用者手册概括NI无线数据采集（旧-Fi DAQ）设备使用当前最高的商用无线网络安全标准，即包含网络认证和数据加密的IEEE

802.Hi（WPA2企业版）认证确保设备只有经过授权才能访问网络；加密可防止数据包遭到拦截IEEE

802.11安全标准的创建依托着IT界10余年的使用经验，并已在全球普及使用标准安全协议的NI无线数据采集（Wi-Fi DAQ）设备，可将无线测量轻松安全地添加至信息网络无线数据采集设备网络安全最优方法清单•如果你的网络可以使用认证服务器例如RADIUS服务器，则使用

802.IXEAP•如果没有认证服务器，则使用较复杂的PSK密码避免使用字典中常见的习语或单词，并混合使用大写字母、小写字母和数字字符•创建无线接入点或路由器时，避免使用公共的或者出厂默认设置的SSIDo•如果接入点硬件支持AES加密技术，则在TKIP上使用该技术•尽量不要使用WEP将接入点升级到WPA,或者下载Windows XPWPA2补丁。