您尚未登录,请登录后浏览更多内容! 登录 | 加入最MC

QQ登录

只需一步,快速开始

 找回密码
 加入最MC

QQ登录

只需一步,快速开始

查看: 66|回复: 0
打印 上一主题 下一主题

[【少女の茶会】] 知晓:我们一起聊聊WiFi6安全技术

[复制链接]
跳转到指定楼层
楼主
发表于 2022-6-24 15:23:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

1WF6概述2022年,为了更好地打造WF生态系统,便于 WF 加速器的最新消息可以到我们平台网站了解一下,也可以咨询客服人员进行详细的解答!

标准的宣传和使用,也便于非专业用户有效区分WF标准,WF联盟更改标准命规则,将之前的标准80211改为WF
4,标准80211改为WF5。2022年,电气与电子工程师协会(IEE
E)发布比较新的WF标准协议80211,即WF6。它可以同时支持24GH和5GH频段,比较高传输速率达96G。其相比80211,密集用户环境下际吞吐量提升4倍,标称传输速率提升37%,延迟下降75%。2022年年初,WF联盟宣布将可在6GH频段运行的WF6设备命为WF6E。E代表E,即由原有的频段扩展至6GH频段。图1展示了WF6标准与WF4、WF5标准的部分指标差别。



图1 WF6标准与WF4、WF5标准的部分指标差别

WF6的应用场景较之前版本WF也有了较大的改变,典型的WF6应用场景列举如下:

(1)大宽带视频业务承载随着人们对视频体验要求的不断提升,各类视频业务的码率也在不断提升,由标清到高清,从4K到8K,直至现在的VR视频。但随之而来的是对传输带宽的要求日益增加,满足超宽带视频传输要求成为视频业务面临的重大挑战。WF6技术支持24GH和5GH频段共存,其中5GH频段支持160MH带宽,速率比较高可达96G。5GH频段相对干扰较少,更适合传输视频业务。同时通过BSS着色机制、MIMO技术、动态CCA等技术可降低干扰、降低丢包率,为用户带来更好的视频体验。

(2)络游戏等低时延业务承载络游戏类业务属于强交互类业务,对带宽、时延等有更高的要求。尤其是新兴的VR游戏,其比较好的接入方式就是WF线方式。WF6引入的OFDMA信道切片技术能够为游戏提供专属信道,降低时延,满足游戏类业务特别是VR

(3)智慧家庭智能互联智能互联是智能家居、智能安防等智慧家庭业务场景的重要组成部分。当前家庭互联技术存在不同的局限性,WF6技术将给智能家庭互联带来技术统一的机会。它将高密度、大数量接入、低功耗等特点化集成在一起,同时又能与用户普遍使用的各种移动终端兼容,提供良好的互操作性。

2WF络安全威胁生活中常见的WF威胁主要有以下几类:

(1)非法用户占用通信资源当WLAN设置的口令过于简单时,如纯数字口令甚至是缺省口令,攻击者就可以通过猜测或者暴力破解的方式获取口令从而接入络,占用合法用户的带宽。

(2)钓鱼攻击在移动蜂窝络中,不法分子利用2G技术的缺陷,通过伪装成运营商的基站向用户手机发送诈、广告推销等垃圾信息。类似的,在WLAN中,不法分子通过设置与合法热点有相同、相似的服务集标识(S
S
I,SSID)称的非法热点,诱导用户接入。用户一旦接入这样的热点,可能导致重要数据被窃取,造成用户财产损失。举例来说,用户接入了非法WF热点推送的购物,并进行了交易,不法分子就会截获用户的账号信息,盗用用户的账户。

(3)非法AP接入攻击当前不法分子的攻击手段日新月异,并且业界安全攻防技术也在不断向硬件领域深入扩展。攻击者可能近端接触到WF接入点设备,篡改设备存储介质,对于不具备硬件可信根的设备,整个系统的安全防护措施将完全失效。终端用户接入被劫持的WF接入点后,所有数据流量均会被窃取或篡改。除此以外,旧协议标准固有的漏洞,如有线等效加密(W
E P,WEP)协议使用不安全的算法和WIV漏洞,也使得密码很容易被破解。

综上,WLAN常见的安全威胁有未经授权使用络服务、数据安全、非法接入点以及拒绝服务攻击。针对以上安全威胁,我们可采取对应的安全措施来进行防护,保护络安全。以下我们主要介绍WF6中涉及到的主要安全技术。

3WF6安全技术相较于WF5,WF6提升了接入带宽和并发容量,带来了节能技术,虽然WF标准本身并未引入新的安全机制,但是前文提到的WPA3认证将从2022年7月1日起成为所有新WF的强制性认证,即WPA3配套WF6提升线络的安全。WIFI6安全机制包括链路认证、用户接入认证和数据加密、线攻击检测和反制,以及元自身的设备安全可信。下面我们一一介绍:

(1)链路认证链路认证即终端身份验证。由于80211协议要求在接入WLAN之前需先经过链路认证,所以链路认证通常被认为是终端连接到AP(A
P,AP)并访问WLAN的握手过程的起点。80211协议规定了链路认证方式主要有开放系统认证(O S
A)和共享密钥认证(S-
A)两种。在开放系统认证中,终端以ID(通常是MAC地址)作为身份证明,所有符合80211标准的终端都可以接入WLAN。而共享密钥认证仅WEP协议支持,要求终端和AP使用相同的“共享”密钥。由于WEP协议安全性差,已经被淘汰,所以链路认证阶段一般都使用开放系统认证。这个阶段际上没有执行身份认证过程,只要符合协议交互过程就能够通过链路认证。在WPA3标准中,新引入了机会性线加密(O
W E,OWE),通过单独数据加密的方式来保护开放络中的用户隐私,现开放络的非认证加密。

(2)用户接入认证和数据加密用户接入认证即对用户进行区分,并在用户访问络之前限制其访问权限。相

对于简单的终端身份验证机制(链路认证),用户身份验证安全性更高。用户接入认证主要包含以下几种:WPAWPA2WPA3认证、8021认证、WAPI认证。除了用户接入认证外,对数据报文还需使用加密的方式来保证数据安全。数据报文经过加密后,只有持有密钥的特定设备才可以对收到的报文进行解密,其他设备即使收到了报文,也因没有对应的密钥,法对数据报文进行解密。图2为设备证书双向验证过程:



图2 设备证书双向校验过程

为了构建端到端的安全可信,除了终端到WLAN设备AP的通道保证安全外,AP到控制器也需要保证设备可信和通道安全,通过设备证书的双向校验及CAPWAP隧道DTLS加密来保障。

如图2所示的设备证书双向校验流程,待注册设备在发起请求的报文中携带设备自身证书至云平台;云平台获取到设备证书后,进行证书链的遍历鉴权,同时验证设备ESN是否为资源池中注入设备;对应的设备也会校验云平台的证书,只有双向校验通过后才能发起业务流程,通过证书的安全机制抵御设备仿冒的风险。W-F设备与控制器之间的双向认证

需要基于数字证书来现。认证流程中比较关键的就是私钥的签,如果攻击者能够攻破主机软件,调用到认证私钥,就能够仿冒合法设备,欺控制器接入络,进而现横向攻击。

(3)线攻击检测和反制认证和加密这2种方式是目前常用的线安全解决方案,可在不同场景下对络进行保护。在此基础上,还可通过线系统防护来提供WLAN的防护功能。目前,线系统防护主要技术有线入侵检测系统(W
I D S,WIDS)和线入侵防御系统(W I P
S,WIPS)2种。这2种技术不但可以提供入侵检测,还可以现一些入侵反制机制,以便更加主动地保护络。针对比较常见的密钥暴力破解,可部署防暴力破解密钥功能。AP将会检测认证时的密钥协商报文在一定的时间内的协商失败次数。如果超过配置的阈值,则认为该用户在通过暴力破解法破解密码,此时AP将会上报告警信息给AC,如果同时开启了动态黑单功能,则AP将该用户加入到动态黑单列表中,丢弃该用户的所有报文,直至动态黑单老化。

(4)设备完整性保护安全启动的目标是软件安装包需要进行完整性保护并确保完整性校验流程安全可靠。软件安装包在传输过程中可能被攻击者恶意篡改,恶意篡改后的软件一旦安装到用户系统中,可能造成用户信息露、用户系统资源占用、甚至系统完全被攻击者控制。如果企业设备软件被篡改而被植入窃听功能,将给运营商和企业带来巨大损失。

这一部分的安全性保证主要是基于硬件信任根和数字签的安全启动。其方案原则为:系统必须有一段不可更改的代码以及验签密钥作为信任根(R
T,RT),并且作为系统首段启动的代码。系统启动时,每个启动阶段逐级校验下一阶段启动的代码,如果校验不通过,则停止启动。

4总 结长期来看,物联设备的接入增多是让络流量激增的主因,所以协议的不断更新也是为了满足未来人们的多设备、多场景上需求。虽然技术不断更新,但是攻击者通过协议入侵物联设备仍时常发生,用户在使用公共WF时还是需要警惕。虽然WF6迅速火热,但是尚且还存在不足,比如支持设备少、成本高,在特定场合势才能突显等问题。WF6步入人们的生活是大势所趋,未来也会看到越来越多的承载设备推出,安全风险也是相伴而生,人们不仅要享受技术福利,也要积极应对技术带来的风险挑战。

参考文献

[1]曹斌,吉祥W-F6安全可信技术应用研究[J]保密科学技术,2022(08):20-28

[2]宇,李雨汝WF6技术现状综述[J]线电,2022(05):90-91

[3]王毅成第六代WF技术探析及其与5G关系的探究[J]信息通信,2022(05):1-3

[4]M
V , E R D AD HWPA3
EAP-

[5] IEEE_80211[6]
242734
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友