說說WiFi6安全技術

2022.05.05
說說WiFi6安全技術

近年來,隨著無線技術的進步,無線局域網在我們的生活中越來越普及。 2019年提出了最新的無線局域網技術WiFi6的概念,它對應於IEEE 802.11ax無線局域網標準,也稱為高效無線局域網。
一、WiFi6概述
2018年,為了更好地構建WiFi生態系統,方便WiFi標準的宣傳和使用,幫助非專業用戶有效區分WiFi標準,WiFi聯盟改變了標準命名規則,將之前的標準802.11n更名為WiFi 4、標準的802.11 ac更名為WiFi5。 2019年,電氣與電子工程師協會發布了最新的WiFi標準協議802.11ax,WiFi6。可同時支持2.4GHz和5GHz頻段,最大傳輸速率為9.6Gbit/s。與802.11ac相比,密集用戶環境下的實際吞吐量提升4倍,標稱傳輸速率提升37%,延遲降低75%。 2020 年初,WiFi 聯盟宣布可在 6GHz 頻段運行的 WiFi6 設備將命名為 WiFi6E。 E代表Extended,即將原來的頻段擴展到6GHz頻段。圖 1 顯示了 WiFi6 標準與 WiFi4 和 WiFi5 標準之間的一些指標差異。
圖1 WiFi6標準與WiFi4、WiFi5標準的一些指標差異

WiFi6的應用場景與之前的WiFi版本相比也發生了很大的變化。 WiFi6典型應用場景列舉如下:

(1) 大帶寬視頻業務承載
隨著人們對視頻體驗要求的不斷提高,各種視頻業務的碼率也在不斷提高,從標清到高清,從4K到8K,一直到現在的VR視頻。然而,對傳輸帶寬的要求與日俱增,滿足超寬帶視頻傳輸的要求已成為視頻業務面臨的一大挑戰。 WiFi6技術支持2.4GHz和5GHz頻段共存,其中5GHz頻段支持160MHz帶寬,速率最高可達9.6Gbit/s。 5GHz頻段干擾相對較小,更適合傳輸視頻業務。同時,BSS著色機制、MIMO技術、動態CCA等技術可以減少干擾,降低丟包率,給用戶帶來更好的視頻體驗。

(2)承載網絡遊戲等低時延業務
網絡遊戲業務是強交互業務,對帶寬和時延要求較高。尤其對於新興的 VR 遊戲,最好的訪問方式是通過 WiFi。 WiFi6引入的OFDMA通道切片技術可以為遊戲提供專用通道,降低延遲,滿足遊戲業務,尤其是VR。

(3) 智能家居智能互聯
智能互聯是智能家居、智能安防等智能家居業務場景的重要組成部分。當前的家居互聯技術存在不同的局限性,而WiFi6技術將為智能家居互聯帶來技術統一的契機。優化集成了高密度、大訪問量、低功耗的特點,兼容用戶常用的各種移動終端,具有良好的互通性。
2、WiFi網絡安全威脅
生活中常見的WiFi威脅主要有以下幾類:

(一)非法用戶佔用通信資源
當WLAN設置的密碼過於簡單時,例如純數字密碼甚至默認密碼,攻擊者可以通過猜測或暴力破解獲取密碼訪問網絡,佔用合法用戶的帶寬。

(2) 網絡釣魚攻擊
在移動蜂窩網絡中,犯罪分子利用2G技術的缺陷,通過偽裝成運營商的基站向用戶手機發送欺詐、廣告等垃圾信息。同樣,在無線局域網中,犯罪分子通過設置與合法熱點相同或相似的服務集標識符(SSID)名稱的非法熱點來誘使用戶訪問。一旦用戶訪問這樣的熱點,可能會導致重要數據被盜,從而導致用戶財產損失。例如,用戶訪問非法WiFi熱點推送的購物網站進行交易,不法分子就會截取用戶的賬號信息,盜取用戶的賬號。

(3)非法AP接入攻擊
目前,不法分子的攻擊方式日新月異,行業內的安全攻防技術也在不斷向硬件領域拓展。攻擊者可能會在近端觸摸 WiFi 接入點設備並篡改設備的存儲介質。對於沒有硬件信任根的設備,整個系統的安全保護措施將完全失效。在最終用戶訪問被劫持的 WiFi 接入點後,所有數據流量都會被竊取或篡改。此外,舊協議標準中固有的漏洞,例如有線等效隱私 (WEP) 協議使用不安全算法和 WeakIV 漏洞,也使密碼容易被破解。

綜上所述,WLAN 的常見安全威脅包括未經授權使用網絡服務、數據安全、未經授權的接入點和拒絕服務攻擊。針對上述安全威脅,我們可以採取相應的安全措施來保護和保障網絡安全。下面我們主要介紹WiFi6所涉及的主要安全技術。
3. WiFi6安全技術
與WiFi5相比,WiFi6提高了接入帶寬和並發容量,並帶來了節能技術。雖然 WiFi 標準本身並沒有引入新的安全機制,但上述 WPA3 認證將從 2020 年 7 月 1 日起成為標準。所有新 WiFi 的強制認證,即 WPA3 支持 WiFi6,以提高無線網絡的安全性。 WIFI6安全機制包括鏈路鑑權、用戶接入鑑權和數據加密、無線攻擊檢測與對策、網元自身的安全可信等。讓我們一一介紹:

(1) 鏈接認證
鏈路認證是終端認證。由於802.11協議在接入WLAN之前需要進行鏈路鑑權,因此鏈路鑑權通常被認為是終端連接AP(Access Point,AP)並接入WLAN的握手過程的起點。 802.11 協議規定鏈路認證方法主要有兩種:開放系統認證和共享密鑰認證。在開放系統認證中,終端使用ID(通常是MAC地址)作為身份證明,所有符合802.11標準的終端都可以接入WLAN。共享密鑰認證只支持WEP協議,需要終端和AP使用相同的“共享”密鑰。由於WEP協議安全性差,已被淘汰,因此鏈路認證階段一般採用開放系統認證。這個階段實際上並不進行身份認證過程,只要符合協議交互過程,就可以通過鏈路認證。 WPA3標準中新增了OWE(Opportunistic Wireless Encryption),通過單獨的數據加密保護開放網絡中用戶的隱私,實現了開放網絡的非認證加密。
(2) 用戶訪問認證和數據加密
用戶訪問認證在用戶訪問網絡之前對用戶進行區分並限制他們的訪問權限。相互

對於簡單的終端認證機制(鏈路認證),用戶認證更安全。用戶接入認證主要包括以下幾種:WPA/WPA2/WPA3認證、802.1x認證、WAPI認證。除了用戶訪問認證外,還需要對數據包進行加密以保證數據安全。數據包加密後,只有擁有密鑰的特定設備才能解密接收到的數據包。即使其他設備收到數據包,也無法解密數據包,因為它們沒有對應的密鑰。圖2展示了設備證書的雙向驗證流程:
圖 2 設備證書雙向驗證流程

為了構建端到端的安全可信,除了保證終端到WLAN設備AP的通道安全外,AP到控制器還需要保證設備的可信和通道安全。

如圖2,設備證書雙向驗證流程,待註冊設備在發起請求的消息中攜帶設備自己的證書到雲平台;雲平台獲取設備證書後,進行證書鏈的遍歷認證,同時對設備進行驗證。 ESN是否注入到資源池中的設備中;相應的設備也會驗證雲平台的證書。只有雙向驗證通過後,才能啟動業務流程,通過證書的安全機制,防範設備被假冒的風險。 Wi-Fi 設備和控制器之間的雙向認證

它需要基於數字證書來實現。身份驗證過程中最關鍵的部分是私鑰的簽名。如果攻擊者能夠突破主機軟件,調用認證私鑰,就可以模仿合法設備,欺騙控制器訪問網絡,從而實現橫向攻擊。
(3) 無線攻擊檢測與對策
認證和加密兩種方式是目前比較常用的無線安全方案,可以在不同場景下對網絡進行保護。在此基礎上,還可以通過無線系統保護來提供WLAN的保護功能。目前,無線系統保護的主要技術包括無線入侵檢測系統(Wireless Intrusion Detection System,WIDS)和無線入侵防禦系統(Wireless Intrusion Prevention System,WIPS)。這兩種技術不僅可以提供入侵檢測,還可以實施一些入侵對策,更主動地保護網絡。對於最常見的密鑰暴力破解,可以部署防暴力破解密鑰功能。 AP會在一定時間內檢測認證過程中密鑰協商報文中協商失敗的次數。如果超過配置的閾值,則認為用戶正在通過暴力破解來破解密碼。此時,AP會向AC上報告警信息。如果同時開啟動態黑名單功能,AP會將用戶加入動態黑名單。 ,丟棄該用戶的所有數據包,直到動態黑名單老化。

(4) 設備完整性保護
安全啟動的目標是保護軟件安裝包的完整性,確保完整性驗證過程安全可靠。軟件安裝包在傳輸過程中可能被攻擊者惡意篡改。一旦惡意篡改的軟件安裝在用戶系統上,用戶信息可能被洩露,用戶系統資源被佔用,甚至系統被攻擊者完全控制。如果企業設備的軟件被篡改、植入竊聽功能,會給運營商和企業帶來巨大的損失。

這部分的安全保障主要基於硬件信任根和數字簽名的安全啟動。該方案的原理如下:系統必須有一段不可更改的代碼和一個簽名驗證密鑰作為信任根(RoT),並作為啟動系統的第一段代碼。系統啟動時,每個啟動階段都會逐級檢查下一階段啟動的代碼。如果檢查失敗,則停止啟動。
4.總結
從長遠來看,物聯網設備接入的增加是導致網絡流量激增的主要原因,所以協議的不斷更新也是為了滿足人們未來多設備、多場景的上網需求。儘管技術在不斷更新,但攻擊者仍然頻繁通過協議入侵物聯網設備,用戶在使用公共 WiFi 時仍需保持警惕。 WiFi6雖然迅速普及,但也存在配套設備少、成本高等不足,只有在特定場合才能凸顯優勢。 WiFi6進入人們的生活是大勢所趨。未來,越來越多的承載設備上線,安全隱患也隨之而來。人們不僅要享受科技帶來的好處,還要積極應對科技帶來的風險和挑戰。

參考

[1] 曹斌,吉祥. Wi-Fi6安全與可信技術應用研究[J].保密科學與技術, 2020(08): 20-28.

[2] 黃宇,李玉茹. WiFi6技術現狀綜述[J].中國廣播電台,2021(05):90-91。

[3] 王義成.第六代WiFi技術及其與5G的關係分析[J].信息與通信,2020(05):1-3。

[4] 馬西·範霍夫,埃亞爾·羅南。龍血。分析 WPA3 和 EAP-pwd 的蜻蜓握手。

[5] https://en.wikipedia.org/wiki/IEEE_802.11ax[6] https://www.freebuf.com/articles/wireless/242734.html