無線安全技術的完善，使得該技術在最近幾年內，從不受信任、僅能作為某個技術備胎的新鮮事物，逐步發展成為數據通訊的基石以及日常生活不可分割的一步分。據預測：很快，大多數人會將擁有的移動智能手機作為其重要的計算機工具。無線已經成為很多人通訊的選擇。然而，如果沒有有效的數據安全，無線技術就不會獲得發展，人們仍然會依賴有線網絡，盡管存在費用以及其它方面的不方便。

數據安全

       何謂安全？我們都有需要保護的事物。在現實世界，我們有房屋和汽車；在數字世界，我們有個人數據，如社保號、在線密碼和保密郵件交換等等。工、商業用戶則希望保護它們的知識產權以及產品免受侵犯。

       然而，我們會經?？吹侥承┍砻嫔峡雌饋肀容^安全的公司網絡被黑客攻擊，而束手無策。那我們如何保護我們的財產不被盜竊或侵犯？這種擔心由來已久。安全的基礎是：我們自己可以不受妨礙的獲取我們的財產，而其它人卻受到限制或根本不能接觸。

       在現實世界，我們將門鎖上，并用鑰匙來打開它。在數字王國，我們輸入一系列的數字和字母的組合來進入計算機或獲取數據。最基本的原則是，有鎖和鑰匙，這個比喻要牢記腦海中。鑰匙對鎖是唯一的；沒有其它的鑰匙可以開啟它。鎖可以被取走，或者被破壞（暴力方法）；鑰匙可能被盜竊或借走。所有的安全措施都有類似的弱點。

         圖1：秘鑰必須同時與客戶端和接入點相匹配。將秘鑰，包括其完整性校驗值（ICV），以及密鑰流整合到一起，來加密純文本報文。圖片來源：多樣化技術服務公司。

數據的訪問控制

       無線安全可以包含幾種不同的部分，這取決于個人或公司安全保護的需要。小型系統，比如小型辦公室/家庭辦公室的路由器或個人無線局域網（WLAN），一般通過密碼來限制接入網絡。大型企業WLAN也需要密碼，但是還需要額外的授權和加密的方法，該方法依靠授權服務器來控制對無線網絡的接入。大型企業還將流量限制為不同的角色，并依靠虛擬局域網（VLAN）和其它方法來對網絡流量進一步細分。這些技術使得管理員可以控制數據，還可以依據工作職責或部門等層級來決定誰可以獲取數據。

       無線入侵檢測系統（WIDS）也被用來發現和減少未經授權的用戶，并持續監控網絡；在大多數情況下這些系統非常有效，但是費用也比較高。最后，這一點也是經常被忽視的，無論WLAN規模的大小，必須有一個安全策略。大多數網絡漏洞都受所謂的“社會工程”所累。這個詞描繪的過程為：一個人由于受騙，將他或她的證明文件出示給未經授權的人。一個可靠的安全政策，在教育人們如何避免因受騙、或受迫而將授權證書出示給未經授權的人方面十分有效。

無線網絡安全標準的發展

       曾經，無線網絡是有點昂貴的新鮮事物，并且沒有用于任何關鍵應用上。開放系統授權（OSA），是早期用于網絡接入的方法，僅僅由接入點（AP）向客戶端查詢，以便確?？蛻舳嗽O備兼容IEEE 802.11。當有線網絡太貴或者無法實現時，無線被用作有線網絡的延伸。隨著WLAN設施應用的越來越廣泛，開發、實施某種途徑來確保無線網絡的安全也應需而生。

       保障無線網絡安全的首次嘗試就是所謂的有線等效加密（WEP）。WEP的目的就是為無線網絡提供一種等效的數據可靠性驗證方法，正如在有線網絡中作用一樣。WEP用隨機產生的24位“初始向量”（IV），以及一個40或104位的靜態秘鑰（分別用于64位或128位WEP）來加密純文本。秘鑰必須同時與客戶端和接入點相匹配。

       WEP受制于其內在的缺陷，這種缺陷與密鑰的構建和IV的重復使用有關。IV被用于傳播純文本，這樣就有可能通過各種技術試探IV的復用和沖突，從而確定秘鑰。其完整性校驗值（ICV）基于循環冗余校驗CRC-32，而這種方法本質上不是用于安全傳輸的；這就提供了另外一種試探的方法。使用常用工具，WEP能夠在10秒鐘內被攻破；因此WEP不再被使用，而且應該避免使用，即使在小型辦公室環境下亦是如此。

       臨時密鑰完整性協議（TKIP）被設計用于修補IV復用事宜。盡管使用的是現有設備，TKIP能夠提供數據安全，因為它們可以通過固件的升級而實現升級。TKIP由IEEE 802.11i任務組和Wi-Fi聯盟聯合開發，用于替代WEP。它已經成為無線保護訪問（WPA）的基礎。這只是一個過渡措施，在更強健的安全機制被開發并投入使用前，提供的一種解決方案。TKIP使用動態產生的唯一128位加密秘鑰，或者稱之為“臨時秘鑰”，而WEP使用的是靜態秘鑰。一個被稱為“4次握手協議”的過程，發生在接入點和客戶端設備之間，用于產生這些秘鑰。每幀還會指定一個序列號；如果某個幀接收時不在序列之內，則會被拒絕。

       此外，由于使用了復雜的密鑰，再加上開發更強密鑰流的過程，就可以解決密鑰太弱以及密鑰復用的問題。設計TKIP的目的是用于使用WEP加密的過時設備；RC4密碼在TKIP中也有所使用。最后，實現了增強的數據完整組合：報文完整性編碼（MIC）。盡管TKIP的使用在WPA中是強制性的，但是在WAP2中確是可選的，因為WAP2強制使用CCMP-AES加密。

        圖3：CCMP加密過程框圖。CCMP使用AES組密碼，該組密碼能夠處理組內數據，加密方法一般稱之為CCMP/AES

IEEE 802.11和CCMP/AES

        自從認識到無線網絡技術的應用正在呈指數級增長，而安全在支持該技術發展方面至關重要之后，IEEE 802.11i工作組就開始研究能夠確保無線網絡安全的先進方法。

       從IEEE 802.11i修正案開始，強健安全網絡（RSN）和強健安全網絡聯合（RSNA）就被引入以便為安全無線網絡提供框架。一般來講，成功的授權意味著交易的雙方相互驗證了對方的身份，并已經生成動態加密密鑰來確保安全數據的傳輸。

       WPA2是一種復雜的安全方法，該方法借鑒了美國聯邦信息處理標準（FIPS-197）所提供的先進加密方法。WPA/WPA2的命名由Wi-Fi聯盟開發，鏡像了IEEE標準控制工程網版權所有，它實際上是一種認證，確保設備能夠遵循一種常用的安全標準。WPA2規定了兩種類型的安全：用于小型和小型辦公室/家庭辦公室網絡的密碼授權控制工程網版權所有，以及用于企業網絡的802.1X/EAP安全。

       WPA2強制使用一種新協議，計數器模式與密文塊鏈接報文認證碼協議（CCMP）。CCMP使用AES分組密碼；代替在WEP中所使用的RC4密碼以及臨時密鑰完整性協議。分組密碼在數據塊中處理數據，而數據流密碼，比如RC4則以串行數據流的形式逐位加密。這種加密方式一般稱之為CCMP/AES。CAES使用128位密鑰，來加密128位數據組。CCMP/AES進行了多項改進，包括臨時密鑰（TK）、分組編碼、一次性數據（僅使用一次的數字或位字符串）、上層加密、附加的授權數據（AAD）。應當明白的是：AES是一種標準而不是協議。AES標準規定了Rijndael對稱分組密碼的使用，它能使用128、192、和256位的密鑰來加密128位的數據組。

      CCMP是一種安全協議。它遵循精心設計的步驟，該步驟包括使用AES所規定算法來加密敏感數據。CCMP由可以提供特定功能的專門部件組成。它也使用一個臨時密鑰來完成所有的加密和數據完整性過程?！?/span>

縱深防御策略的5個技巧

        利用先進的網絡安全和系統監控功能，能夠改進電源可靠性、降低能源消耗。允許網絡接入引發了工業企業對網絡安全問題的擔憂，縱深防御措施將會對此有所幫助。

       為了做出智能電源管理的決定，以便降低能源消耗、改善電源可靠性非常關鍵的一點是監視并了解電源是如何被利用的，盡管收集和獲取這些信息會引起大家對網絡安全的關注。通過工業控制系統所實現的監視功能，可被用于獲取設備的信息，從而避免停機、了解系統參數和診斷信息，但是同時也會造成一種新的風險：接觸到未經授權的信息，或者為未經授權的用戶提供無意識的接觸到設備運行及參數設定的機會。

“縱深防御”是一種在組織內的多個層面建立不同屏障的策略，以確保工業控制系統的安全。關于“縱深防御”的5個技巧包括：

1. 在工業控制系統網絡內的多個網段和區域之間，為通訊建立防火墻以便增加更嚴格的多重規則；

2. 通過將關鍵元件分組并將其與傳統的商業IT網絡隔離開來，從而在已建立的防火墻中建立非管制區；

3. 部署入侵檢測和預防系統，著力識別出在工業控制系統網絡中可能出現的偶發事件；

4. 針對工業控制網絡的安全，建立良好的審查政策、流程、標準和指導方針，并用文本記錄；

5. 持續進行安全評估和培訓，確保工業控制系統的安全，以及依靠這些工業控制系統的人們的安全。

（作者：Daniel E. Capano）