Wi-SUN在安全这一块是做到了企业级加密,它采用IEEE802.11i,IEEE802.1X,EAP_TLS等技术进行对网络的认证及加密。今天这篇文章主要就是跟大家解析一下这些安全规范的关系以及Wi-SUN安全机制的解析。 无线组网通信中,如何保证网络的安全?万变不离其宗,所有的安全机制都围绕两部分,一个是对网络中各个角色的接入认证,一个是对无线数据的加密。这两部分做好了,这个网络理论上也就安全了。 IEEE 802.11i, 无线安全标准,它作为无线安全这一块的总的规范标准它定义了接入认证方式:802.1x;加密方式:TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)。而最开始提到了EAP_TLS是802.1x中定义的一种认证流程。他们的关系大致如下图:
其中标红的部分就是Wi-SUN所采用的的加密方案。 我们在使用wifi的过程中,肯定会有输入wifi密码的一个过程,如果研究过一些路由器关于设备接入的设置,肯定看到过下面这幅图:
在wifi的安全机制中,分为了个人级别的安全和企业级别的安全,从图上看,这两个部分的区别在于一个使用了802.1x+EAP(扩展认证协议)。另一个使用PSK。这两个的作用是什么?要回答这个问题我们先要看下用于加密的几个密匙。 PTK(Pairwise transient Key):成对临时密匙,用于加密单播信息。 GTK(Group transient Key):组临时密匙,用于加密组播或广播信息。 而这两个临时密匙都是通过一个主密匙通过算法衍生出来的,这个主密匙就是: PMK(Pairwise Master Key):成对主密匙。 PMK是PTK和GTK的基础,对设备的接入认证过程也是一个协商PMK的过程。而刚才提到的802.1x+EAP和PSK实际上就是获取PMK的两种方式,也就是认证的两种方式。 简单来说,PSK对应的就是我们平时上网输入的wifi密码,通过这个密码转换得到PMK,这是属于个人级别的安全机制。而802.1x+EAP是通过EAPOL与后台认证服务器经多次交互获取得到PMK。最直观的区别在于前一种方式整个网络的PSK一样的,后一种方式每个接入设备与认证服务器都维护者不同的PMK。 Wi-SUN通过802.1x获取PMK的流程采用EAP-TLS机制,具体流程如下:
通过上面的多次交互,接入设备和认证服务器互相认证了对方证书,由3次的随机数和身份标识计算出PMK。到这里接入设备就完成接入认证。对于后面的数据加密部分,下回我们再解析。
|