数码人家  设为首页  设为收藏  English  
数码人家
首    页无线网络网络方案技术应用学习驿站时尚生活艺术人生服务园地 
  *  无线基础    *  无线技术    *  发展趋势    *  市场调查    *  GPRS专题    *  广播电视
无线网络精彩推荐
无线局域网历史
无线网络术语
无线局域网常见术语
无线接入方式大看台
无线热点简介及应用
无线网络常见问题解答
无线网络产品选购指南
WiMAX基础知识
WiMAX常见问题解答
ZigBee技术简介
无线网络故障与排除
无线路由掉线原因解决
无线局域网技术
无线网络Ad Hoc简介
无线局域网安全WPA技术
国家标准WAPI技术解析
无线局域网安全技术
无线局域网安全管理
笔记本的三种无线技术比较
无线局域网研究及发展报告
WiMAX 技术应用定位和优势
还原WiMAX真实面貌
蓝牙技术相关问题及解答
ZigBee的无线技术及应用
ZigBee vs GPRS CDMA1X
移动通信现状及技术发展
WiMAX城市信息化应用
WAPI身后事
推迟施行WAPI并非迁就美国
WPA安全认证有望推广
中国WLAN安全标准撼动世界
无线局域网及其发展趋势
中国3G蓝图与发展
WLAN发展新动力
无线上网未达经济规模
Wi-Fi将成移动电话关键技术
802.11g解决方案提高吞吐量
Zigbee技术应用及其发展方向
浅谈中国如何行标准之路
新兴无线联网技术ZigBee
802.11n时代真正到来
WAPI产业联盟签下首单
无线局域网安全WPA技术
May 10,2004 Farhill of CyberHome

企业对无线局域网(WLAN)技术的主要担心是缺少一个可靠的安全标准。目前最新的国际安全标准WPA(Wi-Fi Protected Access,Wi-Fi保护接入)是即将推出802.11i标准的附属标准。WPA将替代现行的WEP(Wired Equivalent Privacy)协议。

过去的无线局域网之所以不太安全,是因为在标准加密技术WEP中存在一些缺点。WEP是1997年IEEE采用的标准,到2001年,WEP的脆弱性充分暴露出来,即备有合适的工具和中等技术水平的入侵者便能非法接入WLAN。WEP是一种在接入点和客户端之间以“RC4”方式对分组信息进行加密的技术,密码很容易被破解。WEP使用的加密密钥包括收发双方预先确定的40位(或者104位)通用密钥,和发送方为每个分组信息所确定的24位、被称为IV密钥的加密密钥。但是,为了将IV密钥告诉给通信对象,IV密钥不经加密就直接嵌入到分组信息中被发送出去。如果通过无线窃听,收集到包含特定IV密钥的分组信息并对其进行解析,那么就连秘密的通用密钥都可能被计算出来。

WPA解决了WLAN原先采用的安全认证WEP的缺陷。它的推出将使802.11b、802.11a和802.11g在内的无线设备的安全性得到保证。这是因为WPA用新的加密算法以及用户认证,满足WLAN的安全需求。WPA是以软件方式实现的,安装它将提供高度可靠的安全保证。在实现WPA的情况下,企业可用无线方式为员工提供安全的网络连接,而无需部署VPN之类的附加安全解决方案。WPA还可以使家庭和SOHO用户的网络安全性大大增强。

WPA是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP中此前倍受指责的缺点得以全部解决。

WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i标准的子集,WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。

认 证

在802.11中几乎形同虚设的认证阶段,到了WPA中变得尤为重要起来,它要求用户必须提供某种形式的证据来证明它是合法用户,并拥有对某些网络资源的访问权,并且是强制性的。

WPA的认证分为两种。第一种采用802.1x+EAP的方式,用户提供认证所需的凭证,如用户名密码,通过特定的用户认证服务器(一般是RADIUS服务器)来实现。在大型企业网络中,通常采用这种方式。但是对于一些中小型的企业网络或者家庭用户,架设一台专用的认证服务器未免代价过于昂贵,维护也很复杂,因此WPA也提供一种简化的模式,它不需要专门的认证服务器。这种模式叫做WPA预共享密钥(WPA-PSK),仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。只要密钥吻合,客户就可以获得WLAN的访问权。由于这个密钥仅仅用于认证过程,而不用于加密过程,因此不会导致诸如使用WEP密钥来进行802.11预共享认证那样严重的安全问题。

加 密

WPA采用TKIP为加密引入了新的机制,它使用一种密钥构架和管理方法,通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且,TKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后,使用802.1x产生一个唯一的主密钥处理会话。然后,TKIP把这个密钥通过安全通道分发到AP和客户端,并建立起一个密钥构架和管理系统,使用主密钥为用户会话动态产生一个唯一的数据加密密钥,来加密每一个无线通讯数据报文。TKIP的密钥构架使WEP静态单一的密钥变成了500万亿个可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法,但其动态密钥的特性很难被攻破。

消息完整性校验

消息完整性校验(MIC),是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外,WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值,这和802.11对每个数据分段(MPDU)进行ICV校验的目的不同。ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错,因此采用相对简单高效的CRC算法,但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合,可以说没有任何安全的功能。而WPA中的MIC则是为了防止黑客的篡改而定制的,它采用Michael算法,具有很高的安全特性。当MIC发生错误的时候,数据很可能已经被篡改,系统很可能正在受到攻击。此时,WPA还会采取一系列的对策,比如立刻更换组密钥、暂停活动60秒等,来阻止黑客的攻击。

当然,WPA中也许存在其他安全方面的缺陷,只是目前尚未发现。对于确保无线局域网的安全性,目前利用WPA可以说已经足够了。
    【打印本稿】  【给我留言】  【返回无线网络首页】
| 友情链接 | 网园导航 | 关于网园 | 联系网园 |
网园工作室(CyberHome Workroom) / 远山百合(Farhill&Lily) 陕ICP备05016083
Copyright©2003-2007, cyberhome.cn  All Rights Reserved.