【文章內(nèi)容簡介】 各個用戶而變化的密鑰。 WEP 的好處和優(yōu)勢 WEP 在傳輸上提供了一定的安全性和保密性，能夠阻止有意或無意的無線用戶查看到在 AP 和 STA 之間傳輸?shù)膬?nèi)容，其優(yōu)點在于： ? 全部報文都使用校驗和加密，提供了一些抵抗篡改的能力 ? 通過加密來維護一定的保密性，如果沒有密鑰，就難把報文解密 ? WEP 非常容易實現(xiàn) ? WEP 為 WLAN 應用程序提供了非?；镜谋Ｗo WEP 的缺點 ? 靜 態(tài) WEP 密鑰對于 WLAN 上的所有用戶都是通用的 這意味著如果某個無線設(shè)備丟失或者被盜，所有其他設(shè)備上的靜態(tài)WEP 密鑰都必須進行修改，以保持相同等級的安全性。這將給網(wǎng)絡(luò)的管理員帶來非常費時費力的、不切實際的管理任務(wù)。 ? 缺少密鑰管理 WEP 標準中并沒有規(guī)定共享密鑰的管理方案，通常是手工進行配置與維護。由于同時更換密鑰的費時與困難，所以密鑰通常長時間使用而很少更換 。 ? ICV 算法不合適 ICV 是一種基于 CRC32 的用于檢測傳輸噪音和普通錯誤的算法。CRC32 是信息的線性函數(shù)，這意味著攻擊者可以篡改加密信息，并很 容易地修改 ICV，使信息表面上看起來是可信的。 ? RC4 算法存在弱點 在 RC4 中，人們發(fā)現(xiàn)了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個好密碼所應具有的相關(guān)性。攻擊者收集到足夠使用弱密鑰的包后，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網(wǎng)絡(luò)中。 ? 認證信息易于偽造 基于 WEP 的共享密鑰認證的目的就是實現(xiàn)訪問控制，然而事實卻截然相反， 只要 通過監(jiān)聽一次成功的認證，攻擊者以后就可以偽造認證。啟動共享密鑰認證實際上降低了網(wǎng)絡(luò)的總體安全性，使猜中 WEP 密鑰變得更為容易。 WEP2 為了提供更高的安全性， WiFi 工作組 提供了 WEP2 技術(shù)，該技術(shù)相比 WEP 算法，只是將 WEP 密鑰的長度由 40 位加長到 128 位，初始化向量 IV 的長度由 24位加長到 128 位。然而 WEP 算法的安全漏洞是由于 WEP 機制本身引起的，與密鑰的長度無關(guān)，即使增加加密密鑰的長度，也不可能增強其安全程度 。 也就是說WEP2 算法并沒有起到提高安全性的作用。 認證技術(shù) 是針對以太網(wǎng)而提出的基于端口進行網(wǎng)絡(luò)訪問控制的安全性標準草案。基于端口的網(wǎng)絡(luò)訪問控制利用物理層特性對連接到 LAN 端口的設(shè)備進行身 份認證。如果認證失敗，則禁止該設(shè)備訪問 LAN 資源。 盡管 標準最初是為有線以太網(wǎng)設(shè)計制定的，但它也適用于符合 標準的無線局域網(wǎng)，且被視為是 WLAN 的一種增強性網(wǎng)絡(luò)安全解決方案。 體系結(jié)構(gòu)包括三個主要的組件 ： ? 請求方（ Supplicant） ： 提出認證申請的用戶接入設(shè)備，在無線網(wǎng)絡(luò)中，通常指待接入網(wǎng)絡(luò)的無線客戶機 STA。 ? 認證方（ Authenticator） ： 允許客戶機進行網(wǎng)絡(luò)訪問的實體，在無線網(wǎng)絡(luò)中，通常指訪問接入點 AP。 ? 認證服務(wù)器（ Authentication Sever） ： 為認證方提供認證服務(wù)的實體。認證服務(wù)器對請求方進行驗證，然后告知認證方該請求者是否為授權(quán)用戶。認證服務(wù)器可以是某個單獨的服務(wù)器實體，也可以不是，后一種情況通常是將認證功能集成在認證方 Authenticator 中。 草案為認證方定義了兩種訪問控制端口：即 受控 端口和 非受控 端口。 受控端口 分配給那些已經(jīng)成功通過認證的實體進行網(wǎng)絡(luò)訪問；而在認證尚未完成之前，所有的通信數(shù)據(jù)流從 非受控端口 進出。 非受控端口 只允許通過 認證數(shù)據(jù)，一旦認證成功通過，請求方就可以通過 受控端口 訪問 LAN資源和服務(wù)。下圖列出 認證前后的邏輯示意圖。 技術(shù)是一種增強型的網(wǎng)絡(luò)安全解決方案。在采用 的無線 LAN中，無線用戶端安裝 客戶端軟件 作為請求方 ，無線訪問點 AP 內(nèi)嵌 認證代理 作為認證方 ，同時它還作為 Radius 認證 服務(wù)器的客戶端，負責用戶與Radius 服務(wù)器之間認證信息的轉(zhuǎn)發(fā)。 認證一般包括以下幾種 EAP(Extensible Authentication Protocol)認證模式： ? EAPMD5 ? EAPTLS(Transport Layer Security) ? EAPTTLS(Tunnelled Transport Layer Security) ? EAPPEAP(Protected EAP) ? EAPLEAP(Lightweight EAP) ? EAPSIM 認證技術(shù) 的好處和優(yōu)勢 ? 協(xié)議僅僅關(guān)注 受控 端口的打開與關(guān)閉 ； ? 接入認證通過之后， IP 數(shù)據(jù)包在二層普通 MAC 幀上傳送 ； ? 由于是采用 Radius 協(xié)議進行認證，所以可以很方便地與其他認證平臺進行對接； ? 提供基于用戶的計費系統(tǒng)。 認證技術(shù) 的缺點 ? 只提供用戶接入認證機制。沒有提供認證成功之后的數(shù)據(jù)加密。 ? 一般只提供單向認證 ? 它提供 STA 與 RADIUS 服務(wù)器之間的認證，而不是與 AP 之間的認證 ? 用戶的數(shù)據(jù)仍然是使用的 RC4 進行加密。 WPA() —— 新一代 WLAN 安全標準 為了使 WLAN 技術(shù)從 安全性得不到很好保障的困境 中解脫出來， IEEE 的 i 工作組致力于制訂被稱為 IEEE 的新一代安全標準，這種安全標準是 為了增強 WLAN的數(shù)據(jù)加密和認證性能，定義了 RSN（ Robust Security Network）的概念，并且針對 WEP 加密機制的各種缺陷做了多方面的改進。 IEEE 規(guī)定使用 認證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了 TKIP（ Temporal Key Integrity Protocol）、 CCMP（ CounterMode/CBCMAC Protocol）和 WRAP（ Wireless Robust Authenticated Protocol）三種加密機制。其中 TKIP 采用 WEP 機制里的 RC4 作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級固件和驅(qū)動程序的 方法達到提高 WLAN 安全的目的。 CCMP 機制基于 AES（ Advanced Encryption Standard）加密算法和 CCM（ CounterMode/CBCMAC）認證方式，使得 WLAN 的安全程度大大提高，是實現(xiàn) RSN 的強制性要求。 WPA—— 向 IEEE 過渡的中間標準 然而，市場對于提高 WLAN 安全的需求是十分緊迫的， IEEE 的進展并不能滿足這一需要。在這種情況下， WiFi 聯(lián)盟制定了 WPA（ WiFi Protected Access）標準。 WPA 是 的一個子集，其核心就是 IEEE 和 TKIP。WPA 與 IEEE 的關(guān)系如 下 圖所示。 WPA 與 IEEE 的關(guān)系 WPA 采用了 和 TKIP 來實現(xiàn) WLAN 的訪問控制、密鑰管理與數(shù)據(jù)加密。 是一種基于端口的訪問控制標準。 TKIP 雖然與 WEP 同樣都是基于 RC4 加密算法，但卻引入了 4 個新算法： ? 擴展的 48 位初始化向量（ IV）和 IV 順序規(guī)則（ IV Sequencing Rules） 。 ? 每包密鑰構(gòu)建機制（ perpacket key construction） 。 ? Michael（ Message Integrity Code， MIC）消息完整性代碼 。 ? 密鑰重新獲取和分發(fā)機制。 WPA 系統(tǒng)在工作 的時候，先由 AP 向外公布自身對 WPA 的支持，在 Beacons、Probe Response 等報文中使用新定義的 WPA 信息元素（ Information Element），這些信息元素中包含了 AP 的安全配置信息（包括加密算法和安全配置等信息）。STA 根據(jù)收到的信息選擇相應的安全配置，并將所選擇的安全配置表示在其發(fā)出的 Association Request 和 ReAssociation Request 報文中。 WPA 通過這種方式來實現(xiàn) STA 與 AP 之間的加密算法以及密鑰管理方式的協(xié)商。 在 STA 以 WPA 模式與 AP 建立 關(guān)聯(lián)之后，如果網(wǎng)絡(luò)中有 RADIUS 服務(wù)器作為認證服務(wù)器，那么 STA 就使用 方式進行認證；如果網(wǎng)絡(luò)中沒有 RADIUS， STA與 AP 就會采用預共享密鑰（ PSK， PreShared Key）的方式。 在 WPA 中， AP 支持 WPA 和 WEP 無線客戶端的混合接入。在 STA 與 AP 建立關(guān)聯(lián)時， AP 可以根據(jù) STA 的 Association Request 中是否帶有 WPA 信息元素來確定哪些客戶端支持使用 WPA。但是在混合接入的時候，所有 WPA 客戶端所使用的加密算法都得使用 WEP，這就降低了無線局域網(wǎng)的整體安全性。 盡管 WPA 在安全性方面相較 WEP 有了很大的改善和加強， 但