无线局域网安全技术发展简述

[论文关键词]802.11i WEP WPA WPA2

    [论文摘要]无线局域网是目前通讯技术中发展快速的技术之一，其中的安全性也备受关注。从无线局域网安全技术的发展历程来对无线局域网当中采用的安全技术WEP、WPA/WPA2、WPA-PSK/WPA2-PSK等进行概述，介绍其工作原理，特点、优缺点以及各自适用的范围。
　　
　　
　　
　　一、WEP有线等价保密协议
　　
　　（一）WEP工作原理
　　802.11标准中的WEP是一种在接入点和客户端之间采用RC4密钥算法对分组信息进行加密的技术，采用40位（或104位）的共享密钥，24位的初始向量(IV)，并且IV明文的形式传送，各无线局域网终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端尝试链接上接入点时，接入点会发出一个挑战值封包给客户端，客户端再利用共享密钥将此值传回存取点进行认证比对，若正确无误才能获准存取网络的资源。
　　（二）WEP存在的安全缺陷
　　WEP的加密机制在多年来的使用过程中表明：WEP所采用的RC4使用方式所变现出的密钥更新速度慢；初始化向量IV的重复使用；完整性校验无加密性，令安全性大大降低。
　　RC4使用静态WEP密钥和24位的随机数初始化向量IV混合产生的密钥来进行加密，
　　（三）适用范围
　　虽然WEP安全技术不能够为无线用户提供足够的安全保护，但由于大多数攻击都是依靠搜集传输数据的合理样本来实现的，因此对于家庭用户而言，如果传送数据包的数量足够小，WEP仍然是安全的选择。对于还在使用旧型路由器只支持WEP的用户来说，使用128位的WEP密钥会让无线网络更安全些。
　　
　　二、WPA系列
　　
　　（一）WPA无线访问保护接入
　　1．WPA的特点。它的主要特点如下：在TKIP中，IV的大小增加了一倍，达到48位；使用Micheal提供强数据完整性的算法；TKIP和Micheal使用从密钥和其他值派生的临时密钥。主密钥从可扩展身份验证协议传输层安全性EAP-TLS或受保护的EAP802.1x身份验证派生而来；自动重新生成密钥以派生新临时密钥租；无重放保护TKIP将IV作帧计数器以提空重放保护。
　　2．WPA的优点。WPA在WEP的基础之上为现有的无线局域网设备大大提高了数据加密安全保护和访问认证控制。WPA是完全基于标准的并且在现有已存的大量无线局域网硬件设备上只需简单地进行软件升级便可完成，并且也能保证兼容之后推出的IEEE 802.11i安全标准
　　3．WPA的适用范围。虽然相对于WEP，WPA在安全性上有了很大的改善，但仍然是采用比较薄弱的RC4加密算法，黑客只要监听到足够的数据包，借助强大的计算设备，即使在TKIP的保护下，同样可能破解网络，不能满足高端企业和政府的加密需求，因此，WPA更多应用于企业与家庭无线网络部署。（二）WPA2无线访问保护接入2
　　IEEE完成并公布IEEE 802.11i 无线局域网安全标准后 ，Wi-Fi 联盟也随即公布了 WPA第2 版 (WPA 2)。它支持更高级的使用计数器模式和密码块链消息身份验证代码协议的高级加密标准AES。研究人员对WPA与WPA2做出了如下的总结：
　　WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP（选择性项目）/TKIP
　　WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP（选择性项目）/TKIP/CCMP
　　1．WPA2特点：在AES-CCMP中，IV被替换为“数据包编号”字段，并且其大小将倍增至48位；采用可严格实现数据完整性的AES-CBC-MAC算法；与WPA的临时密钥完整性协议TKIP类似，AES-CCMP 使用一组从主密钥和其他值派生的临时密钥；主密钥是从可扩展身份验证协议-传输层安全性（EAP-TLS）或受保护的EAP（LEAP) 802.1X身份验证过程派生而来的；AES-CCMP使用数据包编号字段作为计数器来提供重播保护；AES-CCMP自动重新生成密钥以派生新的临时密钥组。
　　2．WPA2优点。在加密方面，WPA2同时支持动态密钥完整性协议(RC4加密算法的一个执行版本)和高级加密标准（适合于顶级的政府安全策略），而WPA只是支持动态密钥完整性协议和可选的高级加密标准。尽管动态密钥完整性协议和高级加密标准目前都没有被破解，但高级加密标准在安全方面毫无疑问有一定的优势。
　　3．WPA2的适用范围。由于部分AP和移动客户端不支持此协议，因此需对客户端逐一进行部署。该方法使用于企业、政府及一般无线用户。
　　（三）WPA系列的其它形式
　　为了更好地支持用户对WPA的实施，WPA系列针对中小办公室/家庭用户和企业推出了不同的形式。

　　WPA/WPA2个人版，也就是WPA-PSK/WPA2-PSK，是WPA/WPA2协议的简化版本。它使用预共享的密钥，是一个没有802.1x 的WPA或WPA2， 在这种PSK 模式下不需使用验证服务器 ( 例如 RADIUS Server)，特别适合SOHO/家庭用户。
　　WPA/WPA2企业版，即WPA-Enterprise / WPA2-Enterprise，需要一台具有802.1X功能的远程用户拨号认证系统RADIUS的服务器。不少企业喜欢使用自己内部的RADIUS服务器运行WPA2企业版。这类服务器包括思科ACS、FreeRADIUS、Funk Odyssey、微软IAS等。WPA和WPA2企业版的主要差别对RADIUS服务器几乎没有影响。
　　
　　三、结束语
　　
　　在无线局域网的使用当中，安全的问题一直都是存在的，而无线网络所传输的资料其除了安全，还需靠两次方便性以及成本之间的评估取得平衡点。目前网络中最理想的配合，当属WPA+IEEE 802.1X,其身份与密钥管理协议，也因如此，WPA为无线局域网的第一档关卡，说对网络安全相当的重要，WPA也可以说是目前无线局域网中性价比最好的，可有效抵御目前以知的各种入侵攻击。而升级后的WPA2以AES为基础，会成为更强大的二道关卡。
　　
　　参考文献：
　　[1]W.A.Arbaugh. An inductive Chosen Plaintext Attack against WEP/WEP2. Presentations to IEEE 802.11 TGi, May, 2001.
　　[2][英]爱德尼,(美)阿尔保著;周正等译. 无线局域网安全实务:WPA与802.11i, 北京:人民邮电出版社, 2006.