無線網(wǎng)絡(luò)的安全從WEP到WPA

申請免費試用、咨詢電話：400-8352-114

    另一方面，即便IEEE 802.11無線技術(shù)已經(jīng)有了重大改進，還是幾乎沒人信任該技術(shù)在保衛(wèi)他們的信息安全。如果WPA（Wireless Protected Acess）被正確部署，那么它可以保證802.11無線網(wǎng)絡(luò)至少是和SSL一樣安全的，都比未受保護的有線網(wǎng)絡(luò)要安全。如果通信專家在減輕自己對安全揪心的同時還需要幫助客戶有效地為未來網(wǎng)絡(luò)的需求做些準(zhǔn)備，那么他們必須明白以上道理。

    2001年，加州大學(xué)伯克利分校發(fā)表了一篇描述WEP（Wired Equivalent Protocol）中存在的嚴(yán)重漏洞的論文后，人們開始把目光投向無線網(wǎng)絡(luò)的不安全性。實際上，漏洞確實存在，因為制定802.11安全部分的IEEE委員會沒能雇傭到密碼學(xué)專家加入他們的工作組。

    密碼學(xué)需要非常強的數(shù)學(xué)背景，是非常專業(yè)化的一門學(xué)科。有能力開發(fā)并分析加密算法的實施的人實在是鳳毛麟角。這樣，即便WEP所采用的RC4是安全的，IEEE委員會制定的實施也保證不了安全。該實施呈現(xiàn)出許多漏洞，包括缺乏指定算法所需的初始化向量應(yīng)該怎樣計算的規(guī)范。另外還缺乏一個靜態(tài)的共享密鑰，網(wǎng)絡(luò)中的每一臺機器都可以該密鑰直接加密。這就更加惡化了上述安全問題。并且也沒有為發(fā)布密鑰材料的簡便方法。

    使用易獲得的工具，比如說Airsnort，很容易恢復(fù)WEP密鑰，然后監(jiān)測整個網(wǎng)絡(luò)。因為缺乏一個可升級的密鑰分發(fā)機制，要想改變密鑰是相當(dāng)困難的，所以密鑰也就很少改變。因此，WEP就被烙上了不安全的烙印，隨之，用戶對無線局域網(wǎng)的感受也就一落千丈。

    新的現(xiàn)實

    事情發(fā)生在三年前，從那時起，技術(shù)開始進步。不幸的是，人們的感受仍舊保留在“無線不安全”的階段。結(jié)果是，許多機構(gòu)或者根本就不采用無線網(wǎng)絡(luò)，或者通過在安全管道流中通過無線云部署VPN，這把整個過程變得非常復(fù)雜，而實際上根本沒有必要。最壞的情況是，他們把無線網(wǎng)基礎(chǔ)設(shè)施當(dāng)成完全不可信的網(wǎng)絡(luò)，用對他們的局域網(wǎng)加上了防火墻加以保護。

    有了WPA，這些步驟都可以省掉。為什么呢？首先，WAP，在企業(yè)模式里用IEEE 802.1x做認證工作。開啟802.1x后，未授權(quán)用戶不可以訪問網(wǎng)絡(luò)。802.1x提供了非常廣泛的認證機制，從簡單的口令，到像數(shù)字證書和一次性口令這樣的強認證機制，無所不包。如果某用戶不屬于一無線網(wǎng)絡(luò)，他將不具有對該網(wǎng)絡(luò)的訪問權(quán)。

    更重要的是，在WEP中出現(xiàn)的引人注目的漏洞也被改正了。這一次，WPA工作組請來了資深的密碼學(xué)專家，他們也著實嘗到了甜頭。加入了許多的改進，包括用802.1x安全分發(fā)主密鑰和密鑰誤差的引入等。加密密鑰從不直接使用，而是從主密鑰中以一種安全的方式生成。

    WPA工作組非常堅定，一定要成功。他們引入了128比特的加密密鑰長度作為標(biāo)準(zhǔn)，并對初始化向量的使用制定了規(guī)范，以防止生成脆弱的初始化向量。

    單包密鑰（per-packet key）的概念誕生了。沒有哪兩個數(shù)據(jù)包使用同一個密鑰，每一個數(shù)據(jù)包都有一個惟一的密鑰。新的系統(tǒng)還會使用相互認證（mutual authentication）機制。訪問點必須對客戶端進行認證，同時，客戶端也必須對訪問點進行認證。這樣，對于防止“中間人（man in the middle）”利用空閑無線訪問點攻擊又加深了一步。

    總的來說，在WEP上可以起作用的攻擊對WPA無濟于事。

    優(yōu)于SSL？

    和SSL做一個比較和對比可能會更有幫助。SSL使用公鑰加密機制傳輸共享對稱密鑰。服務(wù)器對客戶端的認證是通過從服務(wù)器向客戶端提供的一個數(shù)字證書實現(xiàn)的。一旦建立了一條安全通道，客戶端到服務(wù)器的認證通常是通過用戶名、密碼對完成的。

    大量的session數(shù)據(jù)本身的安全，是通過由客戶端產(chǎn)生的用對稱加密方式傳輸給服務(wù)器的一個共享對稱密鑰保證的。所采用的加密算法可能和WPA所采用的RC4相同。另外，密鑰的生命期就是SSL session的時間。

    在WPA中，初始密鑰的交換機制和SSL的基本相同，用一個安全的通道傳輸，此安全通道是802.1x協(xié)議的一部分。該密鑰信息不是直接來自于數(shù)據(jù)加密，相反，使用了每一個數(shù)據(jù)包的密鑰。這保證了WPA幾乎不可能被攻破，并且給WPA定日期也不會呈現(xiàn)出任何危險。

    WPA和SSL一樣安全。無線802.11網(wǎng)絡(luò)因為WEP得到了一個壞名聲，但用戶感受總是滯后于現(xiàn)實。無線網(wǎng)絡(luò)又一次證明了這一點。WPA應(yīng)該被認為是安全的，感受跟上現(xiàn)實的時間到了。 (E-WORKS)