無線網絡的安全從WEP到WPA

申請免費試用、咨詢電話：400-8352-114

    另一方面，即便IEEE 802.11無線技術已經有了重大改進，還是幾乎沒人信任該技術在保衛(wèi)他們的信息安全。如果WPA（Wireless Protected Acess）被正確部署，那么它可以保證802.11無線網絡至少是和SSL一樣安全的，都比未受保護的有線網絡要安全。如果通信專家在減輕自己對安全揪心的同時還需要幫助客戶有效地為未來網絡的需求做些準備，那么他們必須明白以上道理。

    2001年，加州大學伯克利分校發(fā)表了一篇描述WEP（Wired Equivalent Protocol）中存在的嚴重漏洞的論文后，人們開始把目光投向無線網絡的不安全性。實際上，漏洞確實存在，因為制定802.11安全部分的IEEE委員會沒能雇傭到密碼學專家加入他們的工作組。

    密碼學需要非常強的數學背景，是非常專業(yè)化的一門學科。有能力開發(fā)并分析加密算法的實施的人實在是鳳毛麟角。這樣，即便WEP所采用的RC4是安全的，IEEE委員會制定的實施也保證不了安全。該實施呈現出許多漏洞，包括缺乏指定算法所需的初始化向量應該怎樣計算的規(guī)范。另外還缺乏一個靜態(tài)的共享密鑰，網絡中的每一臺機器都可以該密鑰直接加密。這就更加惡化了上述安全問題。并且也沒有為發(fā)布密鑰材料的簡便方法。

    使用易獲得的工具，比如說Airsnort，很容易恢復WEP密鑰，然后監(jiān)測整個網絡。因為缺乏一個可升級的密鑰分發(fā)機制，要想改變密鑰是相當困難的，所以密鑰也就很少改變。因此，WEP就被烙上了不安全的烙印，隨之，用戶對無線局域網的感受也就一落千丈。

    新的現實

    事情發(fā)生在三年前，從那時起，技術開始進步。不幸的是，人們的感受仍舊保留在“無線不安全”的階段。結果是，許多機構或者根本就不采用無線網絡，或者通過在安全管道流中通過無線云部署VPN，這把整個過程變得非常復雜，而實際上根本沒有必要。最壞的情況是，他們把無線網基礎設施當成完全不可信的網絡，用對他們的局域網加上了防火墻加以保護。

    有了WPA，這些步驟都可以省掉。為什么呢？首先，WAP，在企業(yè)模式里用IEEE 802.1x做認證工作。開啟802.1x后，未授權用戶不可以訪問網絡。802.1x提供了非常廣泛的認證機制，從簡單的口令，到像數字證書和一次性口令這樣的強認證機制，無所不包。如果某用戶不屬于一無線網絡，他將不具有對該網絡的訪問權。

    更重要的是，在WEP中出現的引人注目的漏洞也被改正了。這一次，WPA工作組請來了資深的密碼學專家，他們也著實嘗到了甜頭。加入了許多的改進，包括用802.1x安全分發(fā)主密鑰和密鑰誤差的引入等。加密密鑰從不直接使用，而是從主密鑰中以一種安全的方式生成。

    WPA工作組非常堅定，一定要成功。他們引入了128比特的加密密鑰長度作為標準，并對初始化向量的使用制定了規(guī)范，以防止生成脆弱的初始化向量。

    單包密鑰（per-packet key）的概念誕生了。沒有哪兩個數據包使用同一個密鑰，每一個數據包都有一個惟一的密鑰。新的系統還會使用相互認證（mutual authentication）機制。訪問點必須對客戶端進行認證，同時，客戶端也必須對訪問點進行認證。這樣，對于防止“中間人（man in the middle）”利用空閑無線訪問點攻擊又加深了一步。

    總的來說，在WEP上可以起作用的攻擊對WPA無濟于事。

    優(yōu)于SSL？

    和SSL做一個比較和對比可能會更有幫助。SSL使用公鑰加密機制傳輸共享對稱密鑰。服務器對客戶端的認證是通過從服務器向客戶端提供的一個數字證書實現的。一旦建立了一條安全通道，客戶端到服務器的認證通常是通過用戶名、密碼對完成的。

    大量的session數據本身的安全，是通過由客戶端產生的用對稱加密方式傳輸給服務器的一個共享對稱密鑰保證的。所采用的加密算法可能和WPA所采用的RC4相同。另外，密鑰的生命期就是SSL session的時間。

    在WPA中，初始密鑰的交換機制和SSL的基本相同，用一個安全的通道傳輸，此安全通道是802.1x協議的一部分。該密鑰信息不是直接來自于數據加密，相反，使用了每一個數據包的密鑰。這保證了WPA幾乎不可能被攻破，并且給WPA定日期也不會呈現出任何危險。

    WPA和SSL一樣安全。無線802.11網絡因為WEP得到了一個壞名聲，但用戶感受總是滯后于現實。無線網絡又一次證明了這一點。WPA應該被認為是安全的，感受跟上現實的時間到了。 (E-WORKS)