《無線加密方式》PPT課件

無線安全機(jī)制 目錄 概訴無線局域網(wǎng)加密認(rèn)證方式2 1WEP加密2 2WPA 802 1X加密2 3WPA2加密2 4三大加密對比三 其他加密3 1WAPI加密認(rèn)證 一 概訴 無線局域網(wǎng) WirelessLocalAreaNetwork 簡稱 WLAN 利用無線射頻 RF 電波作為信息傳輸?shù)拿浇闃?gòu)成的局部無線網(wǎng)路 與有限局域網(wǎng)的用途十分類似 最大的不同在于傳輸媒介的不同 它利用無線電技術(shù)取代網(wǎng)線 可以和有限網(wǎng)絡(luò)互為備份 wlan技術(shù)現(xiàn)在正在廣泛被應(yīng)用 具有傳統(tǒng)局域網(wǎng)無法比擬的靈活性通信范圍不受環(huán)境條件的限制用戶能夠更方便 靈活 快捷的訪問網(wǎng)絡(luò)資源隨著無線局域網(wǎng)技術(shù)和應(yīng)用的進(jìn)一步發(fā)展 無線局域網(wǎng)正逐漸從傳統(tǒng)意義上的局域網(wǎng)技術(shù)發(fā)展成為 公共無線局域網(wǎng) 已成為INTERNET寬帶接入的重要手段 盡管無線局域網(wǎng)路技術(shù)解決了很多傳統(tǒng)有線網(wǎng)絡(luò)存在的問題 同時 他也帶來了新的安全問題 無線局域網(wǎng)技術(shù)最大的弱點(diǎn)就是其安全性 其安全問題使諸多企業(yè)望而卻步 成為WLAN市場拓展的絆腳石 無局域網(wǎng)不同于傳統(tǒng)的網(wǎng)絡(luò) 有線網(wǎng)絡(luò)本身的物理線鏈路就是一種訪問控制 用戶必須通過線纜或光纖連接到網(wǎng)絡(luò)上才能實(shí)現(xiàn)對網(wǎng)絡(luò)的訪問 而無線網(wǎng)絡(luò)的信息的傳輸載體是無線電波就使其無法像傳統(tǒng)網(wǎng)絡(luò)那樣可以實(shí)現(xiàn)物理上的隔離來保障整個局域網(wǎng)的信息安全 因此 無線局域網(wǎng)較之傳統(tǒng)的網(wǎng)絡(luò) 存在更多的安全隱患 如何解決其存在的安全問題 直接關(guān)系到無線網(wǎng)絡(luò)技術(shù)的發(fā)展 二 無線局域網(wǎng)加密方式 無線局域網(wǎng)的三大加密技術(shù) WEP WiredEquivalentPrivacy 加密技術(shù)IEEE802 11b標(biāo)準(zhǔn)規(guī)定了一種稱為有線等效保密的加密方案 WEP利用一個對稱的方案 在數(shù)據(jù)的加密和解密過程中使用相同的密鑰和算法WPA Wi FiProtectedAccess 加密技術(shù)具有WPA和WPA2兩個標(biāo)準(zhǔn) 是一種保護(hù)無線電腦網(wǎng)路 Wi Fi 安全的系統(tǒng)WPA2加密技術(shù)WPA2是WiFi聯(lián)盟驗(yàn)證過的IEEE802 11i標(biāo)準(zhǔn)的認(rèn)證形式 實(shí)現(xiàn)了802 11i的強(qiáng)制性元素 特別是Michael算法被公認(rèn)徹底安全的CCMP 計數(shù)器模式密碼塊鏈消息完整碼協(xié)議 訊息認(rèn)證碼所取代 而RC4加密算法也被AES所取代 其他加密方式 IEEE802 1X是一種為燒保護(hù)網(wǎng)路提供認(rèn)證 控制用戶通信以及動態(tài)密鑰分配等服務(wù)的有效機(jī)制 將8021x協(xié)議和windows活動目錄技術(shù)相結(jié)合 可以實(shí)現(xiàn)只有通過內(nèi)部域用戶驗(yàn)證的計算機(jī)才能正常連入公司交換機(jī)進(jìn)行通訊 否則其接入端口數(shù)據(jù)將被阻隔WAPIWAPI是WLANAuthenticationandPrivacyInfrastructure 無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu) 的簡稱 是中國提出的 以802 11無線協(xié)議為基礎(chǔ)的無線安全標(biāo)準(zhǔn) 2 1WEP加密 1 定義及應(yīng)用全稱 有線等效協(xié)議 是為了保證802 11b協(xié)議數(shù)據(jù)傳輸?shù)陌踩远瞥龅陌踩珔f(xié)議 該協(xié)議可以通過對傳輸?shù)臄?shù)據(jù)進(jìn)行加密 以保證無線局域網(wǎng)中數(shù)據(jù)傳輸?shù)陌踩?在無線局域網(wǎng)中 要使用WEP協(xié)議 無線AP首先要啟用WEP功能 并創(chuàng)建密鑰 然后在每個無線客戶端啟用WEP 并輸入該密鑰 這樣就可以保證安全連接 2 WEP加密方式全稱為有線對等保密 是一種數(shù)據(jù)加密算法 用于提供等同于有線局域網(wǎng)的保護(hù)能力 使用該技術(shù)的無線局域網(wǎng) 所有客戶端與無線接入點(diǎn)的數(shù)據(jù)都會以一個共享的密鑰進(jìn)行加密 密鑰越長 就需要更多的時間去破解 因此能夠提供更好的安全保護(hù) WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù) 在無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是使用一個隨機(jī)產(chǎn)生的密鑰來加密的 RC4 RC4函數(shù) 加密 解密 對于RC4來說 RC4只有加密 將密文再加密一次 就是解密了 RC4加密算法WEP支持64位和128位加密對于64位加密 加密密鑰為10個十六進(jìn)制字符 0 9和A FA 或5個ASCII字符 對于128位加密 加密密鑰為26個十六進(jìn)制字符或13個ASCII字符 WEP依賴通信雙方共享的密鑰來保護(hù)所傳的加密數(shù)據(jù)幀 加密過程1 計算校驗(yàn)和對輸入數(shù)據(jù)進(jìn)行完整性校驗(yàn)和計算把輸入數(shù)據(jù)和計算得到的校驗(yàn)和組合起來得到新的加密數(shù)據(jù) 也稱之為明文 用于下一步密過程的輸入2 加密在這個過程中 將第一步得到的數(shù)據(jù)明文采用完整性算法加密 對明文加密有兩層含義明文數(shù)據(jù)的加密保護(hù)未經(jīng)認(rèn)證的數(shù)據(jù)將24位的初始化向量和40位的密鑰連接進(jìn)行校驗(yàn)和計算 得到64位的數(shù)據(jù)將這64位的數(shù)據(jù)輸入到虛擬隨機(jī)數(shù)產(chǎn)生器中 對初始化向量和密鑰的校驗(yàn)和計算值進(jìn)行加密計算進(jìn)過校驗(yàn)和計算的明文與虛擬隨機(jī)數(shù)產(chǎn)生器的輸出密鑰進(jìn)行按位異或運(yùn)算得到加密后的信息 即密文傳輸將初始化向量和密鑰串聯(lián)起來 得到要傳輸?shù)募用軘?shù)據(jù)幀 在無線鏈路上傳輸 RC4優(yōu)點(diǎn) 速度快缺點(diǎn) 需要事先將秘密的傳輸密鑰 WEP加密過程圖解 3 WEP總結(jié) 無線網(wǎng)絡(luò)中已經(jīng)存在好幾種加密技術(shù) 最常用的事WEP和WAP兩種加密方式 雖然WEP可以阻止窺探者進(jìn)入無線網(wǎng)絡(luò) 由于密文需要通過無線傳輸 WEP破解起來非常容易 就像一把鎖在門上的朔料鎖 由于WEP的安全性低 催生了一個更安全的無線網(wǎng)絡(luò)加密方式 WAP的誕生WAP Wi FiProtectedAccess 是WEP的增強(qiáng)產(chǎn)品 WPA是繼承了WEP基本原理又解決了WEP缺點(diǎn)的一項新技術(shù) 2 2WPA加密 定義WPA Wi FiProtectedAccess 網(wǎng)絡(luò)安全存取WPA是一種基于標(biāo)準(zhǔn)的可互大大增強(qiáng)數(shù)據(jù)保護(hù)和訪問控制水平 WPA源于正在制定中的IEEE802 11i標(biāo)準(zhǔn)并保持向前兼容 WPA的資料是以一把128位元的鑰匙和一個48位元的初向量 IV 的RC4streamcipher來加密 除了認(rèn)證跟加密外 WPA對于所載資料的完整性也提供了巨大的改進(jìn) WEP所使用的CRC 循環(huán)冗余校驗(yàn) 先天就不安全 在不知道WEP鑰匙的情況下 要篡改所載資料和對應(yīng)的CRC是可能的 而WPA使用了稱為 Michael 的更安全的訊息認(rèn)證碼 在WPA中叫做訊息完整性查核 MIC 進(jìn)一步地 WPA使用的MIC包含了幀計數(shù)器 以避免WEP的另一個弱點(diǎn) replayattack 回放攻擊 的利用 由于WEP已經(jīng)證明的不安全性 在802 11i協(xié)議完善之前 采用WPA為用戶提供一個臨時性的解決方案 該標(biāo)準(zhǔn)的數(shù)據(jù)加密采用TKIP協(xié)議 TemporaryKeyIntegrityProtocol 認(rèn)證有兩種模式可供選擇 一種是使用802 1x協(xié)議進(jìn)行認(rèn)證 WPA企業(yè)版 一種是稱為預(yù)先共享密鑰PSK Pre SharedKey 模式 WPA個人版 TKIP TemporalKeyIntegrityProtocol 臨時密鑰完整性協(xié)議 TKIP是包裹在已有的WEP密碼外圍的一層 外殼 TKIP使用WEP同樣的加密引擎和EC4算法 但是TKIP中密碼使用的密鑰長度是128位 解決了WEP密鑰短的問題TKIP另一個重要特性就是變化每個數(shù)據(jù)包所使用的密鑰 這就是它名稱中 動態(tài) 的出處 密鑰通過將多種因素混合在一起生成 包括基本密鑰 即TKIP中所謂的成對瞬時密鑰 發(fā)射站的MAC地址以及數(shù)據(jù)包的序列號 混合操作在設(shè)計上將對無線站和接入點(diǎn)的要求減少到最低程度 但仍具有足夠的密碼強(qiáng)度 使它不能被輕易破譯 WEP的另一個缺點(diǎn)就是 重放攻擊 replayattacks 而利用TKIP傳送的每一個數(shù)據(jù)包都具有獨(dú)有的48位序列號 由于48位序列號需要數(shù)千年時間才會出現(xiàn)重復(fù) 因此沒有人可以重放來自無線連接的老數(shù)據(jù)包 由于序列號不正確 這些數(shù)據(jù)包將作為失序包被檢測出來 802 1x協(xié)議認(rèn)證 1 在了解802 1x協(xié)議認(rèn)證之前 先了解一下術(shù)語 RADIUS RemoteAuthenticationDialInUserService遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng) 可以簡單將其理解成一個存儲有用戶的用戶名密碼的服務(wù)器 能夠?qū)σ恍┎樵冞M(jìn)行響應(yīng) 從而得知用戶是否合法 EAP ExtentionalAuthenticationProtocol可擴(kuò)展的認(rèn)證協(xié)議 這是一個能夠?yàn)闆]有接入網(wǎng)絡(luò)的設(shè)備提供認(rèn)證及網(wǎng)絡(luò)接入的服務(wù) 工作于OSI七層模型中的數(shù)據(jù)鏈路層 之所以稱其為 可擴(kuò)展的 是因?yàn)閰f(xié)議只是規(guī)定了一個框架 允許企業(yè)根據(jù)實(shí)際需要自行定制 但是它要求企業(yè)自己的標(biāo)準(zhǔn)符合IEEE標(biāo)準(zhǔn)中對于安全性的要求 EAPOL EAPOverLAN能夠在局域網(wǎng)上傳輸EAP報文的協(xié)議 2 IEEE802 1x概述 802 1X是由IEEE提出的基于端口的網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn) 它能夠提供一種對連接到局域網(wǎng)的用戶進(jìn)行認(rèn)證和授權(quán)的手段 達(dá)到了接受合法用戶接入 保護(hù)網(wǎng)絡(luò)安全的目的 基于802 1x的認(rèn)證 又稱EAPOE認(rèn)證 因?yàn)檫@個協(xié)議依賴于EAP實(shí)現(xiàn)通常 802 1x協(xié)議 802 1x認(rèn)證 EAP協(xié)議都可以認(rèn)為是同一個意思 IEEE802 1x認(rèn)證組成 802 1X認(rèn)證包括三個部分 請求方 請求方就是希望接入局域網(wǎng) 無線局域網(wǎng)來上網(wǎng)的設(shè)備 譬如一臺筆記本 有時候也指設(shè)備上運(yùn)行的客戶端軟件認(rèn)證方 認(rèn)證方則是管理接入的設(shè)備 譬如以太網(wǎng)交換機(jī)或者無線接入點(diǎn)認(rèn)證服務(wù)器 認(rèn)證服務(wù)器就是一個運(yùn)行有支持RADIUS和EAP的軟件的主機(jī) 在認(rèn)證過程中認(rèn)證方起到了關(guān)鍵作用 它將網(wǎng)絡(luò)接入端口分成兩個邏輯端口 受控端口和非受控端口 非受控端口始終對用戶開放 只允許用于傳送認(rèn)證信息 認(rèn)證通過之后 受控端口才會打開 用戶才能正常訪問網(wǎng)絡(luò)服務(wù) 4 IEEE802 1x認(rèn)證過程 請求方與認(rèn)證方之間通過EAPOL傳遞EAP報文 EAPOL報文在認(rèn)證方那里封裝成EAP報文送往認(rèn)證服務(wù)器 所以認(rèn)證方與認(rèn)證服務(wù)器之間傳送的則是真正的EAP報文 EAP報文這時可以被進(jìn)一步通過其它報文封裝 譬如TCP UDP 以穿過復(fù)雜的網(wǎng)絡(luò)環(huán)境 當(dāng)用戶有上網(wǎng)需求時 打開IEEE802 1x的客戶端程序 輸入已經(jīng)申請登記過的用戶名和口令 發(fā)起連接請求 認(rèn)證方收到請求認(rèn)證的數(shù)據(jù)幀后 向客戶端發(fā)送EAP Requst Identity 要求客戶端程序?qū)⒂脩裘蜕蟻?客戶端收到EAP Requst Identity后 響應(yīng)認(rèn)證方的請求回應(yīng)一個EAP Response Identity 其中包括用戶名 認(rèn)證方收到Response Identity后將該報文封裝到RADIUSAccess Request報文中 發(fā)送給認(rèn)證服務(wù)器 認(rèn)證服務(wù)器接收到認(rèn)證方轉(zhuǎn)發(fā)上來的用戶名信息后 產(chǎn)生一個Challenge 通過接入設(shè)備將RADIUSAccess Challenge報文發(fā)送給客戶端 其中包含有EAP Request MD5 Challenge 一個隨機(jī)生成的密鑰 通常為32位 認(rèn)證方通過EAP Request MD5 Challenge發(fā)送給客戶端 要求客戶端進(jìn)行認(rèn)證 客戶端將密碼和Challenge做MD5算法后的Challenged Passwor在EAP Response MD5 Challenge回應(yīng)給認(rèn)證方 認(rèn)證方將Challenge ChallengedPassword和用戶名一起送到RADIUS服務(wù)器 由RADIUS服務(wù)器進(jìn)行認(rèn)證 RADIUS服務(wù)器根據(jù)用戶信息 做MD5算法 判斷用戶是否合法 然后回應(yīng)認(rèn)證成功 失敗報文到接入設(shè)備 如果成功 攜帶協(xié)商參數(shù) 以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán) 如果認(rèn)證失敗 則流程到此結(jié)束 如果認(rèn)證通過 用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議 可以是DHCPRelay 通過接入設(shè)備獲取規(guī)劃的IP地址 認(rèn)證方發(fā)起計費(fèi)開始請求給RADIUS用戶認(rèn)證服務(wù)器 RADIUS用戶認(rèn)證服務(wù)器回應(yīng)計費(fèi)開始請求報文 用戶上線完畢 用戶發(fā)出一個EAPOL Logoff報文 認(rèn)證方受到報文后告知RADIUS服務(wù)器 RADIUS服務(wù)器停止計費(fèi)之后 要求認(rèn)證方告知用戶已經(jīng)斷線 認(rèn)證方向用戶發(fā)送EAP Failure 用戶收到EAP Failure后 確認(rèn)已斷線 一次網(wǎng)絡(luò)服務(wù)就此告終 IEEE802 1x小結(jié) IEEE802 1x認(rèn)證定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議 提供了在無IP環(huán)境下對接入用戶的身份認(rèn)證和訪問控制機(jī)制 具有成本低 實(shí)現(xiàn)容易的特點(diǎn) 它與其它認(rèn)證的不同是它可以提供多種認(rèn)證方式 如口令 智能卡等 802 1x認(rèn)證僅提供了一個大致框架 目前出現(xiàn)了許多對802 1x協(xié)議安全性上進(jìn)行的改進(jìn) 包括引進(jìn)公鑰密碼體制的EAP TLS EAP TTLS 基于SIM卡的EAP AKA EAP SIM 基于預(yù)分配密鑰的EAP PSK EAP FAST等 在這些改進(jìn)措施中 通常擴(kuò)展的密碼體制都會使原本簡單的802 1x認(rèn)證變得更加復(fù)雜 預(yù)先共享密鑰PSK Pre SharedKey 在企業(yè)網(wǎng)絡(luò)中 認(rèn)證所需要的數(shù)據(jù)庫信息檢索和比對工作通常由專門的服務(wù)器 如Radius服務(wù)器 來完成 但對于家庭或小型企業(yè)SOHO環(huán)境而言 則不具備這樣的條件 因此WPA也提供了一個較簡單 不需要其他附加設(shè)備也可以使用的模式 即WPA PSK Wi FiProtectedAccesswithPre SharedKey 預(yù)先共享密鑰式Wi Fi保護(hù)訪問 要使用WPA PSK 只需要每組WLAN節(jié)點(diǎn) 無線AP 無線路由器 客戶端網(wǎng)卡等 輸入單一的密碼 只需要密碼相符 客戶端便會獲得WLAN的存取權(quán)限 2 3WPA2加密 定義由于完整的IEEE802 11i標(biāo)準(zhǔn)推出尚需要一段時間 因此以已經(jīng)完成的TKIP的IEEE802 11i第三版草案 IEEE802 11idraft3 為基準(zhǔn) 制定了WPA 而當(dāng)IEEE完成并公布IEEE802 11i無線局域網(wǎng)安全標(biāo)準(zhǔn)后 Wi Fi聯(lián)盟也隨即公布了WPA2的第二版 WPA2 WPA2實(shí)現(xiàn)了802 11i的強(qiáng)制性元素 特別是Michael算法由公認(rèn)徹底安全的CCMP訊息認(rèn)證代碼所取代 而RC4也被AES取代 安全性更高 但與WPA不同的是 WPA2支持802 11g或以上的無線網(wǎng)卡 2 WPA2的兩種認(rèn)證類型WPA2企業(yè)版需要一臺具有802 1X功能的RADIUS服務(wù)器WPA2個人版沒有RADIUS服務(wù)器的SOHO用戶可以使用WPA2個人版 其口令長度為20個以上的隨機(jī)字符 AES算法 AdvancedEncryptionStandard 高級加密標(biāo)準(zhǔn) 是美國國家標(biāo)準(zhǔn)與技術(shù)研究所用于加密電子數(shù)據(jù)的規(guī)范 該算法匯聚了設(shè)計簡單 密鑰安裝快 需要的內(nèi)存空間少 在所有的平臺上運(yùn)行良好 支持并行處理并且可以抵抗所有已知攻擊等優(yōu)點(diǎn) AES是一個迭代的 對稱密鑰分組的密碼 它可以使用128 192和256位密鑰 并且用128位 16字節(jié) 分組加密和解密數(shù)據(jù) 與公共密鑰密碼使用密鑰對不同 對稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù) 通過分組密碼返回的加密數(shù)據(jù)的位數(shù)與輸入數(shù)據(jù)相同 AES提供了比TKIP更加高級的加密技術(shù) 現(xiàn)在無線路由器都提供了這2種算法 不過比較傾向于AES TKIP安全性不如AES 而且在使用TKIP算法時路由器的吞吐量會下降3成至5成 大大地影響了路由器的性能 迭代加密使用一個循環(huán)結(jié)構(gòu) 在該循環(huán)中重復(fù)置換 permutations 和替換 substitutions 輸入數(shù)據(jù) AES加密解密過程 AES提供了比TKIP更加高級的加密技術(shù) 現(xiàn)在無線路由器都提供了這2種算法 不過比較傾向于AES TKIP安全性不如AES 而且在使用TKIP算法時路由器的吞吐量會下降3成至5成 大大地影響了路由器的性能 CCMP CCMP主要是兩個算法所組合而成的 分別是CTRmode以及CBC MACmode CTRmode為加密算法 CBC MAC用戶訊息完整性運(yùn)算 在IEEE802 11i規(guī)格書中 CCMP為defaultmode 在所謂的RSNnetwork中 扮演相當(dāng)重要的角色CCMP CTRmode CBC MACmode CTR全名是AdvancedEncryptionStandard AES inCounterMode 在CCMP使用的AES是basedonRijndaelAlgorithm所發(fā)展出的算法 2 主要是經(jīng)過NIST修改并且認(rèn)證 不再有TKIPprotocol支持WEP系統(tǒng)的既有攻擊 所以在安全強(qiáng)度上 有一定的水平 CBC MAC全名是CipherBlockChainingMessageAuthenticationCode 就如同其名 主要是針對messageblock作運(yùn)算 最后輸出messageauthenticationcode 達(dá)到驗(yàn)證message的效果 因?yàn)镃TR并沒有提供authentication的機(jī)制 CBC MAC加解密過程主要是把Messageblock經(jīng)由blockcipheralgorithm加密后 再把輸出給下一個block當(dāng)input使用 一開始第一個block沒有input所以IV用0代入 在CCMP里會把低位的64 bit無條件的去掉 只取高位64 bit當(dāng)做MIC CBC MACmode運(yùn)算過程 IV 0 MessageBlock1 MessageBlock2 MessageBlockn 加密 加密 加密 Result 目前主流的無線網(wǎng)絡(luò)加密方式有三種 即64 128位WEP加密 WAP加密和WPA2加密 這里特別需要說明的是 三種無線加密方式對無線網(wǎng)絡(luò)傳輸速率影響也不盡相同 由于IEEE802 11n標(biāo)準(zhǔn)不支持以WEP加密和TKIP加密算法 所以如果用戶選擇了WEP加密方式或WPA PSK WPA2 PSK加密方式的TKIP算法 無線傳輸速率將會自動限制在11g水平 理論值為54Mbps 實(shí)際在20Mbps左右 如果用戶使用的是符合IEEE802 11n標(biāo)準(zhǔn)的無線產(chǎn)品 理論速率150M或300M 那么無線加密方式只能選擇WPA PSK WPA2 PSK的AES算法加密 否則無線傳輸速率將會明顯降低 如果用戶使用的是符合IEEE802 11g標(biāo)準(zhǔn)的無線產(chǎn)品 那么三種加密方式都可以很好的兼容 不過還是不建議使用WEP這種較老并且易破解的加密方式 2 4三種加密方式的比較 三種加密方式對比表 WEP安全加密方式WEP特性里使用了rsa數(shù)據(jù)安全性公司開發(fā)的rc4算法 全稱為有線對等保密 WiredEquivalentPrivacy WEP 是一種數(shù)據(jù)加密算法 用于提供等同于有線局域網(wǎng)的保護(hù)能力 使用了該技術(shù)的無線局域網(wǎng) 所有客戶端與無線接入點(diǎn)的數(shù)據(jù)都會以一個共享的密鑰進(jìn)行加密 密鑰的長度有40位至256位兩種 密鑰越長 黑客就需要更多的時間去進(jìn)行破解 因此能夠提供更好的安全保護(hù) WPA安全加密方式WPA加密即Wi FiProtectedAccess 其加密特性決定了它比WEP更難以入侵 所以如果對數(shù)據(jù)安全性有很高要求 那就必須選用WPA加密方式了 WindowsXPSP2已經(jīng)支持WPA加密方式 WPA作為IEEE802 11通用的加密機(jī)制WEP的升級版 在安全的防護(hù)上比WEP更為周密 主要體現(xiàn)在身份認(rèn)證 加密機(jī)制和數(shù)據(jù)包檢查等方面 而且它還提升了無線網(wǎng)絡(luò)的管理能力 WPA WEP對比WPA與WEP不同 WEP使用一個靜態(tài)的密鑰來加密所有的通信 WPA不斷的轉(zhuǎn)換密鑰 WPA采用有效的密鑰分發(fā)機(jī)制 可以跨越不同廠商的無線網(wǎng)卡實(shí)現(xiàn)應(yīng)用 另外WPA的另一個優(yōu)勢是 它使公共場所和學(xué)術(shù)環(huán)境安全地部署無線網(wǎng)絡(luò)成為可能 而在此之前 這些場所一直不能使用WEP WEP的缺陷在于其加密密鑰為靜態(tài)密鑰而非動態(tài)密鑰 這意味著 為了更新密鑰 IT人員必須親自訪問每臺機(jī)器 而這在學(xué)術(shù)環(huán)境和公共場所是不可能的 另一種辦法是讓密鑰保持不變 而這會使用戶容易受到攻擊 由于互操作問題 學(xué)術(shù)環(huán)境和公共場所一直不能使用專有的安全機(jī)制 WPA2 目前最強(qiáng)的無線加密技術(shù)WPA2是WiFi聯(lián)盟驗(yàn)證過的IEEE802 11i標(biāo)準(zhǔn)的認(rèn)證形式 WPA2實(shí)現(xiàn)了802 11i的強(qiáng)制性元素 特別是Michael算法被公認(rèn)徹底安全的CCMP 計數(shù)器模式密碼塊鏈消息完整碼協(xié)議 訊息認(rèn)證碼所取代 而RC4加密算法也被AES所取代 在WPA WPA2中 PTK的生成是依賴于PMK的 而PMK的方式有兩種 一種是PSK方式 也就是預(yù)共享密鑰模式 pre sharedkey PSK 又稱為個人模式 在這種方式中PMK PSK 而另一種方式則需要認(rèn)證服務(wù)器和站點(diǎn)進(jìn)行協(xié)商來產(chǎn)生PMK 下面我們通過公式來看看WPA和WPA2的區(qū)別 WPA IEEE802 11idraft3 IEEE802 1X EAP WEP 選擇性項目 TKIPWPA2 IEEE802 11i IEEE802 1X EAP WEP 選擇性項目 TKIP CCMP目前WPA2加密方式的安全防護(hù)能力非常出色 只要你的無線設(shè)備均支持WPA2加密 那你將體驗(yàn)到最安全的無線網(wǎng)絡(luò)生活 即使是目前最熱的 蹭網(wǎng)卡 也難以蹭入你的無線網(wǎng)絡(luò) 用戶大可放心使用 IEEE802個標(biāo)準(zhǔn)對三種協(xié)議的支持情況 小結(jié) 總的來說 WPA更據(jù)安全性 更可靠 一般來說現(xiàn)在的路由器這3種加密方式都提供 WEP主要是提供給舊版本網(wǎng)卡不支持WPA方式的用戶 如果你的網(wǎng)卡支持 建議使用WPA2的AES加密方式 注 WEP不支持WPS功能 三 其他加密方式 3 1WAPI加密1 定義WAPI是WLANAuthenticationandPrivacyInfrastructure 無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu) 的簡稱 是中國提出的 以802 11無線協(xié)議為基礎(chǔ)的無線安全標(biāo)準(zhǔn) WAPI協(xié)議由以下兩部分構(gòu)成 WAI 是WLANAuthenticationInfrastructure 無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu) 的簡稱 是用于無線局域網(wǎng)中身份鑒別和密鑰管理的安全方案WPI 是WLANPrivacyInfrastructure 無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu) 的簡稱 是用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案 包括數(shù)據(jù)加密 數(shù)據(jù)鑒別和重放保護(hù)等功能 2 系統(tǒng)組成在一個典型的WAPI系統(tǒng)中 WAPI用戶通過AP接入有線IP網(wǎng)絡(luò) 首先 WAPI用戶與AP進(jìn)行802 11鏈路協(xié)商 之后AP為該用戶觸發(fā)WAI鑒別過程 配合AS完成與用戶的雙向認(rèn)證 當(dāng)認(rèn)證通過后 AP會發(fā)起對該用戶的密鑰協(xié)商 并使用協(xié)商出的密鑰通過WPI向該WAPI用戶提供加 解密服務(wù) WAPI的工作過程在一個采用了WAPI安全關(guān)聯(lián)機(jī)制的WLAN中 當(dāng)STA需要訪問該WLAN時 通過被動偵聽AP的信標(biāo) Beacon 幀