無線網(wǎng)絡(luò)的安全從WEP到WPA

申請免費(fèi)試用、咨詢電話：400-8352-114

    另一方面，即便IEEE 802.11無線技術(shù)已經(jīng)有了重大改進(jìn)，還是幾乎沒人信任該技術(shù)在保衛(wèi)他們的信息安全。如果WPA（Wireless Protected Acess）被正確部署，那么它可以保證802.11無線網(wǎng)絡(luò)至少是和SSL一樣安全的，都比未受保護(hù)的有線網(wǎng)絡(luò)要安全。如果通信專家在減輕自己對安全揪心的同時(shí)還需要幫助客戶有效地為未來網(wǎng)絡(luò)的需求做些準(zhǔn)備，那么他們必須明白以上道理。

    2001年，加州大學(xué)伯克利分校發(fā)表了一篇描述WEP（Wired Equivalent Protocol）中存在的嚴(yán)重漏洞的論文后，人們開始把目光投向無線網(wǎng)絡(luò)的不安全性。實(shí)際上，漏洞確實(shí)存在，因?yàn)橹贫?02.11安全部分的IEEE委員會(huì)沒能雇傭到密碼學(xué)專家加入他們的工作組。

    密碼學(xué)需要非常強(qiáng)的數(shù)學(xué)背景，是非常專業(yè)化的一門學(xué)科。有能力開發(fā)并分析加密算法的實(shí)施的人實(shí)在是鳳毛麟角。這樣，即便WEP所采用的RC4是安全的，IEEE委員會(huì)制定的實(shí)施也保證不了安全。該實(shí)施呈現(xiàn)出許多漏洞，包括缺乏指定算法所需的初始化向量應(yīng)該怎樣計(jì)算的規(guī)范。另外還缺乏一個(gè)靜態(tài)的共享密鑰，網(wǎng)絡(luò)中的每一臺(tái)機(jī)器都可以該密鑰直接加密。這就更加惡化了上述安全問題。并且也沒有為發(fā)布密鑰材料的簡便方法。

    使用易獲得的工具，比如說Airsnort，很容易恢復(fù)WEP密鑰，然后監(jiān)測整個(gè)網(wǎng)絡(luò)。因?yàn)槿狈σ粋€(gè)可升級的密鑰分發(fā)機(jī)制，要想改變密鑰是相當(dāng)困難的，所以密鑰也就很少改變。因此，WEP就被烙上了不安全的烙印，隨之，用戶對無線局域網(wǎng)的感受也就一落千丈。

    新的現(xiàn)實(shí)

    事情發(fā)生在三年前，從那時(shí)起，技術(shù)開始進(jìn)步。不幸的是，人們的感受仍舊保留在“無線不安全”的階段。結(jié)果是，許多機(jī)構(gòu)或者根本就不采用無線網(wǎng)絡(luò)，或者通過在安全管道流中通過無線云部署VPN，這把整個(gè)過程變得非常復(fù)雜，而實(shí)際上根本沒有必要。最壞的情況是，他們把無線網(wǎng)基礎(chǔ)設(shè)施當(dāng)成完全不可信的網(wǎng)絡(luò)，用對他們的局域網(wǎng)加上了防火墻加以保護(hù)。

    有了WPA，這些步驟都可以省掉。為什么呢？首先，WAP，在企業(yè)模式里用IEEE 802.1x做認(rèn)證工作。開啟802.1x后，未授權(quán)用戶不可以訪問網(wǎng)絡(luò)。802.1x提供了非常廣泛的認(rèn)證機(jī)制，從簡單的口令，到像數(shù)字證書和一次性口令這樣的強(qiáng)認(rèn)證機(jī)制，無所不包。如果某用戶不屬于一無線網(wǎng)絡(luò)，他將不具有對該網(wǎng)絡(luò)的訪問權(quán)。

    更重要的是，在WEP中出現(xiàn)的引人注目的漏洞也被改正了。這一次，WPA工作組請來了資深的密碼學(xué)專家，他們也著實(shí)嘗到了甜頭。加入了許多的改進(jìn)，包括用802.1x安全分發(fā)主密鑰和密鑰誤差的引入等。加密密鑰從不直接使用，而是從主密鑰中以一種安全的方式生成。

    WPA工作組非常堅(jiān)定，一定要成功。他們引入了128比特的加密密鑰長度作為標(biāo)準(zhǔn)，并對初始化向量的使用制定了規(guī)范，以防止生成脆弱的初始化向量。

    單包密鑰（per-packet key）的概念誕生了。沒有哪兩個(gè)數(shù)據(jù)包使用同一個(gè)密鑰，每一個(gè)數(shù)據(jù)包都有一個(gè)惟一的密鑰。新的系統(tǒng)還會(huì)使用相互認(rèn)證（mutual authentication）機(jī)制。訪問點(diǎn)必須對客戶端進(jìn)行認(rèn)證，同時(shí)，客戶端也必須對訪問點(diǎn)進(jìn)行認(rèn)證。這樣，對于防止“中間人（man in the middle）”利用空閑無線訪問點(diǎn)攻擊又加深了一步。

    總的來說，在WEP上可以起作用的攻擊對WPA無濟(jì)于事。

    優(yōu)于SSL？

    和SSL做一個(gè)比較和對比可能會(huì)更有幫助。SSL使用公鑰加密機(jī)制傳輸共享對稱密鑰。服務(wù)器對客戶端的認(rèn)證是通過從服務(wù)器向客戶端提供的一個(gè)數(shù)字證書實(shí)現(xiàn)的。一旦建立了一條安全通道，客戶端到服務(wù)器的認(rèn)證通常是通過用戶名、密碼對完成的。

    大量的session數(shù)據(jù)本身的安全，是通過由客戶端產(chǎn)生的用對稱加密方式傳輸給服務(wù)器的一個(gè)共享對稱密鑰保證的。所采用的加密算法可能和WPA所采用的RC4相同。另外，密鑰的生命期就是SSL session的時(shí)間。

    在WPA中，初始密鑰的交換機(jī)制和SSL的基本相同，用一個(gè)安全的通道傳輸，此安全通道是802.1x協(xié)議的一部分。該密鑰信息不是直接來自于數(shù)據(jù)加密，相反，使用了每一個(gè)數(shù)據(jù)包的密鑰。這保證了WPA幾乎不可能被攻破，并且給WPA定日期也不會(huì)呈現(xiàn)出任何危險(xiǎn)。

    WPA和SSL一樣安全。無線802.11網(wǎng)絡(luò)因?yàn)閃EP得到了一個(gè)壞名聲，但用戶感受總是滯后于現(xiàn)實(shí)。無線網(wǎng)絡(luò)又一次證明了這一點(diǎn)。WPA應(yīng)該被認(rèn)為是安全的，感受跟上現(xiàn)實(shí)的時(shí)間到了。 (E-WORKS)