無(wú)線網(wǎng)絡(luò)的安全從WEP到WPA

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

    另一方面，即便IEEE 802.11無(wú)線技術(shù)已經(jīng)有了重大改進(jìn)，還是幾乎沒(méi)人信任該技術(shù)在保衛(wèi)他們的信息安全。如果WPA（Wireless Protected Acess）被正確部署，那么它可以保證802.11無(wú)線網(wǎng)絡(luò)至少是和SSL一樣安全的，都比未受保護(hù)的有線網(wǎng)絡(luò)要安全。如果通信專家在減輕自己對(duì)安全揪心的同時(shí)還需要幫助客戶有效地為未來(lái)網(wǎng)絡(luò)的需求做些準(zhǔn)備，那么他們必須明白以上道理。

    2001年，加州大學(xué)伯克利分校發(fā)表了一篇描述WEP（Wired Equivalent Protocol）中存在的嚴(yán)重漏洞的論文后，人們開始把目光投向無(wú)線網(wǎng)絡(luò)的不安全性。實(shí)際上，漏洞確實(shí)存在，因?yàn)橹贫?02.11安全部分的IEEE委員會(huì)沒(méi)能雇傭到密碼學(xué)專家加入他們的工作組。

    密碼學(xué)需要非常強(qiáng)的數(shù)學(xué)背景，是非常專業(yè)化的一門學(xué)科。有能力開發(fā)并分析加密算法的實(shí)施的人實(shí)在是鳳毛麟角。這樣，即便WEP所采用的RC4是安全的，IEEE委員會(huì)制定的實(shí)施也保證不了安全。該實(shí)施呈現(xiàn)出許多漏洞，包括缺乏指定算法所需的初始化向量應(yīng)該怎樣計(jì)算的規(guī)范。另外還缺乏一個(gè)靜態(tài)的共享密鑰，網(wǎng)絡(luò)中的每一臺(tái)機(jī)器都可以該密鑰直接加密。這就更加惡化了上述安全問(wèn)題。并且也沒(méi)有為發(fā)布密鑰材料的簡(jiǎn)便方法。

    使用易獲得的工具，比如說(shuō)Airsnort，很容易恢復(fù)WEP密鑰，然后監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)。因?yàn)槿狈σ粋€(gè)可升級(jí)的密鑰分發(fā)機(jī)制，要想改變密鑰是相當(dāng)困難的，所以密鑰也就很少改變。因此，WEP就被烙上了不安全的烙印，隨之，用戶對(duì)無(wú)線局域網(wǎng)的感受也就一落千丈。

    新的現(xiàn)實(shí)

    事情發(fā)生在三年前，從那時(shí)起，技術(shù)開始進(jìn)步。不幸的是，人們的感受仍舊保留在“無(wú)線不安全”的階段。結(jié)果是，許多機(jī)構(gòu)或者根本就不采用無(wú)線網(wǎng)絡(luò)，或者通過(guò)在安全管道流中通過(guò)無(wú)線云部署VPN，這把整個(gè)過(guò)程變得非常復(fù)雜，而實(shí)際上根本沒(méi)有必要。最壞的情況是，他們把無(wú)線網(wǎng)基礎(chǔ)設(shè)施當(dāng)成完全不可信的網(wǎng)絡(luò)，用對(duì)他們的局域網(wǎng)加上了防火墻加以保護(hù)。

    有了WPA，這些步驟都可以省掉。為什么呢？首先，WAP，在企業(yè)模式里用IEEE 802.1x做認(rèn)證工作。開啟802.1x后，未授權(quán)用戶不可以訪問(wèn)網(wǎng)絡(luò)。802.1x提供了非常廣泛的認(rèn)證機(jī)制，從簡(jiǎn)單的口令，到像數(shù)字證書和一次性口令這樣的強(qiáng)認(rèn)證機(jī)制，無(wú)所不包。如果某用戶不屬于一無(wú)線網(wǎng)絡(luò)，他將不具有對(duì)該網(wǎng)絡(luò)的訪問(wèn)權(quán)。

    更重要的是，在WEP中出現(xiàn)的引人注目的漏洞也被改正了。這一次，WPA工作組請(qǐng)來(lái)了資深的密碼學(xué)專家，他們也著實(shí)嘗到了甜頭。加入了許多的改進(jìn)，包括用802.1x安全分發(fā)主密鑰和密鑰誤差的引入等。加密密鑰從不直接使用，而是從主密鑰中以一種安全的方式生成。

    WPA工作組非常堅(jiān)定，一定要成功。他們引入了128比特的加密密鑰長(zhǎng)度作為標(biāo)準(zhǔn)，并對(duì)初始化向量的使用制定了規(guī)范，以防止生成脆弱的初始化向量。

    單包密鑰（per-packet key）的概念誕生了。沒(méi)有哪兩個(gè)數(shù)據(jù)包使用同一個(gè)密鑰，每一個(gè)數(shù)據(jù)包都有一個(gè)惟一的密鑰。新的系統(tǒng)還會(huì)使用相互認(rèn)證（mutual authentication）機(jī)制。訪問(wèn)點(diǎn)必須對(duì)客戶端進(jìn)行認(rèn)證，同時(shí)，客戶端也必須對(duì)訪問(wèn)點(diǎn)進(jìn)行認(rèn)證。這樣，對(duì)于防止“中間人（man in the middle）”利用空閑無(wú)線訪問(wèn)點(diǎn)攻擊又加深了一步。

    總的來(lái)說(shuō)，在WEP上可以起作用的攻擊對(duì)WPA無(wú)濟(jì)于事。

    優(yōu)于SSL？

    和SSL做一個(gè)比較和對(duì)比可能會(huì)更有幫助。SSL使用公鑰加密機(jī)制傳輸共享對(duì)稱密鑰。服務(wù)器對(duì)客戶端的認(rèn)證是通過(guò)從服務(wù)器向客戶端提供的一個(gè)數(shù)字證書實(shí)現(xiàn)的。一旦建立了一條安全通道，客戶端到服務(wù)器的認(rèn)證通常是通過(guò)用戶名、密碼對(duì)完成的。

    大量的session數(shù)據(jù)本身的安全，是通過(guò)由客戶端產(chǎn)生的用對(duì)稱加密方式傳輸給服務(wù)器的一個(gè)共享對(duì)稱密鑰保證的。所采用的加密算法可能和WPA所采用的RC4相同。另外，密鑰的生命期就是SSL session的時(shí)間。

    在WPA中，初始密鑰的交換機(jī)制和SSL的基本相同，用一個(gè)安全的通道傳輸，此安全通道是802.1x協(xié)議的一部分。該密鑰信息不是直接來(lái)自于數(shù)據(jù)加密，相反，使用了每一個(gè)數(shù)據(jù)包的密鑰。這保證了WPA幾乎不可能被攻破，并且給WPA定日期也不會(huì)呈現(xiàn)出任何危險(xiǎn)。

    WPA和SSL一樣安全。無(wú)線802.11網(wǎng)絡(luò)因?yàn)閃EP得到了一個(gè)壞名聲，但用戶感受總是滯后于現(xiàn)實(shí)。無(wú)線網(wǎng)絡(luò)又一次證明了這一點(diǎn)。WPA應(yīng)該被認(rèn)為是安全的，感受跟上現(xiàn)實(shí)的時(shí)間到了。 (E-WORKS)