有線和無線網(wǎng)絡(luò)在安全性方面的考慮是很不一樣的森缠。首先绪商，在有線網(wǎng)絡(luò)中，用戶必須能夠訪問物理的線路或接線器。其次智贰，網(wǎng)卡必須連接上網(wǎng)絡(luò)上羊赵。最后，還有用戶身份認(rèn)證的問題例书。大多數(shù)網(wǎng)絡(luò)要求用戶使用密碼、信令或兩者結(jié)合進(jìn)行身份認(rèn)證刻炒。而在無線網(wǎng)絡(luò)中牢星，這些問題一開始在第一個(gè)無線安全標(biāo)準(zhǔn)——有線等效保密（Wired Equivalent Privacy，WEP）中是被忽略的里捌。
        有線等效保密

        WEP是被設(shè)計(jì)用來提供與用戶在有線網(wǎng)絡(luò)所使用的相同的保密機(jī)制隐鬼。WEP基于RC4對稱加密標(biāo)準(zhǔn)，它使用64位或128位密鑰型吃。而WEP的安全性問題恰恰就出現(xiàn)在這里柱丐，因?yàn)槊荑€的64位或128位并不全被用于加密，它其中的24位實(shí)際上被用作初始化向量（IV）栗雳。IV的目的是用不同的密鑰給每個(gè)數(shù)據(jù)包進(jìn)行加密凉危。這是通過將IV添加到40位或104位的預(yù)共享密鑰（PSK）而實(shí)現(xiàn)的。結(jié)果就是IV+PSK是临。這減小了加密過程中的有效密鑰長度粮森，因?yàn)楝F(xiàn)在密鑰的有效長度只有40位或104位了。

        有兩種方法可以生成和使用PSK：

        一是默認(rèn)密鑰方法兆又，它共享包含最多四個(gè)默認(rèn)密鑰的密鑰集給所有WAP拢宛。

        二是密鑰映射方法，它在每一個(gè)無線基站與其它單個(gè)基站之間建立密鑰映射關(guān)系陈莽。雖然這個(gè)方法比第一個(gè)方法更安全渤昌，但它帶來了額外開銷并降低一定的吞吐量。這個(gè)額外的開銷意味著許多選擇使用WEP的系統(tǒng)要在所有的基站使用一個(gè)共享密鑰传透。

        為了更好地理解WEP過程耘沼，你需要理解布爾邏輯的基本原理。特別是你需要理解異或（Excusive OR朱盐， XOR）的用法群嗤。XOR只是一個(gè)簡單的2比特位之間的二進(jìn)制比較，它的結(jié)果是另一個(gè)比特位兵琳。當(dāng)比較2個(gè)比特位時(shí)狂秘，XOR檢查它們是否不同。如果不同躯肌，XOR的結(jié)果就是1者春。如果相同破衔，結(jié)果就是0。表9-2說明了一個(gè)XOR運(yùn)算的例子钱烟。

表：異或（XOR）運(yùn)算

        為了更好地理解XOR過程晰筛，并且理解WEP是如何工作的，下面讓我們看一下加密消息的七個(gè)步驟：

        1.使用密鑰初始化傳輸和接收基站昆颇。這個(gè)密鑰必須使用一個(gè)跨波段機(jī)制來分發(fā)的镐怔，如電子郵件發(fā)送、提交到一個(gè)網(wǎng)站侣赘，或者寫在紙上發(fā)給你（像許多酒店的做法）麦葱。

        2.傳輸基站產(chǎn)生一個(gè)種子，它是通過將40位密鑰附加到24位IV频澜，然后輸入到偽隨機(jī)數(shù)生成器（PRNG）而得到的盖础。

        3.傳輸基站將種輸入到WEP PRNG中生成隨機(jī)類型的密鑰流。

        4.密鑰流與明碼文本進(jìn)行XOR后得到密文试授。

        5.傳輸基站將密文附加到IV上伶肚，并設(shè)置一個(gè)比特位表示它是一個(gè)WEP加密的數(shù)據(jù)包。這就完成了WEP加密树聪，其結(jié)果是傳輸?shù)囊粋€(gè)幀的數(shù)據(jù)瘤嗜。WEP加密的僅僅是數(shù)據(jù)殷靖。數(shù)據(jù)包頭和包尾是不加密發(fā)送的胡电。

        6.接收基站檢查所接收的幀的加密位是否被設(shè)置了。如果是介劫，接收基站會從該幀中提取出IV徽惋，并將IV附加到密鑰中去。

        7.接收者生成一個(gè)密鑰流座韵，這個(gè)密鑰流必須是與傳輸基站的密鑰相匹配险绘。這個(gè)密鑰流通過與密文XOR后獲得明文。

[DividePage:NextPage]

    WEP最大的問題是IV不是專用的誉碴，是可以重用的宦棺。這樣的結(jié)果是大量的攻擊會重用IV來暴露PSK。為了更好地說明這個(gè)問題黔帕，我們可以考慮下面的例子代咸。假設(shè)我們的PSK是8765309。這個(gè)值將會與“qrs”字符串一起構(gòu)成密鑰“qrs8765309”成黄。它將被用于加密數(shù)據(jù)包呐芥。下一個(gè)數(shù)據(jù)包將會要求一個(gè)新的IV。因此奋岁，雖然它仍使用相同的PSK 8765309思瘟，但這次它會與字符串“mno”一起構(gòu)成新的密鑰“mno8765309”荸百。這樣的過程會在每一個(gè)數(shù)據(jù)包數(shù)據(jù)加密時(shí)進(jìn)行。我們可以看到變化的只是密鑰的IV部分耻胖，這就是WEP攻擊所感興趣的债竖。一個(gè)忙碌的不停地發(fā)送流量的AP總會在5到6小時(shí)后用完所有可能的IV字符。一旦有人捕獲了足夠的數(shù)據(jù)包肌顾，那么他就有了可重用的密鑰挣徽，WEP就會被破解。一些工具哲童，如WEP Crack和AirSnort就是專門用來做這件事的咙借。

    雖然無線設(shè)備供應(yīng)商確實(shí)做了許多工作去消除這些IV弱點(diǎn)，但攻擊者仍在尋求其他破解加密標(biāo)準(zhǔn)的方法堡酗。在2004年8月脖投，一個(gè)叫做KoreK的黑客發(fā)布了一套代碼，它可以將WEP密鑰恢復(fù)速度提升將近2個(gè)數(shù)量級斜兽。他不是使用通過收集百萬數(shù)據(jù)包來破解WEP密鑰的消極方法防苗，他的做法是主動將數(shù)據(jù)注入到網(wǎng)絡(luò)中。這個(gè)方法可以合法地從WLAN設(shè)備上得到響應(yīng)帕恩。即使黑客不能破譯這些數(shù)據(jù)包的加密方式谋旦，他也能猜出它們是什么，并更進(jìn)一步使用它們激活更多的產(chǎn)品流量的響應(yīng)屈尼。這使他能夠在10分鐘內(nèi)破解許多無線網(wǎng)絡(luò)的WEP册着。在大家發(fā)現(xiàn)這個(gè)問題后，IEEE意識到需要一個(gè)新的加密標(biāo)準(zhǔn)來解決這個(gè)問題了脾歧。畢竟甲捏，WEP甚至都不能夠保證數(shù)據(jù)包的認(rèn)證性了。

    用來解決無線用戶的不斷增長安全性要求的專門方法是802.11i鞭执。它們的挑戰(zhàn)的不僅僅是開發(fā)一個(gè)長期的標(biāo)準(zhǔn)司顿，也包括開發(fā)能夠馬上保證無線系統(tǒng)安全的方法。為了滿足這兩個(gè)要求兄纺，IEEE開發(fā)了短期解決方案Wi-Fi受保護(hù)訪問（WPA）大溜。

    WPA提出了比WEP高一級別的安全性方法。WPA使用了臨時(shí)密鑰完整性協(xié)議（Temporal Key Integrity Protocol估脆，TKIP）钦奋。TKIP使用一個(gè)哈希算法打亂密鑰，并添加了一個(gè)完整性檢查特性旁蔼，它可以驗(yàn)證密鑰沒有被篡改過锨苏。WPA改進(jìn)了WEP，它將IV從24位增加到48位容厦。同時(shí)回滾也被去除旺民，這意味著密鑰的重用就不太可能發(fā)生了嗦府。WPA也避免了另一個(gè)WEP的弱點(diǎn)，它為每一個(gè)數(shù)據(jù)包使用不同的密鑰阵拜。WPA的另一個(gè)改進(jìn)是消息完整性肺致。WPA提出了一個(gè)消息完整性校驗(yàn)（MIC），它被稱為Michael稍呛。Michael是設(shè)計(jì)來發(fā)現(xiàn)無效數(shù)據(jù)包哈涣，甚至能采取方法阻止攻擊。更妙的是邀曲，WPA是向下兼容的勺处，它是支持RC4算法的。這使得用戶可以升級已有的特定硬件撕拇，這些硬件可能本來是不支持更復(fù)雜的加密算法的痪酸。

    早在2004年，無線安全性的長期解決方案在WPA2發(fā)布后被認(rèn)證通過豌熄。這就是802.11i組曾經(jīng)致力于開發(fā)的標(biāo)準(zhǔn)授嘀。它設(shè)計(jì)上使用了高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）锣险。AES要求比RC4更多的處理能力蹄皱，它是包含在原來的802.11設(shè)計(jì)中的。現(xiàn)在有最多256位的密鑰長度芯肤，這是大大改進(jìn)了原來WEP使用的40位加密方式巷折。表9-3說明了通用的模式以及WPA和WPA2的種類。

    WPA和WPA2可以使用多種安全性協(xié)議纷妆，如Counter Mode with Cipher Block Chaining Message Authentication Code Protocol（CCMP）盔几。CCMP是基于AES加密算法的。它將IV擴(kuò)大到48位以防止回滾并發(fā)現(xiàn)延遲流量掩幢。另外一個(gè)WPA認(rèn)證的協(xié)議是Extensible Authentication Protocol（EAP），它是定義在RFC 3758中的上鞠。EAP是一個(gè)認(rèn)證框架际邻，但不是一個(gè)認(rèn)證機(jī)制。EAP是在以太網(wǎng)協(xié)議之上改善認(rèn)證的芍阎，包括需要認(rèn)證的客戶請求和服務(wù)器對認(rèn)證的處理世曾。同時(shí)也有LAN的EAP（EAPOL），它是IEEE認(rèn)可的作為將數(shù)據(jù)包從客戶傳到認(rèn)證服務(wù)器的傳輸方法冈瞪。其中有四種基本類型的EAPOL數(shù)據(jù)包：

    EAPOL報(bào)文——這種消息只是簡單的用穿越LAN傳送EAP報(bào)文的容器踏旷。

    EAPOL開始——這種消息是被客戶端用以通知網(wǎng)絡(luò)的認(rèn)證者。

    EAPOL注銷——這種消息通知認(rèn)證者客戶端正在離開網(wǎng)絡(luò)找仙。

    EAPOL密鑰——這種消息是802.1x中用于密鑰分發(fā)的糜谒。

表：WPA和WPA2的區(qū)別

    最后是臨時(shí)密鑰完整性協(xié)議（Temporal Key Integrity Protocol链坝，TKIP）。TKIP是用于解決已知的針對WEP弱點(diǎn)的密碼攻擊狸岁。TKIP的作用是保證每一個(gè)數(shù)據(jù)包都與它自己唯一加密密鑰一起發(fā)送饿婴。TKIP使用RC4算法。

    802.1x認(rèn)證

    802.1x提供了基于端口的訪問控制機(jī)制泛滔。當(dāng)用在EAP的結(jié)合部位時(shí)腌馒，它可以作為一個(gè)認(rèn)證試圖連接到特定LAN端口的設(shè)備的手段。雖然EAP是針對有線環(huán)境設(shè)計(jì)的寡花，但它正與WAP綁定以作為一種傳輸手段掐划，它負(fù)責(zé)傳輸認(rèn)證信息，以及客戶端或請求者與訪問控制服務(wù)器之間的加密密鑰昼钻，如RADIUS服務(wù)器叶雹。在無線網(wǎng)絡(luò)中，EAP是這樣工作的：

    1.WAP從客戶端請求認(rèn)證信息换吧。

    2.用戶輸入要求的認(rèn)證信息折晦。

    3.WAP轉(zhuǎn)發(fā)客戶端提供的認(rèn)證信息到標(biāo)準(zhǔn)的RADIUS服務(wù)器以獲得認(rèn)證和授權(quán)。

    4.客戶端根據(jù)RADIUS的授權(quán)進(jìn)行連接和傳輸數(shù)據(jù)沾瓦。

    此外满着，還有其它方法使用EAP，這是由它的實(shí)現(xiàn)方式?jīng)Q定的：密碼贯莺、數(shù)字認(rèn)證和信令卡是最常用的幾種認(rèn)證方式风喇。EAP可以作為EAP-MD5、Cisco Lightweight EAP (LEAP)缕探、EAP with Transport Layer Security (EAP-TLS)或者EAP with Tunneled TLS (EAP-TTLS)等形式部署魂莫。

聲明：本網(wǎng)站所收集的部分公開資料來源于互聯(lián)網(wǎng)，轉(zhuǎn)載的目的在于傳遞更多信息及用于網(wǎng)絡(luò)分享爹耗，并不代表本站贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)耙考，也不構(gòu)成任何其他建議。本站部分作品是由網(wǎng)友自主投稿和發(fā)布劣秦、編輯整理上傳王菲，對此類作品本站僅提供交流平臺，不為其版權(quán)負(fù)責(zé)蔼邓。如果您發(fā)現(xiàn)網(wǎng)站上所用視頻羽矮、圖片、文字如涉及作品版權(quán)問題侨懈，請第一時(shí)間告知痪蚤，我們將根據(jù)您提供的證明材料確認(rèn)版權(quán)并按國家標(biāo)準(zhǔn)支付稿酬或立即刪除內(nèi)容，以保證您的權(quán)益！聯(lián)系電話：010-58612588 或 Email:editor@mmsonline.com.cn穴肄。