无线局域网安全技术WPA谈.docVIP

[导读]WEP是数据加密算法，它不是一个用户认证机制. WPA用户认证是使用802.1X和扩展认证协议(Extensible Authentication Protocol :EAP) 来实现的。 　　WPA与WEP的比较? 　　WEP是数据加密算法，它不是一个用户认证机制. WPA用户认证是使用802.1X和扩展认证协议(Extensible Authentication Protocol :EAP) 来实现的。 　　在802.11标准里,802.1X身份认证是可选项; 在WPA里802.1X身份认证是必选项(关于EAP明确的详细资料，请查阅IETF的RFC2284)。 　　对于加密,WPA使用临时密钥完整性协议(TKIP：Temporal Key Integrity Protocol)的加密是必选项。TKIP使用了一个新的加密算法取代了WEP，比WEP的加密算法更强壮,同时还能使用现有的无线硬件上提供的计算工具去实行加密的操作。TKIP提供的重要的数据加密增强型内容包括:每包密钥混合功能(per-packet key mixing);称为Michael的信息完整性检查(MIC:message integrity check);有先后次序规则的扩展初始向量(extended initialization vector (IV));和再生密钥机制。并通过这些增强量，TKIP弥补了WEP所有的弱点。 　　什么是WPA安全的密钥特性？ 　　WPA标准里包括了下述的安全特性: 　　1.WPA认证 　　2. WPA加密密钥管理 　　-- 临时密钥完整性协议(TKIP) 　　-- Michael消息完整性编码(MIC) 　　-- AES支持(逐步采用) 　　下面我们将描述这些特性: 　　WPA改善了我们所熟知的WEP的大部分弱点，它主要是应用于公司内部的无线基础网络。无线基础网络包括:工作站,AP和认证服务器(典型的RADIUS服务器).在无线用户访问网络之前,RADIUS服务掌控用户信任(例如:用户名和口令) 和认证无线用户. 　　WPA的优势来自于一个完整的包含802.1X/EAP认证和智慧的密钥管理和加密技术的操作次序. 它主要的作用包括: 　　. 网络安全性能可确定：它发生于802.11 标准,并通过信标里的WPA信息元素通信、探测响应和(重)联合请求. 这些基础的信息包括认证算法(802.1X或预共享密钥)和首选的密码套件(WEP,TKIP或AES). 　　* 认证; WPA使用EAP(可扩展的认证协议)来强迫用户层的认证机制使用802.1x基于端口的网络访问控制标准架构.802.1x端口访问控制是防止在用户身份认证完成之前就访问到全部的网络。802.1X EAPOL-KEY包是用WPA分发每信息密钥给这些工作站安全认证的. 　　* 在工作站客户端程序(supplicant)使用包含在信息元素里的认证和密码套件信息去判断哪些认证方法和加密套件是使用的.例如,如果AP是使用的预共享密钥方法,那么客户端程序(Supplicant)不需要使用成熟的 802.1X. 然而, 客户端程序(Supplicant)必须简单的证明它自己所拥有的预共享密钥给AP; 如果客户端检测到服务单元不包含一个WPA元素,那么它必须在命令里使用预WPA 802.1X认证和密钥管理去访问网络. 　　* 密钥管理: WPA定义了强健的密钥生成/管理系统,它结合了认证和数据私密功能.在工作站和AP之间成功的认证和通过4步握手后, 密钥产生了. 　　* 数据加密(加密). 临时密钥完整性协议(TKIP)是使用包装在WEP上的动态加密算法和安全技术来克服它的缺点, 　　* 数据完整性. TKIP在每一个明文消息末端都包含了一个信息完整性编码(MIC)，来确保信息不会被“哄骗”. 　　WPA体系:企业级用户通过802.1X/EAP和RADIUS认证 　　 　　图:802.1x认证过程步骤: 　　AP用WPA信息元素发送信标帧给在服务单元内的工作站. 信息元素包括需要的认证方法(802.1x或预共享密钥)和首选的密码套件(WEP,TKIP.或AES). 探测响应(AP至工作站)和联合请求(工作站至AP) 、同样也包含WPA消息元素。 　　1. 最初的 802.1X通讯开始以一个非认证Supplicant(客户端设备) 尝试去连接一个认证端(802.11 AP), 这客户端发送一个EAP起始消息.然后开始了客户端认证的一连串消息交换。 　　2.AP回复EAP-请求身份消息. 　　3. 客户端发送给认证服务器的EAP的响应信息包里包含了身份信息.AP通过激活一个只允许从客户端到AP有线端的认证服务器的EAP包的端口.并关闭了其它所有的传输,,象HTTP、DHCP和POP3包