无线LAN安全指南 WPA

2005年2月17日 　　来源: 个人电脑  

　　你是否曾经因为无线局域网（WLAN）存在致命的安全缺陷而放弃了这种方便的联网方式？如果是这样的话，那么现在你可以重新考虑一下你的选择。Wi-Fi联盟（一家检测和认证基于802.11标准的无线产品的机构）最近发布了新的安全标准WPA（Wi-Fi Protected Access），它可以为所有的WLAN提供可靠的安全保证。

　　目前大多数WLAN产品提供的WEP（Wired Equivalent Privacy）安全标准只能提供部分的安全保障，因为它只使用单一的静态密钥（40位或128位）进行加密和身份验证。该密钥将被WLAN上的每个人所共享。对大中型网络来说，WEP方式大大增加了管理员的负担，因为管理者必须为每一台WLAN设备手动输入WEP密钥信息。即便抛开这个因素不谈，WEP方式在安全上的隐患也是非常令人担忧的，如果密钥被某个黑客获得，他就能在整个WLAN通行无阻，而这类密钥破解工具在Internet上甚至可以免费获得。

　　面向企业用户的WLAN销售商往往会在他们的硬件中提供专门的、更可靠的安全措施，但这些专用的方案通常无法与其他公司的产品相兼容。这就是Wi-Fi联盟和IEEE组织制定WPA的原因，它可以在不同的WLAN环境中提供统一的、更高的安全性，其中包括那些位于机场候机厅和星巴克咖啡厅的WLAN热点。

　　目前，来自Atheros Communications、Broadcom Corp.、Cisco Systems、Intel Corp.、Intersil和Symbol Technologies等公司的WPA芯片产品已经通过了Wi-Fi联盟的认证，而D-Link、Linksys、Netgear、SMC和3Com等公司也已推出了支持WPA的WLAN硬件产品。如果你正在使用原有的老WLAN设备也不要紧，多数情况下你可以到厂商的Web网站下载新的固件或升级驱动程序来获得对WPA的支持。

WPA是什么？

　　WPA包含了现有的802.1x认证机制（带有扩展认证协议）、临时密钥完整性协议（Temporal Key Integrity Protocol，TKIP）和消息完整性检查机制（MIC），这些技术的结合可以保证数据包的安全性。对于不同规模的网络，WPA的应用情况也将有所不同。大多数大型企业会使用他们现有的RADIUS服务器来对WLAN用户进行认证。

　　当采用WPA标准时，客户端无线网卡首先会与无线AP进行联络。在用户身份没有通过认证服务器的确认之前，AP将拒绝该客户端访问WLAN。如果用户身份正确，认证服务器就会生成一个唯一的128位主会话密钥并通过TKIP协议分发给用户和AP。该用户随后就可以加入WLAN，并且WPA会建立起一种密钥管理机制，该机制能够为每个传输的数据包自动生成不同的密钥。相对WEP标准而言，WPA的优势是显而易见的：它不仅提供了符合工业标准的认证和加密机制，而且还采用了动态的密钥分配方式。

　　对于中小企业和家庭用户来说，往往不太可能拥有RADIUS服务器，WPA可以提供预先共享的主会话密钥，也就是所谓的通行字。然后WPA会自动为每个数据包生成密钥并提供消息完整性检查机制来检查数据包在会话过程中是否被篡改。用户还可以得到更强壮的TKIP加密机制。

WPA的未来

　　WPA实际上只是加强WLAN安全性的第一步。在2004年初，IEEE将发布另一个安全标准，它将被命名为802.11i（也有人称之为WPA2），该标准将把用于联邦政府的AES（Advanced Encryption Standard）加密机制引入WPA。目前的WPA产品将向前兼容802.11i。不过，尽管目前的WPA标准尚未影响到WLAN的性能，未来的802.11i将有可能需要更高的处理能力。

　　WPA和802.11i的出现表明人们越来越关注WLAN的安全性。不管你在家里或者在公司使用WLAN，新的WPA标准都能给你带来更高的安全性和必要的保护。