ＷＰＡ安全守护ＷＬＡＮ.docVIP

ＷＰＡ安全守护ＷＬＡＮ 　　最近，Wi-Fi联盟竭力将基于标准的可互通安全规范推向市场，以求大大提高Wi-Fi无线局域网(WLAN)的数据安全和接入控制能力。该规范就是WPA（Wi-Fi Protected Access，Wi-Fi保护接入)。WPA首先要解决的问题，是克服WLAN原先采用的安全机制――WEP的缺陷。WEP是1997年IEEE采用的标准，到2001年，WEP的脆弱性充分暴露出来，即备有适合的工具和中等技术水平的入侵者便能非法接入WLAN。 　　WPA的推出将使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA用强有力的新的加密算法以及用户认证，满足WLAN的安全需求。WPA是以软件方式实现的，当正确安装时，它将提供高度可靠的安全保证。在实现WPA的情况下，企业可用无线方式为员工提供安全的网络连接，而无需部署VPN之类的附加安全解决方案。WPA还可以使家庭和SOHO用户的网络安全性大大增强。 　　简析WPA 　　WPA是基于标准的增强可互通的安全性规范，设计成保护802.11的所有版本，而且其安全性比802.11b和802.11a目前采用的WEP技术更好。WPA由IEEE 802.11i安全规范派生而来，并与其兼容。作为一种软件升级，WPA被设计成在现有的WLAN硬件上运行。当安装就绪时，它将为WLAN用户提供高质量的数据保护，并确保只有经授权的网络用户才能接入网络。 　　网络安全的要求取决于网络业务量以及交换信息和运行应用程序的安全等级。尽管专业用户一般要求企业级安全，以保证从事机密性业务的安全性，但业务量小的家庭用户，他们一般运行网络打印、共享文件、上网冲浪或收发电子邮件，对安全性的要求并不像专业用户那样严格。因此，WPA被设计成能满足企业和家庭等不同用户需求的方式运行。 　　WPA的一个突出优点是，它被设计成能使现有的Wi-Fi合格产品实现升级的软件，这意味着在大多数情况下，现有的WLAN产品无需替换。所以，如果用户已使用Wi-Fi合格产品，其供应商也能送给用户相应的升级软件。如果用户欲购买新的Wi-Fi产品，便可期待既符合Wi-Fi要求，又包含WPA安全性的产品。 　　WPA设计要实现这样几个目标：即互通性强、能替换WEP、对现有的Wi-Fi合格产品能进行软件升级、能应用于大型企业和家庭用户。WPA最终将完全取代WEP。 　　WAP的安全机制 　　WPA安全机制是相对于WEP的缺陷而言的。WEP使用位数较短的40位公共密钥开始加密，在通过接入点（AP）连接的所有客户机上，以人工方式输入这40位密钥。除非在所有的装置上输入新密钥，否则必须一次次输入原来的密钥，由此产生繁重的加密任务。WEP还缺乏认证手段，无法确认用户凭证，这难以保证接入网络的用户都是合法的。 　　WPA则不同，它利用瞬间密钥完整性协议(TKIP)加密和802.1x，以及可扩展认证协议(EAP)作为认证机制，其安全性比WEP要强得多(见附表)。WPA的安全性源于它采用一种增强型加密模式，即瞬时密钥完整性协议(TKIP)。与802.1x/EAP相结合，TKIP采用保护性增强的密钥序列。它还增加了信息完整性验证(MIC)，以阻止伪造数据包。 　　从附表可知，TKIP将密钥长度由40位增加到128位，并用认证服务器动态生成和分发的密钥取代WEP的单一静态密钥。TKIP使用密钥序列和密钥管理法，从而使入侵者无法利用WEP密钥的可预测性。 　　同时，TKIP利用802.1x/EAP认证机制增强加密的安全性(见图1)。认证服务器认可用户凭证后，利用802.1x生成惟一的主密钥或“聪明配对”密钥。TKIP把此密钥分发给客户机和AP，并建立密钥序列和管理系统，由此用“聪明配对”密钥动态生成独特的数据加密密钥， 为用户会话期间以无线方式通信的每个数据包加密。 　　通过扩展密钥的长度，增加利用密钥的数量，并创建完整性验证机制，TKIP增大了在Wi-Fi网络上解码数据所蕴含的复杂性和难度，使入侵者更难以侵入网络。 　　WPA与企业用户 　　对于企业网来说，实现Wi-Fi接入保护将涉及到802.1x基础设施的部署（图2）。这意味着在以下几个方面要进行选择或升级。 　　选择支持客户机NIC和认证服务器的EAP类型。 　　选择和部署认证服务器，一般选用RADIUS（远程认证拨入用户服务）服务器。 　　用Wi-Fi保护接入升级AP，或购买已安装WPA软件的新AP。 　　用Wi-Fi软件升级WLAN客户机的NIC，或购买已安装WPA软件的新无线NIC。 　　WPA与SOHO用户 　　SOHO（小型办公室和家庭办公室）环境中的用户，缺乏资金以及安装和维护认证服务器的IT管理人员。针对