| 出版日期:2004-04-12 总期号:1304 本年期号:25 |
|
 |
WPA 弥补WEP不足
朱新亚 当涉及到无线安全性时,最新的术语是WPA(Wi-Fi Protected Access,Wi-Fi受保护访问)。这个准标准已经将我们从WEP的不足和设计缺陷中解放出来。大多数人将WPA看作是一个暂时的解决方案,一旦最终确立IEEE的802.11i标准,将会替代它。作为802.11i标准实质上的一个子集,WPA提供了一个与现有硬件设备兼容的可行的安全架构。 WPA是围绕TKIP(Temporal Key Integrity Protocol,瞬时密码完整性协议)建立的,可以通过一个软件/固件升级的形式植入大多数WLAN产品之中。TKIP并不是专属于WPA设计者的发明。当两年前WEP的安全性不足被公开以来,很多Wi-Fi厂商通过启动对WEP专用增强的研究来解决这个问题,这些工作最终成为TKIP。目前互用性上还存在问题。 TKIP针对WEP较弱的密码管理并使用RC4密码流算法加密数据。目前安装的机柜中缺乏CPU的运算能力来运行AES,而RC4算法还可以在有电损耗的媒介中处理信息包,所以直到现在它还被应用着。 WPA有两种工作模式:企业模式与PSK(Preshared Key,预共享密码)模式。由于在将用户身份认证从通讯保护中隔离出来的努力中,WPA是一个稳定的中间过程,所以在给定的硬件约束下强化基础结构不再需要额外的努力。WPA可以升级为较为成熟的802.1x(端口访问控制)+EAP(上层身份认证)+TKIP(密码管理)+MIC(通讯完整性与对策)模式。 WPA与WPA-PSK的区别在于,PSK版本中为通讯进程生成一个主密码而要求的RADIUS服务器,通过使用一个普通的口令短语被替换掉。使用WPA-PSK与使用静态WEP密码相似,只不过PSK在密码级别和密码管理中使用的是不同的方法。与任何共享密码环境一样,WPA-PSK会受到字典攻击,所以应注意使用更强的密码短语。 MIC保护了通过媒介的数据包的完整性,它包括了解决WEP中探测到的数据包完整性缺口的对策。MIC也来源于主密码(也就是WPA-PSK中的预共享密码)。 其实唯一真正安全的网络是没有任何接插的网络,所以不会有一个绝对安全的解决方案。使用WPA可以减轻安全风险,但它也有一定限度。MIC上的硬件限制影响了它的稳固性,而且这种对策可能反过来会帮助一个对付无线网络的DoS(Denial-of-Service,拒绝服务)攻击。最后,由于802.11管理数据帧并没有加密,Wi-Fi网络易受到恶意反认证数据帧的攻击,这种攻击会使用户从接入点断开连接。上面这些问题的解决方案有望随着802.11i标准的确立而最终确定。 (C13) |
||||||||||||||||||||||||
