论文部分内容阅读
摘 要在介绍WPA协议内容和核心组成的基础上,分析WPA协议的特点及其技术缺陷。
关键词WPA;核心;特点;缺陷
中图分类号 TP393.08 文献标识码 A 文章编号 1671-489X(2008)08-0087-02
随着IT技术飞速发展,WLAN凭借可靠、标准化、成本低和灵活性强等显著特点得到广泛应用。但黑客技术不断提高,WLAN安全问题日益严峻。为提高WLAN安全性,Wi-Fi联盟推行了一项WLAN安全技术:WPA(Wi-Fi Protected Access)协议,为现有大量的WLAN产品提供高安全的解决方案。
1 WPA协议
WPA是为弥补有线对等保密(WEP)缺陷采用的新安全标准,通过无线网络加密和身份识别来加强安全保护和管理能力,包括认证、加密和数据完整校验3部分。它通过升级到基于802.11的无线网络适配器固件和无线访问点(AP)来保护。WPA需使用下列值为无线数据帧提供加密和完整性保护:IV以0开始,随每个后续帧递增,数据加密密钥或组加密密钥,无线帧目标地址和源地址,一个优先级字段值,被设置为0,保留以备后用,数据完整性密钥或组完整性密钥。
2 WPA核心组成
WPA是IEEE802.11i的子集,核心是IEEE802.1x和暂时密钥完整性协议(TKIP)。WPA将TKIP与Michael结合取代WEP;TKIP通过加密保证数据机密性,Michael保证数据完整性。
2.1 IEEE802.1x标准 IEEE802.1x基于端口的接入控制技术,提供可靠的接入认证控制和密钥分发的框架结构,控制用户在认证通过后才连接网络。接入控制功能由端口接入实体(PAE)实现,所有与认证机制相关的算法和协议通过PAE执行。一次认证交互有3部分参与:申请者、认证器和认证服务器。认证器每个物理端口分为受控端口和非受控端口,它们在功能上实现业务数据与控制信息分离,非受控端口执行对用户接入认证与控制,认证通过的用户业务数据通过受控端口传送。802.1x认证与扩展认证协议(EAP)协同工作,通过RADIUS验证服务器实施,任务是提供认证、授权和密钥管理功能。
2.2 TKIP协议 TKIP专用于纠正WEP安全漏洞,实现无线传输数据的加密和完整性保护。虽然仍用RC4加密算法,但使用了动态会话密钥提高安全性。TKIP引入4个新算法:48位初始化向量(IV)和IV顺序规则、逐个报文的密钥构建机制、Michael消息完整性代码(Message Integrity Code,MIC)及密钥重获/分发机制。TKIP在增强WLAN保密强度同时并不明显增加计算量,可通过对原有设备软件升级实现。TKIP具有的新特性可以弥补WEP缺陷:
1)用48位IV及新IV始化算法解决密钥空间过小引起的密钥重用问题。
2)用MIC解决WEP加密数据帧被恶意篡改。
3)提供快速更新密钥功能,改进加密密钥生成算法:在TKIP中根据共享密钥、客户端MAC地址和数据分组序列号为每个数据分组生成唯一的加密密钥,用密钥对数据分别进行RC4加密运算。即使攻击者收集大量数据,想从中破解共享密钥也是几乎不可能的。
3 WPA特点
1)在TKIP中IV大小增加到48位。
2)WEP加密的CRC-32校验和计算由Michael取代。Michael专用于提供强数据完整性。Michael算法可计算64位MIC值,该值用TKIP加密。
3)TKIP和Michael使用从主密钥和其他值派生的临时密钥。主密钥从可扩展身份验证协议—传输层安全性(EAP-TLS)或受保护的EAP(PEAP)802.1x身份验证派生而来。RC4PRNG的输入机密部分通过数据包混合函数计算出,随帧改变而改变。
4)自动重新生成密钥以派生新临时密钥组。
5)无重放保护TKIP将IV用作帧计数器以提供重放保护。
4 WPA缺陷
WPA存在3方面缺陷:
1)不能为独立基础服务集(IBSS)网络提供安全支持。IBSS可让2台客户端计算机在无线局域网上不通过中间媒介对话。
2)WPA不能在网络上对多个接入点预检。预检对于从一地到另一地漫游非常重要。
3)WPA不能支持高级加密标准(AES),如果使用AES就需为客户机增加额外计算能力,必须增加成本。
5 结束语
WLAN总发展方向是速度越来越快,安全性要求会越来越高。随着网络发展更新,更安全更易实现的技术将不断出现,为网络提供更有力的保障。但没有一种方案能解决所有安全问题。为对付不断出现的新安全威胁,需要不断研究相关技术来搭建更强、更安全的WLAN。
关键词WPA;核心;特点;缺陷
中图分类号 TP393.08 文献标识码 A 文章编号 1671-489X(2008)08-0087-02
随着IT技术飞速发展,WLAN凭借可靠、标准化、成本低和灵活性强等显著特点得到广泛应用。但黑客技术不断提高,WLAN安全问题日益严峻。为提高WLAN安全性,Wi-Fi联盟推行了一项WLAN安全技术:WPA(Wi-Fi Protected Access)协议,为现有大量的WLAN产品提供高安全的解决方案。
1 WPA协议
WPA是为弥补有线对等保密(WEP)缺陷采用的新安全标准,通过无线网络加密和身份识别来加强安全保护和管理能力,包括认证、加密和数据完整校验3部分。它通过升级到基于802.11的无线网络适配器固件和无线访问点(AP)来保护。WPA需使用下列值为无线数据帧提供加密和完整性保护:IV以0开始,随每个后续帧递增,数据加密密钥或组加密密钥,无线帧目标地址和源地址,一个优先级字段值,被设置为0,保留以备后用,数据完整性密钥或组完整性密钥。
2 WPA核心组成
WPA是IEEE802.11i的子集,核心是IEEE802.1x和暂时密钥完整性协议(TKIP)。WPA将TKIP与Michael结合取代WEP;TKIP通过加密保证数据机密性,Michael保证数据完整性。
2.1 IEEE802.1x标准 IEEE802.1x基于端口的接入控制技术,提供可靠的接入认证控制和密钥分发的框架结构,控制用户在认证通过后才连接网络。接入控制功能由端口接入实体(PAE)实现,所有与认证机制相关的算法和协议通过PAE执行。一次认证交互有3部分参与:申请者、认证器和认证服务器。认证器每个物理端口分为受控端口和非受控端口,它们在功能上实现业务数据与控制信息分离,非受控端口执行对用户接入认证与控制,认证通过的用户业务数据通过受控端口传送。802.1x认证与扩展认证协议(EAP)协同工作,通过RADIUS验证服务器实施,任务是提供认证、授权和密钥管理功能。
2.2 TKIP协议 TKIP专用于纠正WEP安全漏洞,实现无线传输数据的加密和完整性保护。虽然仍用RC4加密算法,但使用了动态会话密钥提高安全性。TKIP引入4个新算法:48位初始化向量(IV)和IV顺序规则、逐个报文的密钥构建机制、Michael消息完整性代码(Message Integrity Code,MIC)及密钥重获/分发机制。TKIP在增强WLAN保密强度同时并不明显增加计算量,可通过对原有设备软件升级实现。TKIP具有的新特性可以弥补WEP缺陷:
1)用48位IV及新IV始化算法解决密钥空间过小引起的密钥重用问题。
2)用MIC解决WEP加密数据帧被恶意篡改。
3)提供快速更新密钥功能,改进加密密钥生成算法:在TKIP中根据共享密钥、客户端MAC地址和数据分组序列号为每个数据分组生成唯一的加密密钥,用密钥对数据分别进行RC4加密运算。即使攻击者收集大量数据,想从中破解共享密钥也是几乎不可能的。
3 WPA特点
1)在TKIP中IV大小增加到48位。
2)WEP加密的CRC-32校验和计算由Michael取代。Michael专用于提供强数据完整性。Michael算法可计算64位MIC值,该值用TKIP加密。
3)TKIP和Michael使用从主密钥和其他值派生的临时密钥。主密钥从可扩展身份验证协议—传输层安全性(EAP-TLS)或受保护的EAP(PEAP)802.1x身份验证派生而来。RC4PRNG的输入机密部分通过数据包混合函数计算出,随帧改变而改变。
4)自动重新生成密钥以派生新临时密钥组。
5)无重放保护TKIP将IV用作帧计数器以提供重放保护。
4 WPA缺陷
WPA存在3方面缺陷:
1)不能为独立基础服务集(IBSS)网络提供安全支持。IBSS可让2台客户端计算机在无线局域网上不通过中间媒介对话。
2)WPA不能在网络上对多个接入点预检。预检对于从一地到另一地漫游非常重要。
3)WPA不能支持高级加密标准(AES),如果使用AES就需为客户机增加额外计算能力,必须增加成本。
5 结束语
WLAN总发展方向是速度越来越快,安全性要求会越来越高。随着网络发展更新,更安全更易实现的技术将不断出现,为网络提供更有力的保障。但没有一种方案能解决所有安全问题。为对付不断出现的新安全威胁,需要不断研究相关技术来搭建更强、更安全的WLAN。