认证
用户或客户机,又称为端点(end station)在连接到接入点(AP)或宽带无线路由器和访问无线局域网(WLAN)之前,需要先经过认证。IEEE*(电气和电子工程师学会)802.11 标准定义了两种链路层认证:开放系统型和共享密钥型。
开放系统型认证
开 放系统型认证只包含两次通信。第一次通信是客户机发出认证请求,请求中包含客户端 ID(通常为 MAC 地址)。第二次通信是接入点/路由器发出认证响应,响应中包含表明认证是成功还是失败的消息。认证可能失败的一个例子是,接入点/路由器的配置中肯定不包 含客户机的 MAC 地址。
共享密钥型认证
共享密钥型认证要求参与认证过程的两端具有相同的“共享”密钥或密码。共享密钥型认证手动设置客户端和接入点/路由器。共享密钥认证的三种类型现在都可应用于家庭或小型办公室无线局域网环境。
有线等价私密算法(WEP)
由 于 WEP 具有先天性缺陷,因此建议不要将其用于安全无线局域网。它的一个主要安全风险是黑客可以使用唾手可得的应用软件捕获经过加密的认证响应帧,并可使用这些信 息破解 WEP 加密。这个过程的步骤包括:客户机发送认证请求,接入点/路由器以明文形式发出盘问文本,客户机对盘问文本进行加密,然后接入点/路由器做出认证响应。 WEP 密钥/密码的两个级别:
- 64 位:40 位专门用于加密,24 位于分配给初始化向量(IV)。它还被称为 40 位 WEP。
- 128 位:104 位专门用于加密,24 位于分配给初始化向量(IV)。它还被称为 104 位 WEP。
WPA 由 Wi-Fi 联盟*(WFA)开发,早于 IEEE 802.11i 的正式批准时间,但它符合无线安全标准。它在安全性方面进行了加强,极大地提高了无线网络的数据保护和访问控制(认证)能力。WPA 执行 802.1x 认证和密钥交换,只适用于动态加密密钥。
在家庭或小型办公室环境中,用户可能会看到不同的 WPA 命名规则。例如,WPA-Personal、WPA-PSK 和 WPA-Home 等。在任何情况下,都必须在客户机和接入点/路由器上手动配置一个通用的预共享密钥(PSK)。
WPA2(Wi-Fi 保护接入)
WPA2 在 WPA 的基础上增强了安全性。 这两者不可互操作,所以用户必须确保客户端和 AP/路由器配置为使用相同的 WPA 版本和预共享密钥(PSK)。
加密
加密是实施认证的 WLAN 安全组件。 IEEE 802.11 提供三种加密算法: 有线等效加密(WEP)、暂时密钥集成协议(TKIP)和高级加密标准 Counter-Mode/CBC-MAC 协议(AES-CCMP)。
WEP
WEP 是原始 IEEE 802.11 标准中指定的加密算法。 如上所述,它既可部署用于认证,也可以用于加密。 从加密角度严格来讲,WEP 是一种使用纯文本数据创建加密数据的 RC4 封装算法。 此加密过程需要将初始向量(IV)和专用加密密钥(口令)串接在一起组成每包密钥(种子)。 需要为每个数据包选择一个新的 IV,但是加密密钥保持不变。
WEP 拥有多个广为人知的缺点。 首先是必须在 WEP 中回收 IV 之前后者的可能值较少。 虽然 24 位(1670 万)IV 好像已足够,但是这个数量在忙碌的网络中会很快耗尽。 40 位的短密钥也有同样的问题,甚至 104 密钥也是如此,会被黑客使用数据捕获软件攻破。
TKIP
TKIP 是作为 IEEE 802.11i 的一部分,为加强无线安全性而创建的。 它也是基于 RC4 封装算法。 TKIP 通过动态密钥管理增强了加密功能,这种管理要求每个传输的数据包有一个与众不同的密钥。 您必须认识到,加密是实现网络安全的必需手段,但加密只能提供数据私密功能。
TKIP 在此基础上更进一步,通过 64 位消息完整性检查(MIC)来提供数据修改保护。 它可以有效防止黑客截获消息、修改数据片断、修改完整性检查值(ICV)片断进行匹配、重新创建循环冗余检查(CRC)并将数据包转发到目的地。 上述过程就是 TKIP 的重发保护措施。 MIC 故障首次出现时,端点需要断开与 AP/路由器的连接并重新接入。 对于在 60 秒内检测到两次 MIC 故障的端点,IEEE 802.11i 要求其停止所有通信 60 秒。
AES-CCMP
AES-CCMP 是面向大众的*无线安全协议。 IEEE 802.11i 要求使用 CCMP 来提供全部四种安全服务: 认证、机密性、完整性和重发保护。 CCMP 使用 128 位 AES 加密算法实现机密性,使用其他 CCMP 协议组件实现其余三种服务。