ＷＰＡ在ＷＬＡＮ安全實(shí)現(xiàn)中的研究

摘 要在介紹WPA協(xié)議內(nèi)容和核心組成的基礎(chǔ)上，分析WPA協(xié)議的特點(diǎn)及其技術(shù)缺陷。

關(guān)鍵詞WPA；核心；特點(diǎn)；缺陷

中圖分類號(hào) TP393.08 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1671-489X（2008）08-0087-02

隨著IT技術(shù)飛速發(fā)展，WLAN憑借可靠、標(biāo)準(zhǔn)化、成本低和靈活性強(qiáng)等顯著特點(diǎn)得到廣泛應(yīng)用。但黑客技術(shù)不斷提高，WLAN安全問(wèn)題日益嚴(yán)峻。為提高WLAN安全性，Wi-Fi聯(lián)盟推行了一項(xiàng)WLAN安全技術(shù)：WPA（Wi-Fi Protected Access）協(xié)議，為現(xiàn)有大量的WLAN產(chǎn)品提供高安全的解決方案。

1 WPA協(xié)議

WPA是為彌補(bǔ)有線對(duì)等保密（WEP）缺陷采用的新安全標(biāo)準(zhǔn)，通過(guò)無(wú)線網(wǎng)絡(luò)加密和身份識(shí)別來(lái)加強(qiáng)安全保護(hù)和管理能力，包括認(rèn)證、加密和數(shù)據(jù)完整校驗(yàn)3部分。它通過(guò)升級(jí)到基于802.11的無(wú)線網(wǎng)絡(luò)適配器固件和無(wú)線訪問(wèn)點(diǎn)（AP）來(lái)保護(hù)。WPA需使用下列值為無(wú)線數(shù)據(jù)幀提供加密和完整性保護(hù)：IV以0開始，隨每個(gè)后續(xù)幀遞增，數(shù)據(jù)加密密鑰或組加密密鑰，無(wú)線幀目標(biāo)地址和源地址，一個(gè)優(yōu)先級(jí)字段值，被設(shè)置為0，保留以備后用，數(shù)據(jù)完整性密鑰或組完整性密鑰。

2 WPA核心組成

WPA是IEEE802.11i的子集，核心是IEEE802.1x和暫時(shí)密鑰完整性協(xié)議（TKIP）。WPA將TKIP與Michael結(jié)合取代WEP；TKIP通過(guò)加密保證數(shù)據(jù)機(jī)密性，Michael保證數(shù)據(jù)完整性。

2.1 IEEE802.1x標(biāo)準(zhǔn) IEEE802.1x基于端口的接入控制技術(shù)，提供可靠的接入認(rèn)證控制和密鑰分發(fā)的框架結(jié)構(gòu)，控制用戶在認(rèn)證通過(guò)后才連接網(wǎng)絡(luò)。接入控制功能由端口接入實(shí)體（PAE）實(shí)現(xiàn)，所有與認(rèn)證機(jī)制相關(guān)的算法和協(xié)議通過(guò)PAE執(zhí)行。一次認(rèn)證交互有3部分參與：申請(qǐng)者、認(rèn)證器和認(rèn)證服務(wù)器。認(rèn)證器每個(gè)物理端口分為受控端口和非受控端口，它們?cè)诠δ苌蠈?shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)與控制信息分離，非受控端口執(zhí)行對(duì)用戶接入認(rèn)證與控制，認(rèn)證通過(guò)的用戶業(yè)務(wù)數(shù)據(jù)通過(guò)受控端口傳送。802.1x認(rèn)證與擴(kuò)展認(rèn)證協(xié)議（EAP）協(xié)同工作，通過(guò)RADIUS驗(yàn)證服務(wù)器實(shí)施，任務(wù)是提供認(rèn)證、授權(quán)和密鑰管理功能。

2.2 TKIP協(xié)議 TKIP專用于糾正WEP安全漏洞，實(shí)現(xiàn)無(wú)線傳輸數(shù)據(jù)的加密和完整性保護(hù)。雖然仍用RC4加密算法，但使用了動(dòng)態(tài)會(huì)話密鑰提高安全性。TKIP引入4個(gè)新算法：48位初始化向量（IV）和IV順序規(guī)則、逐個(gè)報(bào)文的密鑰構(gòu)建機(jī)制、Michael消息完整性代碼（Message Integrity Code，MIC）及密鑰重獲/分發(fā)機(jī)制。TKIP在增強(qiáng)WLAN保密強(qiáng)度同時(shí)并不明顯增加計(jì)算量，可通過(guò)對(duì)原有設(shè)備軟件升級(jí)實(shí)現(xiàn)。TKIP具有的新特性可以彌補(bǔ)WEP缺陷：

1）用48位IV及新IV始化算法解決密鑰空間過(guò)小引起的密鑰重用問(wèn)題。

2）用MIC解決WEP加密數(shù)據(jù)幀被惡意篡改。

3）提供快速更新密鑰功能，改進(jìn)加密密鑰生成算法：在TKIP中根據(jù)共享密鑰、客戶端MAC地址和數(shù)據(jù)分組序列號(hào)為每個(gè)數(shù)據(jù)分組生成唯一的加密密鑰，用密鑰對(duì)數(shù)據(jù)分別進(jìn)行RC4加密運(yùn)算。即使攻擊者收集大量數(shù)據(jù)，想從中破解共享密鑰也是幾乎不可能的。

3 WPA特點(diǎn)

1）在TKIP中IV大小增加到48位。

2）WEP加密的CRC-32校驗(yàn)和計(jì)算由Michael取代。Michael專用于提供強(qiáng)數(shù)據(jù)完整性。Michael算法可計(jì)算64位MIC值，該值用TKIP加密。

3）TKIP和Michael使用從主密鑰和其他值派生的臨時(shí)密鑰。主密鑰從可擴(kuò)展身份驗(yàn)證協(xié)議—傳輸層安全性（EAP-TLS）或受保護(hù)的EAP（PEAP）802.1x身份驗(yàn)證派生而來(lái)。RC4PRNG的輸入機(jī)密部分通過(guò)數(shù)據(jù)包混合函數(shù)計(jì)算出，隨幀改變而改變。

4）自動(dòng)重新生成密鑰以派生新臨時(shí)密鑰組。

5）無(wú)重放保護(hù)TKIP將IV用作幀計(jì)數(shù)器以提供重放保護(hù)。

4 WPA缺陷

WPA存在3方面缺陷：

1）不能為獨(dú)立基礎(chǔ)服務(wù)集（IBSS）網(wǎng)絡(luò)提供安全支持。IBSS可讓2臺(tái)客戶端計(jì)算機(jī)在無(wú)線局域網(wǎng)上不通過(guò)中間媒介對(duì)話。

2）WPA不能在網(wǎng)絡(luò)上對(duì)多個(gè)接入點(diǎn)預(yù)檢。預(yù)檢對(duì)于從一地到另一地漫游非常重要。

3）WPA不能支持高級(jí)加密標(biāo)準(zhǔn)（AES），如果使用AES就需為客戶機(jī)增加額外計(jì)算能力，必須增加成本。

5 結(jié)束語(yǔ)

WLAN總發(fā)展方向是速度越來(lái)越快，安全性要求會(huì)越來(lái)越高。隨著網(wǎng)絡(luò)發(fā)展更新，更安全更易實(shí)現(xiàn)的技術(shù)將不斷出現(xiàn)，為網(wǎng)絡(luò)提供更有力的保障。但沒(méi)有一種方案能解決所有安全問(wèn)題。為對(duì)付不斷出現(xiàn)的新安全威脅，需要不斷研究相關(guān)技術(shù)來(lái)搭建更強(qiáng)、更安全的WLAN。