http://www./article.asp?id=205
http://itbbs.pconline.com.cn/network/10205164.html
WPA�����、WEP對比
WPA和WEP傳輸數(shù)據(jù)都要進行兩個過程:驗證和加密數(shù)據(jù)���。
在家用無線路由器設置里,無論你選WEP還是WAP�,都需要輸入密鑰。對WEP來說�����,這個密鑰既用來驗證身份�,允許PC接入,又用來加密傳輸?shù)臄?shù)據(jù)�����。而對WAP來說�����,輸入的密鑰至用來驗證身份,而加密數(shù)據(jù)用地密鑰則由無線路由器生成�����,并通過特別的安全通道傳輸?shù)絇C�����。這個加密數(shù)據(jù)的密鑰無線路由器可自動定期(幾小時)更換���。
WPA與WEP不同�����,WEP使用一個靜態(tài)的密鑰來加密所有的通信�����。WPA不斷的轉換密鑰�。WPA采用有效的密鑰分發(fā)機制���,可以跨越不同廠商的無線網(wǎng)卡實現(xiàn)應用����。另外WPA的另一個優(yōu)勢是,它使公共場所和學術環(huán)境安全地部署無線網(wǎng)絡成為可能����。而在此之前,這些場所一直不能使用WEP�。WEP的缺陷在于其加密密鑰為靜態(tài)密鑰而非動態(tài)密鑰。這意味著��,為了更新密鑰�,IT人員必須親自訪問每臺機器,而這在學術環(huán)境和公共場所是不可能的�����。另一種辦法是讓密鑰保持不變�����,而這會使用戶容易受到攻擊����。由于互操作問題�,學術環(huán)境和公共場所一直不能使用專有的安全機制。
根據(jù)這兩種不同的應用模式�����,WPA的認證也分別有兩種不同的方式。對于大型企業(yè)的應用����,常采用“802.1x+ EAP”的方式,用戶提供認證所需的憑證��。但對于一些中小型的企業(yè)網(wǎng)絡或者家庭用戶����,WPA也提供一種簡化的模式,它不需要專門的認證服務器�����。這種模式叫做“WPA預共享密鑰(WPA-PSK)”�����,它僅要求在每個WLAN節(jié)點(AP����、無線路由器、網(wǎng)卡等)預先輸入一個密鑰即可實現(xiàn)����。
這個密鑰僅僅用于認證過程���,而不用于傳輸數(shù)據(jù)的加密。數(shù)據(jù)加密的密鑰是在認證成功后動態(tài)生成��,系統(tǒng)將保證“一戶一密”�,不存在像WEP那樣全網(wǎng)共享一個加密密鑰的情形,因此大大地提高了系統(tǒng)的安全性��。
1.認證
WEP是數(shù)據(jù)加密算法�,它不完全等同于用戶的認證機制,WPA用戶認證是使用802.1x和擴展認證協(xié)議(Extensible Authentication Protocol�����,EAP)來實現(xiàn)的���。
WPA考慮到不同的用戶和不同的應用安全需要,例如:企業(yè)用戶需要很高的安全保護(企業(yè)級)���,否則可能會泄露非常重要的商業(yè)機密��;而家庭用戶往往只是使用網(wǎng)絡來瀏覽 Internet�、收發(fā)E-mail、打印和共享文件�����,這些用戶對安全的要求相對較低���。為了滿足不同安全要求用戶的需要��,WPA中規(guī)定了兩種應用模式����。
● 企業(yè)模式:通過使用認證服務器和復雜的安全認證機制���,來保護無線網(wǎng)絡通信安全��。
● 家庭模式(包括小型辦公室):在AP(或者無線路由器)以及連接無線網(wǎng)絡的無線終端上輸入共享密鑰��,以保護無線鏈路的通信安全��。
根據(jù)這兩種不同的應用模式�,WPA的認證也分別有兩種不同的方式�。對于大型企業(yè)的應用,常采用“802.1x+ EAP”的方式���,用戶提供認證所需的憑證����。但對于一些中小型的企業(yè)網(wǎng)絡或者家庭用戶,WPA也提供一種簡化的模式��,它不需要專門的認證服務器��。這種模式叫做“WPA預共享密鑰(WPA-PSK)”���,它僅要求在每個WLAN節(jié)點(AP�����、無線路由器�����、網(wǎng)卡等)預先輸入一個密鑰即可實現(xiàn)。
這個密鑰僅僅用于認證過程���,而不用于傳輸數(shù)據(jù)的加密����。數(shù)據(jù)加密的密鑰是在認證成功后動態(tài)生成,系統(tǒng)將保證“一戶一密”���,不存在像WEP那樣全網(wǎng)共享一個加密密鑰的情形���,因此大大地提高了系統(tǒng)的安全性。
2.加密
WPA使用RC4進行數(shù)據(jù)加密����,用臨時密鑰完整性協(xié)議(TKIP)進行密鑰管理和更新。TKIP通過由認證服務器動態(tài)生成分發(fā)的密鑰來取代單個靜態(tài)密鑰�����、把密鑰首部長度從24位增加到48位等方法增強安全性����。而且,TKIP利用了802.1x/EAP構架�。認證服務器在接受了用戶身份后,使用802.1x產(chǎn)生一個惟一的主密鑰處理會話�����。
然后,TKIP把這個密鑰通過安全通道分發(fā)到AP和客戶端����,并建立起一個密鑰構架和管理系統(tǒng),使用主密鑰為用戶會話動態(tài)產(chǎn)生一個惟一的數(shù)據(jù)加密密鑰�����,來加密每一個無線通信數(shù)據(jù)報文����。TKIP的密鑰構架使WEP單一的靜態(tài)密鑰變成了500萬億個可用密鑰。雖然WPA采用的還是和WEP一樣的RC4加密算法�����,但其動態(tài)密鑰的特性很難被攻破���。
= WEP =
有線等效加密(Wired Equivalent Privacy)�,又稱無線加密協(xié)議(Wireless Encryption Protocol)�����,簡稱WEP���,是個保護無線網(wǎng)絡(Wi-Fi)信息安全的體制�。因為無線網(wǎng)絡是用無線電把訊息傳播出去�,它特別容易被竊聽。WEP 的設計是要提供和傳統(tǒng)有線的局域網(wǎng)路相當?shù)臋C密性����,而依此命名的。不過密碼分析學家已經(jīng)找出 WEP 好幾個弱點���,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰��,又在2004年由完整的 IEEE 802.11i 標準(又稱為 WPA2)所取代���。WEP 雖然有些弱點,但也足以嚇阻非專業(yè)人士的窺探了�����。
WEP支持 64 位和128 位加密���,對于 64 位加密�����,加密密鑰為 10 個十六進制字符(0-9 和 A-F)或 5 個 ASCII 字符;對于 128 位加密�,加密密鑰為 26 個十六進制字符或 13 個 ASCII 字符。
WEP已經(jīng)把密碼長度固定死了�����,我們一般選ASCII碼���,密碼可以是數(shù)字��、字母���、或特殊符號,密碼長度只能是5位或則13位���。
如果選十六進制符����,密碼只能是0-9 和 A-F���。
WAP密碼長度8-64�,密碼可以是數(shù)字�����、字母、或特殊符號���。因為沒人會把密碼設到64位,相當是要求密碼8位以上���。
= WPA 和 WPA2 =
WPA 全名為 Wi-Fi Protected Access��,有WPA 和 WPA2兩個標準���,是一種保護無線電腦網(wǎng)路(Wi-Fi)安全的系統(tǒng),它是應研究者在前一代的系統(tǒng)有線等效加密(WEP)中找到的幾個嚴重的弱點而產(chǎn)生 的����。WPA 實作了 IEEE 802.11i 標準的大部分,是在 802.11i 完備之前替代 WEP 的過渡方案����。WPA 的設計可以用在所有的無線網(wǎng)卡上,但未必能用在第一代的無線取用點上���。WPA2 實作了完整的標準�����,但不能用在某些古老的網(wǎng)卡上��。這兩個都提供優(yōu)良的保全能力��,但也都有兩個明顯的問題:
× WPA或WPA2 一定要啟動并且被選來代替 WEP 才有用��,但是大部分的安裝指引都把 WEP 列為第一選擇���。
× 在使用家中和小型辦公室最可能選用的“個人”模式時�,為了保全的完整性�,所需的密語一定要比已經(jīng)教用戶設定的六到八個字元的密碼還長。
IEEE 802.11 所制定的是技術性標準 ,Wi-Fi 聯(lián)盟所制定的是商業(yè)化標準 , 而 Wi-Fi 所制定的商業(yè)化標準基本上也都符合 IEEE 所制定的技術性標準����。 WPA(Wi-Fi Protected Access) 事實上就是由 Wi-Fi 聯(lián)盟所制定的安全性標準 , 這個商業(yè)化標準存在的目的就是為了要支持 IEEE 802.11i 這個以技術為導向的安全性標準。而 WPA2 其實就是 WPA 的第二個版本��。 WPA 之所以會出現(xiàn)兩個版本的原因就在于 Wi-Fi 聯(lián)盟的商業(yè)化運作���。
我們知道 802.11i 這個任務小組成立的目的就是為了打造一個更安全的無線局域網(wǎng) , 所以在加密項目里規(guī)范了兩個新的安全加密協(xié)定 – TKIP 與 CCMP �����。其中 TKIP 雖然針對 WEP 的弱點作了重大的改良 , 但保留了 RC4 演算法和基本架構 , 言下之意 ,TKIP 亦存在著 RC4 本身所隱含的弱點����。因而 802.11i 再打造一個全新、安全性更強��、更適合應用在無線局域網(wǎng)環(huán)境的加密協(xié)定 -CCMP ���。所以在 CCMP 就緒之前 ,TKIP 就已經(jīng)完成了。但是要等到 CCMP 完成 , 再發(fā)布完整的 IEEE 802.11i 標準 , 可能尚需一段時日 , 而 Wi-Fi 聯(lián)盟為了要使得新的安全性標準能夠盡快被布署 , 以消弭使用者對無線局域網(wǎng)安全性的疑慮 , 進而讓無線局域網(wǎng)的市場可以迅速擴展開來 , 因而使用已經(jīng)完成 TKIP 的 IEEE 802.11i 第三版草案 (IEEE 802.11i draft 3) 為基準 , 制定了 WPA �����。而于 IEEE 完成并公布 IEEE 802.11i 無線局域網(wǎng)安全標準后 ,Wi-Fi 聯(lián)盟也隨即公布了 WPA 第 2 版 (WPA 2) �����。所以:
WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP( 選擇性項目 )/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP( 選擇性項目 )/TKIP/CCMP
( 有些無線網(wǎng)路設備中會以 AES ����、 AES-CCMP 的字眼來取代 )
在有些無線網(wǎng)路設備的規(guī)格中會看到像 WPA-Enterprise / WPA2-Enterprise 以及 WPA-Personal / WPA2-Personal 的字眼 , 其實 WPA-Enterprise / WPA2-Enterprise 就是 WPA / WPA2 ; WPA-Personal / WPA2-Personal 其實就是 WPA-PSK / WPA2-PSK, 也就是以 ”pre-share key” 或 ” passphrase” 的驗證 (authentication) 模式來代替 IEEE 802.1X/EAP 的驗證模式 ,PSK 模式下不須使用驗證服務器 ( 例如 RADIUS Server), 所以特別適合家用或 SOHO 的使用者���。
TKIP是 Temporal Key Integrity Protocol(臨時密鑰完整性協(xié)議)的簡稱,是一種加密方法.TKIP提供結合信息完整性檢查和重新按鍵機制的信息包密鑰.
AES是Advanced Encryption Standard(高級加密標準)的簡稱,是 Wi-Fi? 授權的高效加密標準.
WPA-PSK/WPA2-PSK和TKIP或AES使用預先共享密鑰 (PSK),字符長度大于8并且小于6
設置WEP的時候有開放體統(tǒng)和共享密鑰
開放系統(tǒng):若選擇該項�,路由器將采用開放系統(tǒng)方式。此時��,無線網(wǎng)絡內的主機可以在不提供認證密碼的前提下���,通過認證并關聯(lián)上無線網(wǎng)絡�����,但是若要進行數(shù)據(jù)傳輸�����,必須提供正確的密碼��。
共享密鑰:若選擇該項���,路由器將采用共享密鑰方式。此時�����,無線網(wǎng)絡內的主機必須提供正確的密碼才能通過認證�,否則無法關聯(lián)上無線網(wǎng)絡,也無法進行數(shù)據(jù)傳輸。
我想大家感觸還是比較深的����,比如,如果你想連接上搜索出來的某個無線熱點�,可是你提供了錯誤的密碼,如果路由器采用開放系統(tǒng)的話��,那么系統(tǒng)會提示你已經(jīng)關聯(lián)上無線網(wǎng)絡�����,但有限制�����,無法進行數(shù)據(jù)傳輸��。
