WPA安全守护WLAN

开篇：润墨网以专业的文秘视角，为您筛选了一篇WPA安全守护WLAN范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

最近，Wi-Fi联盟竭力将基于标准的可互通安全规范推向市场，以求大大提高Wi-Fi无线局域网(wlan)的数据安全和接入控制能力。该规范就是wpa（Wi-Fi Protected Access，Wi-Fi保护接入)。WPA首先要解决的问题，是克服WLAN原先采用的安全机制――WEP的缺陷。WEP是1997年IEEE采用的标准，到2001年，WEP的脆弱性充分暴露出来，即备有适合的工具和中等技术水平的入侵者便能非法接入WLAN。

WPA的推出将使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA用强有力的新的加密算法以及用户认证，满足WLAN的安全需求。WPA是以软件方式实现的，当正确安装时，它将提供高度可靠的安全保证。在实现WPA的情况下，企业可用无线方式为员工提供安全的网络连接，而无需部署VPN之类的附加安全解决方案。WPA还可以使家庭和SOHO用户的网络安全性大大增强。

简析WPA

WPA是基于标准的增强可互通的安全性规范，设计成保护802.11的所有版本，而且其安全性比802.11b和802.11a目前采用的WEP技术更好。WPA由IEEE 802.11i安全规范派生而来，并与其兼容。作为一种软件升级，WPA被设计成在现有的WLAN硬件上运行。当安装就绪时，它将为WLAN用户提供高质量的数据保护，并确保只有经授权的网络用户才能接入网络。

网络安全的要求取决于网络业务量以及交换信息和运行应用程序的安全等级。尽管专业用户一般要求企业级安全，以保证从事机密性业务的安全性，但业务量小的家庭用户，他们一般运行网络打印、共享文件、上网冲浪或收发电子邮件，对安全性的要求并不像专业用户那样严格。因此，WPA被设计成能满足企业和家庭等不同用户需求的方式运行。

WPA的一个突出优点是，它被设计成能使现有的Wi-Fi合格产品实现升级的软件，这意味着在大多数情况下，现有的WLAN产品无需替换。所以，如果用户已使用Wi-Fi合格产品，其供应商也能送给用户相应的升级软件。如果用户欲购买新的Wi-Fi产品，便可期待既符合Wi-Fi要求，又包含WPA安全性的产品。

WPA设计要实现这样几个目标：即互通性强、能替换WEP、对现有的Wi-Fi合格产品能进行软件升级、能应用于大型企业和家庭用户。WPA最终将完全取代WEP。

WAP的安全机制

WPA安全机制是相对于WEP的缺陷而言的。WEP使用位数较短的40位公共密钥开始加密，在通过接入点（AP）连接的所有客户机上，以人工方式输入这40位密钥。除非在所有的装置上输入新密钥，否则必须一次次输入原来的密钥，由此产生繁重的加密任务。WEP还缺乏认证手段，无法确认用户凭证，这难以保证接入网络的用户都是合法的。

WPA则不同，它利用瞬间密钥完整性协议(TKIP)加密和802.1x，以及可扩展认证协议(EAP)作为认证机制，其安全性比WEP要强得多(见附表)。WPA的安全性源于它采用一种增强型加密模式，即瞬时密钥完整性协议(TKIP)。与802.1x/EAP相结合，TKIP采用保护性增强的密钥序列。它还增加了信息完整性验证(MIC)，以阻止伪造数据包。

从附表可知，TKIP将密钥长度由40位增加到128位，并用认证服务器动态生成和分发的密钥取代WEP的单一静态密钥。TKIP使用密钥序列和密钥管理法，从而使入侵者无法利用WEP密钥的可预测性。

同时，TKIP利用802.1x/EAP认证机制增强加密的安全性(见图1)。认证服务器认可用户凭证后，利用802.1x生成惟一的主密钥或“聪明配对”密钥。TKIP把此密钥分发给客户机和AP，并建立密钥序列和管理系统，由此用“聪明配对”密钥动态生成独特的数据加密密钥， 为用户会话期间以无线方式通信的每个数据包加密。

通过扩展密钥的长度，增加利用密钥的数量，并创建完整性验证机制，TKIP增大了在Wi-Fi网络上解码数据所蕴含的复杂性和难度，使入侵者更难以侵入网络。

WPA与企业用户

对于企业网来说，实现Wi-Fi接入保护将涉及到802.1x基础设施的部署（图2）。这意味着在以下几个方面要进行选择或升级。

选择支持客户机NIC和认证服务器的EAP类型。

选择和部署认证服务器，一般选用RADIUS（远程认证拨入用户服务）服务器。

用Wi-Fi保护接入升级AP，或购买已安装WPA软件的新AP。

用Wi-Fi软件升级WLAN客户机的NIC，或购买已安装WPA软件的新无线NIC。

WPA与SOHO用户

SOHO（小型办公室和家庭办公室）环境中的用户，缺乏资金以及安装和维护认证服务器的IT管理人员。针对这一特点，WPA以“预先共享密钥”(PSK)或密码的特殊方式，来保证这些用户系统的安全。

PSK给SOHO用户同样提供TKIP加密、每数据包密钥结构、以及密钥管理。它与企业认证的不同之处在于，以人工方式在客户机和AP或无线网关上输入密码，并用于认证(图3)。尽管不像认证服务器、EAP和802.1x认证方法那样完善，但PSK对较小的网络提供了替代WEP的一种有效安全手段。

在SOHO环境中升级到Wi-Fi保护接入简单易行，用户既可以购买实现WPA的新设备，也可以升级现有的设备。对于大多数用户来说，这种升级与安装非常容易，主要步骤如下。

用WPA软件升级AP。

用WPA软件升级WLAN网络接口卡。

在AP上配置PSK或主密钥。

在客户机上配置PSK。

从WPA到WPA2

WPA是IEEE 802.11i标准的子集，它只是实现该标准的部分特性，而其所有特性的全部实现称之为WAP2。WPA2除采用TKIP加密、802.1x/EAP认证和PSK技术外，还将提供AES（高级加密标准）这种新的加密模式，利用128、192或256位可变长度密钥实现强加密。

与WPA一样，WPA2将利用802.1x/EAP认证框架，成为保证集中式相互认证和动态密钥管理的基础结构的一部分，并提供在SOHO环境中使用的预先共享密钥。WPA2还被设计成保证所有802.11版本的安全，包括802.11b、802.11a和802.11g等。但是，构建新的WLAN的企业将看中AES的加密特性。在实现了WPA的装置上部署WPA2的AES加密可能要求硬件升级，而 802.1x认证、TKIP加密以及WPA的PSK认证，将使这两种规范能够完全兼容。

WPA2对WPA升级提供转移途径。WPA2提供支持WPA和WPA2客户机的“混合模式”。这将使不准备在短期内升级的企业实现从容有序的转移。

市场开拓步伐

在2003年的太平洋电信委员会上，Wi-Fi联盟公布了WPA 取代WEP的解决方案。ITU-T新的中心组正在进一步研究，即将批准业界就WLAN产品支持WPA而提出的一系列建议。据Wi-Fi联盟透露，大多数厂商将对现有的产品提供固件和软件升级，使之能够支持WPA这一新的安全技术。

WPA规范将与现有的Wi-Fi产品兼容，包括802.11b、802.11a和新的802.11g。因此，WPA将涵盖目前推向市场的大多数WLAN硬件和软件产品，对已有的设备投资和管理成本的影响极小。在2003年第1季度，WPA已率先用在了Wi-Fi合格产品中。目前，不少WLAN厂商表示了对WPA的支持，例如TI、Broadcom、Interlink、Intersil、Funk和Atmel等10余家公司已经宣布支持WPA，或在未来升级其产品，以支持这一新标准。

Interlink网络公司目前设计的主打软件产品支持WPA和WEP两种标准。对于WLAN用户的认证，该公司提供Secure.XS WLAN安全软件；对于混合网络中的用户认证，包括拨号、有线LAN和WLAN连接，该公司提供RADIUS服务器。

Broadcom公司在硬件中实现了AES(高级加密标准)，大大提高了产品的安全性，并演示了WPA实现的高性能数据吞吐率。Broadcom产品被Wi-Fi联盟选中，用在标准试验床中，并用做衡量所有其他产品互通性的标准。Broadcom作为验证WPA的首批厂商之一，率先为用户提供包含WPA规范的产品。

在Broadcom的支持下，Microsoft为Windows XP用户开发出了升级软件，而Broadcom也正在为Windows 2000/98和其他操作系统开发升级软件。

鉴于厂商积极参与WPA应用的开发，Wi-Fi联盟于2003年第2季度开始了互通性试验，以此推动各厂商WLAN产品之间的相互兼容。另据业界透露，802.11i标准有望在2003年底颁布，2004年初步开始互通性测试。2004年第2季度，WPA2产品将被推向市场。到那时，WPA2会实现支持802.11i标准要求的所有目标。届时，安全性得到飞跃性提升的WLAN技术，将加快其市场开拓的步伐。