http://www./article.asp?id=205
http://itbbs.pconline.com.cn/network/10205164.html
WPA����、WEP對(duì)比
WPA和WEP傳輸數(shù)據(jù)都要進(jìn)行兩個(gè)過程:驗(yàn)證和加密數(shù)據(jù)。
在家用無線路由器設(shè)置里�,無論你選WEP還是WAP,都需要輸入密鑰�����。對(duì)WEP來說����,這個(gè)密鑰既用來驗(yàn)證身份,允許PC接入�����,又用來加密傳輸?shù)臄?shù)據(jù)。而對(duì)WAP來說���,輸入的密鑰至用來驗(yàn)證身份��,而加密數(shù)據(jù)用地密鑰則由無線路由器生成���,并通過特別的安全通道傳輸?shù)絇C。這個(gè)加密數(shù)據(jù)的密鑰無線路由器可自動(dòng)定期(幾小時(shí))更換�����。
WPA與WEP不同����,WEP使用一個(gè)靜態(tài)的密鑰來加密所有的通信。WPA不斷的轉(zhuǎn)換密鑰���。WPA采用有效的密鑰分發(fā)機(jī)制�����,可以跨越不同廠商的無線網(wǎng)卡實(shí)現(xiàn)應(yīng)用��。另外WPA的另一個(gè)優(yōu)勢是�,它使公共場所和學(xué)術(shù)環(huán)境安全地部署無線網(wǎng)絡(luò)成為可能。而在此之前����,這些場所一直不能使用WEP。WEP的缺陷在于其加密密鑰為靜態(tài)密鑰而非動(dòng)態(tài)密鑰��。這意味著��,為了更新密鑰����,IT人員必須親自訪問每臺(tái)機(jī)器����,而這在學(xué)術(shù)環(huán)境和公共場所是不可能的。另一種辦法是讓密鑰保持不變�����,而這會(huì)使用戶容易受到攻擊�。由于互操作問題,學(xué)術(shù)環(huán)境和公共場所一直不能使用專有的安全機(jī)制�。
根據(jù)這兩種不同的應(yīng)用模式�����,WPA的認(rèn)證也分別有兩種不同的方式�。對(duì)于大型企業(yè)的應(yīng)用�,常采用“802.1x+ EAP”的方式,用戶提供認(rèn)證所需的憑證���。但對(duì)于一些中小型的企業(yè)網(wǎng)絡(luò)或者家庭用戶�,WPA也提供一種簡化的模式���,它不需要專門的認(rèn)證服務(wù)器���。這種模式叫做“WPA預(yù)共享密鑰(WPA-PSK)”,它僅要求在每個(gè)WLAN節(jié)點(diǎn)(AP�����、無線路由器����、網(wǎng)卡等)預(yù)先輸入一個(gè)密鑰即可實(shí)現(xiàn)。
這個(gè)密鑰僅僅用于認(rèn)證過程�,而不用于傳輸數(shù)據(jù)的加密���。數(shù)據(jù)加密的密鑰是在認(rèn)證成功后動(dòng)態(tài)生成,系統(tǒng)將保證“一戶一密”�����,不存在像WEP那樣全網(wǎng)共享一個(gè)加密密鑰的情形��,因此大大地提高了系統(tǒng)的安全性�����。
1.認(rèn)證
WEP是數(shù)據(jù)加密算法�,它不完全等同于用戶的認(rèn)證機(jī)制,WPA用戶認(rèn)證是使用802.1x和擴(kuò)展認(rèn)證協(xié)議(Extensible Authentication Protocol���,EAP)來實(shí)現(xiàn)的。
WPA考慮到不同的用戶和不同的應(yīng)用安全需要���,例如:企業(yè)用戶需要很高的安全保護(hù)(企業(yè)級(jí))�,否則可能會(huì)泄露非常重要的商業(yè)機(jī)密�;而家庭用戶往往只是使用網(wǎng)絡(luò)來瀏覽 Internet、收發(fā)E-mail�����、打印和共享文件,這些用戶對(duì)安全的要求相對(duì)較低�����。為了滿足不同安全要求用戶的需要��,WPA中規(guī)定了兩種應(yīng)用模式���。
● 企業(yè)模式:通過使用認(rèn)證服務(wù)器和復(fù)雜的安全認(rèn)證機(jī)制���,來保護(hù)無線網(wǎng)絡(luò)通信安全。
● 家庭模式(包括小型辦公室):在AP(或者無線路由器)以及連接無線網(wǎng)絡(luò)的無線終端上輸入共享密鑰����,以保護(hù)無線鏈路的通信安全。
根據(jù)這兩種不同的應(yīng)用模式��,WPA的認(rèn)證也分別有兩種不同的方式�。對(duì)于大型企業(yè)的應(yīng)用,常采用“802.1x+ EAP”的方式�����,用戶提供認(rèn)證所需的憑證。但對(duì)于一些中小型的企業(yè)網(wǎng)絡(luò)或者家庭用戶�,WPA也提供一種簡化的模式,它不需要專門的認(rèn)證服務(wù)器�。這種模式叫做“WPA預(yù)共享密鑰(WPA-PSK)”,它僅要求在每個(gè)WLAN節(jié)點(diǎn)(AP����、無線路由器、網(wǎng)卡等)預(yù)先輸入一個(gè)密鑰即可實(shí)現(xiàn)�。
這個(gè)密鑰僅僅用于認(rèn)證過程,而不用于傳輸數(shù)據(jù)的加密���。數(shù)據(jù)加密的密鑰是在認(rèn)證成功后動(dòng)態(tài)生成�����,系統(tǒng)將保證“一戶一密”��,不存在像WEP那樣全網(wǎng)共享一個(gè)加密密鑰的情形���,因此大大地提高了系統(tǒng)的安全性����。
2.加密
WPA使用RC4進(jìn)行數(shù)據(jù)加密�,用臨時(shí)密鑰完整性協(xié)議(TKIP)進(jìn)行密鑰管理和更新��。TKIP通過由認(rèn)證服務(wù)器動(dòng)態(tài)生成分發(fā)的密鑰來取代單個(gè)靜態(tài)密鑰�����、把密鑰首部長度從24位增加到48位等方法增強(qiáng)安全性��。而且�,TKIP利用了802.1x/EAP構(gòu)架。認(rèn)證服務(wù)器在接受了用戶身份后��,使用802.1x產(chǎn)生一個(gè)惟一的主密鑰處理會(huì)話�。
然后,TKIP把這個(gè)密鑰通過安全通道分發(fā)到AP和客戶端����,并建立起一個(gè)密鑰構(gòu)架和管理系統(tǒng),使用主密鑰為用戶會(huì)話動(dòng)態(tài)產(chǎn)生一個(gè)惟一的數(shù)據(jù)加密密鑰���,來加密每一個(gè)無線通信數(shù)據(jù)報(bào)文��。TKIP的密鑰構(gòu)架使WEP單一的靜態(tài)密鑰變成了500萬億個(gè)可用密鑰����。雖然WPA采用的還是和WEP一樣的RC4加密算法,但其動(dòng)態(tài)密鑰的特性很難被攻破���。
= WEP =
有線等效加密(Wired Equivalent Privacy)���,又稱無線加密協(xié)議(Wireless Encryption Protocol),簡稱WEP�,是個(gè)保護(hù)無線網(wǎng)絡(luò)(Wi-Fi)信息安全的體制。因?yàn)闊o線網(wǎng)絡(luò)是用無線電把訊息傳播出去����,它特別容易被竊聽。WEP 的設(shè)計(jì)是要提供和傳統(tǒng)有線的局域網(wǎng)路相當(dāng)?shù)臋C(jī)密性����,而依此命名的。不過密碼分析學(xué)家已經(jīng)找出 WEP 好幾個(gè)弱點(diǎn)���,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰����,又在2004年由完整的 IEEE 802.11i 標(biāo)準(zhǔn)(又稱為 WPA2)所取代��。WEP 雖然有些弱點(diǎn),但也足以嚇阻非專業(yè)人士的窺探了�。
WEP支持 64 位和128 位加密��,對(duì)于 64 位加密��,加密密鑰為 10 個(gè)十六進(jìn)制字符(0-9 和 A-F)或 5 個(gè) ASCII 字符;對(duì)于 128 位加密�����,加密密鑰為 26 個(gè)十六進(jìn)制字符或 13 個(gè) ASCII 字符�����。
WEP已經(jīng)把密碼長度固定死了�,我們一般選ASCII碼,密碼可以是數(shù)字�����、字母���、或特殊符號(hào)��,密碼長度只能是5位或則13位��。
如果選十六進(jìn)制符�����,密碼只能是0-9 和 A-F����。
WAP密碼長度8-64,密碼可以是數(shù)字���、字母���、或特殊符號(hào)。因?yàn)闆]人會(huì)把密碼設(shè)到64位��,相當(dāng)是要求密碼8位以上��。
= WPA 和 WPA2 =
WPA 全名為 Wi-Fi Protected Access����,有WPA 和 WPA2兩個(gè)標(biāo)準(zhǔn),是一種保護(hù)無線電腦網(wǎng)路(Wi-Fi)安全的系統(tǒng)����,它是應(yīng)研究者在前一代的系統(tǒng)有線等效加密(WEP)中找到的幾個(gè)嚴(yán)重的弱點(diǎn)而產(chǎn)生 的�。WPA 實(shí)作了 IEEE 802.11i 標(biāo)準(zhǔn)的大部分����,是在 802.11i 完備之前替代 WEP 的過渡方案。WPA 的設(shè)計(jì)可以用在所有的無線網(wǎng)卡上�,但未必能用在第一代的無線取用點(diǎn)上��。WPA2 實(shí)作了完整的標(biāo)準(zhǔn)���,但不能用在某些古老的網(wǎng)卡上�����。這兩個(gè)都提供優(yōu)良的保全能力����,但也都有兩個(gè)明顯的問題:
× WPA或WPA2 一定要啟動(dòng)并且被選來代替 WEP 才有用��,但是大部分的安裝指引都把 WEP 列為第一選擇���。
× 在使用家中和小型辦公室最可能選用的“個(gè)人”模式時(shí)�,為了保全的完整性�����,所需的密語一定要比已經(jīng)教用戶設(shè)定的六到八個(gè)字元的密碼還長。
IEEE 802.11 所制定的是技術(shù)性標(biāo)準(zhǔn) ,Wi-Fi 聯(lián)盟所制定的是商業(yè)化標(biāo)準(zhǔn) , 而 Wi-Fi 所制定的商業(yè)化標(biāo)準(zhǔn)基本上也都符合 IEEE 所制定的技術(shù)性標(biāo)準(zhǔn)�。 WPA(Wi-Fi Protected Access) 事實(shí)上就是由 Wi-Fi 聯(lián)盟所制定的安全性標(biāo)準(zhǔn) , 這個(gè)商業(yè)化標(biāo)準(zhǔn)存在的目的就是為了要支持 IEEE 802.11i 這個(gè)以技術(shù)為導(dǎo)向的安全性標(biāo)準(zhǔn)。而 WPA2 其實(shí)就是 WPA 的第二個(gè)版本�����。 WPA 之所以會(huì)出現(xiàn)兩個(gè)版本的原因就在于 Wi-Fi 聯(lián)盟的商業(yè)化運(yùn)作��。
我們知道 802.11i 這個(gè)任務(wù)小組成立的目的就是為了打造一個(gè)更安全的無線局域網(wǎng) , 所以在加密項(xiàng)目里規(guī)范了兩個(gè)新的安全加密協(xié)定 – TKIP 與 CCMP ��。其中 TKIP 雖然針對(duì) WEP 的弱點(diǎn)作了重大的改良 , 但保留了 RC4 演算法和基本架構(gòu) , 言下之意 ,TKIP 亦存在著 RC4 本身所隱含的弱點(diǎn)�。因而 802.11i 再打造一個(gè)全新、安全性更強(qiáng)���、更適合應(yīng)用在無線局域網(wǎng)環(huán)境的加密協(xié)定 -CCMP ��。所以在 CCMP 就緒之前 ,TKIP 就已經(jīng)完成了�。但是要等到 CCMP 完成 , 再發(fā)布完整的 IEEE 802.11i 標(biāo)準(zhǔn) , 可能尚需一段時(shí)日 , 而 Wi-Fi 聯(lián)盟為了要使得新的安全性標(biāo)準(zhǔn)能夠盡快被布署 , 以消弭使用者對(duì)無線局域網(wǎng)安全性的疑慮 , 進(jìn)而讓無線局域網(wǎng)的市場可以迅速擴(kuò)展開來 , 因而使用已經(jīng)完成 TKIP 的 IEEE 802.11i 第三版草案 (IEEE 802.11i draft 3) 為基準(zhǔn) , 制定了 WPA �����。而于 IEEE 完成并公布 IEEE 802.11i 無線局域網(wǎng)安全標(biāo)準(zhǔn)后 ,Wi-Fi 聯(lián)盟也隨即公布了 WPA 第 2 版 (WPA 2) ��。所以:
WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP( 選擇性項(xiàng)目 )/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP( 選擇性項(xiàng)目 )/TKIP/CCMP
( 有些無線網(wǎng)路設(shè)備中會(huì)以 AES 、 AES-CCMP 的字眼來取代 )
在有些無線網(wǎng)路設(shè)備的規(guī)格中會(huì)看到像 WPA-Enterprise / WPA2-Enterprise 以及 WPA-Personal / WPA2-Personal 的字眼 , 其實(shí) WPA-Enterprise / WPA2-Enterprise 就是 WPA / WPA2 �����; WPA-Personal / WPA2-Personal 其實(shí)就是 WPA-PSK / WPA2-PSK, 也就是以 ”pre-share key” 或 ” passphrase” 的驗(yàn)證 (authentication) 模式來代替 IEEE 802.1X/EAP 的驗(yàn)證模式 ,PSK 模式下不須使用驗(yàn)證服務(wù)器 ( 例如 RADIUS Server), 所以特別適合家用或 SOHO 的使用者�。
TKIP是 Temporal Key Integrity Protocol(臨時(shí)密鑰完整性協(xié)議)的簡稱,是一種加密方法.TKIP提供結(jié)合信息完整性檢查和重新按鍵機(jī)制的信息包密鑰.
AES是Advanced Encryption Standard(高級(jí)加密標(biāo)準(zhǔn))的簡稱,是 Wi-Fi? 授權(quán)的高效加密標(biāo)準(zhǔn).
WPA-PSK/WPA2-PSK和TKIP或AES使用預(yù)先共享密鑰 (PSK),字符長度大于8并且小于6
設(shè)置WEP的時(shí)候有開放體統(tǒng)和共享密鑰
開放系統(tǒng):若選擇該項(xiàng),路由器將采用開放系統(tǒng)方式��。此時(shí)�,無線網(wǎng)絡(luò)內(nèi)的主機(jī)可以在不提供認(rèn)證密碼的前提下��,通過認(rèn)證并關(guān)聯(lián)上無線網(wǎng)絡(luò)���,但是若要進(jìn)行數(shù)據(jù)傳輸�����,必須提供正確的密碼�����。
共享密鑰:若選擇該項(xiàng)��,路由器將采用共享密鑰方式�。此時(shí),無線網(wǎng)絡(luò)內(nèi)的主機(jī)必須提供正確的密碼才能通過認(rèn)證�,否則無法關(guān)聯(lián)上無線網(wǎng)絡(luò),也無法進(jìn)行數(shù)據(jù)傳輸��。
我想大家感觸還是比較深的��,比如�����,如果你想連接上搜索出來的某個(gè)無線熱點(diǎn)����,可是你提供了錯(cuò)誤的密碼,如果路由器采用開放系統(tǒng)的話���,那么系統(tǒng)會(huì)提示你已經(jīng)關(guān)聯(lián)上無線網(wǎng)絡(luò)�����,但有限制�,無法進(jìn)行數(shù)據(jù)傳輸�。
