EDN China > 其它文章 > 通信 > 网络传输与交换 > 正文
? 2016博客大赛-不限主题,寻找电子导师,大奖升级??

Wi-Fi安全访问(WPA)如何实现安全性?

Jon A. LaRosa?? Meeting-house 数据通信工程协会会长 IEEE802.11i委员会成员?? 2003年09月12日 ?? 收藏0
Wi-Fi安全访问(WPAWi-Fi Protected Access)可堵住有线等效保密(WEP,Wired Equivalent Privacy)协议中众所周知的多数漏洞,并首次用于构筑计划建立的无线基础设施网络。这种基础设施包括基站、接入点以及验证服务器(典型的RADIUS服务器)。RADIUS服务器持有(或能访问)用户身份(例如用户名和口令),并且在他们访问网络之前鉴别无线用户。 802
图1? 802.1X验证
  WPA的强势在于它包含了802.1X/EAP验证、成熟的密钥管理和密码编制技术等一系列操作。主要的操作包括:
  ●?网络安全性能评估。它将发生在802.11层次上,并且通过信标、探针响应和 (Re) 联合请求中的WPA信元进行通信。这些元件中的信息包括验证方式(802.1X或预分配密钥)和优选密码组(WEP、TKIP或AES)。
  ●?验证。采用EAP over 802.1X方法。相互验证是通过选择支持该功能的EAP类型而实现的,也是WPA所要求的。802.1X端口访问控制可阻止网络接入直到验证完成。WPA 采用802.1X EAPOL密

钥包为基站分配每个区的密钥,以便它们能够进行成功的验证。
  ●?密钥管理。WPA是一个功能强大的密钥发生/密钥管理系统,兼有验证和数据保密的功能。当验证成功并通过随后基站和接入点(AP)之间的4次握手以后,就会产生密钥。
  ●?数据保密(加密)。临时密钥完整性协议(TKIP,Temporal Key Integrity Protocol) 用于将WEP包裹于复杂的加密和安全技术,来弥补它的大部分漏洞。
  ●?数据完整性。在每个纯文本消息的末端,TKIP包括消息完整性编码(MIC),从而保证消息不会出错。 WPA密钥体系
图2?? WPA密钥体系
  确定网络能力的功能基于信标、探针响应和(Re)联合请求帧中802.11格式的改变。如图1所示,这些802.11帧现在WPA信元中的包含有网络功能信息。在信标帧中携带的主要信息是验证方法和密码组。可能的验证方法还包括802.1X和预分配密钥。预分配密钥是一种利用基站和接入点的静态配置的通行短语。这种方法消除了对验证服务器的需要,对于大多数家庭和小型办公室环境,验证服务器都是无法利用的,也是不必要的。可能的密码组包括:WEP、TKIP以及AES(先进加密标准)。提到数据保密,在下面我们将更多地涉及TKIP和AES。
  基站请求者利用包含在信元中的验证和密码组信息确定所要使用的验证方法和密码组。例如,如果接入点正在使用预分配密钥方法,那么请求者不需要使用完全的802.1X进行验证,而只需简单地证明接入点拥有预分配密钥。如果请求者检测到服务集合不包含WPA信元,那么它便会知道必须使用预备802.1X验证和密钥管理,以便接入网络。
?如图1所示,WPA的验证过程主要依照802.1X/EAP。(重复一下:小型办公室或家庭环境易于布设预分配密钥方法)。在这种模式下,WPA被限制于EAP方法,该方法支持请求者和验证服务器之间的相互验证,如TLS、TTLS、LEAP和PEAP。端口接入控制要设法维持由802.1X 通过的"验证成功"状态。
  在相互验证的过程中,基站和RADIUS服务器均会产生一个成对主控密钥(PMK,Pairwise Master Key),而且RADIUS服务器通过一条安全的信道将PMK发送到AP。同WPA 802.1X验证相比,这种方法并没有本质区别,二者的区别只在于:PMK决不直接与加密或散列(hashing)功能一起使用,而是首先用它来产生临时密钥。这种临时密钥随后用于加密或散列功能。正如前面所述的那样,由于较弱的密钥攻击力,使用临时密钥是非常重要的。成对主控密钥决不会包含在用于加密的密钥数据流当中,这有助于抵御任何不太强大的密钥攻击。


?? ?? ??


打开微信“扫一扫”,打开网页后点击屏幕右上角分享按钮

1.扫描左侧二维码
2.点击右上角的分享按钮
3.选择分享给朋友
?? ??

Wi-Fi? 安全性? WPA?

相关文章

我来评论
美国的游客
美国的游客 ??? (您将以游客身份发表,请登录 | 注册)
?
有问题请反馈