WPA對WEP的技術(shù)改進(jìn)

2010年第35期SCIENCE & TECHNOLOGY NFORMATIONOIT論壇O科技信息WPA對WEP的技術(shù)改進(jìn)李棟(新鄉學(xué)院計算機與信息工程學(xué)院河南新鄉453000)[摘要]安全對于無(wú)線(xiàn)局域網(wǎng)領(lǐng)城是一個(gè)嚴峻的話(huà)題。 本文從介紹WEP的加曹過(guò)程出發(fā),詳細分析了WPA對WEP的技術(shù)改進(jìn)。[關(guān)鍵詞]無(wú)線(xiàn)局域網(wǎng);WEP;WPAA Techology Improvement of WPA Base on WEPLI Dong(Departnent of Compoter and Information Engerring Xinxiang University .Xindiang Henan,453000.China)[Abstract]ln Wireles Local Area Network (WILAN) domain, securely is a atem topic. The paper starting from the WEP's proces of encrption,analysizes the technology improvement of WPA base on WEP exhaustively.[Key words]Wireless Local Area Network(WLAN); WEP;WPA的生成過(guò)于簡(jiǎn)單.只是由苊巒鑰和Iv申聯(lián)而成,這種不加變化地使用0引言無(wú)線(xiàn)局域網(wǎng)(WLAN),指采用IEEE制定的一個(gè)通用無(wú)線(xiàn)局城網(wǎng)基密鑰,大大增加了基密例敏破解的可能性.再加上24位的初始化向組計算機和相關(guān)設備|"。它已被廣泛應用量.而且還以明文傳送,攻擊者利用這個(gè)特點(diǎn)很容易破詳出巒文。WEP標準802.11進(jìn)行互聯(lián)的一組計用對密鑰的管理存在缺陷，使用手動(dòng)的方式將共字的需鑰寫(xiě)人WLAN到各行各業(yè)。在有線(xiàn)網(wǎng)絡(luò )中,可以清楚辨別哪臺電腦連接到局城網(wǎng)。而中的每一臺設備， 因此WLAN中所客戶(hù)和接入點(diǎn)APAces Point)WLAN的特點(diǎn)是理論上無(wú)線(xiàn)電波所覆蓋的范圍內的任何一臺電腦都使用的是 相同的單-密鑰，缺乏自動(dòng)的動(dòng)態(tài)的密鑰管理機制?？梢缘顷懟虮O聽(tīng)該尤線(xiàn)網(wǎng)絡(luò )。如果WLAN的安全措施不夠嚴密,很可WPA采用暫時(shí)密鑰完整性協(xié)議TPIK (Temporal Key Integrity能會(huì )遭到非法入侵甚至重要數據救密。因此WLAN的安會(huì )問(wèn)題,也Procol)和 802.1x以及呵擴展認證協(xié)議(EAP)來(lái)增強安全性。TPIK采受到越來(lái)越多的關(guān)注。WPA是Wi-Fi聯(lián)盟提出的-種取代WEP的無(wú)用保護性增強的密鑰序列.雖然仍然采用RC4加密算法,但是在RC4線(xiàn)網(wǎng)絡(luò )加密協(xié)議。WPA繼承了的WEP基本原理而又解決了WEP的的基礎上 進(jìn)行了吏復雜的數據封裝,TPIK把密鑰的長(cháng)度由WEP的40缺點(diǎn)網(wǎng)。從而改善了WLAN的安全性。位提高到128位,并H密鑰由認證服務(wù)器動(dòng)態(tài)生成和分發(fā)。TPIK使用1 WPA 對WEP的技術(shù)改進(jìn)密制分級和有效的密鑰管理的方法,從而使入侵者無(wú)法利用密鑰的可預測性。同時(shí),TPIK還利用802.1x和EAP認證機制增強加巒的安全1.1 WEP 的加密過(guò)程性。認證服務(wù)器認證用戶(hù)后,利用802.1x生成唯-的主密鑰或“聰明WEP即有線(xiàn)對等保密(Wired Equivalent Privacy),它本是一種數據配對“密鑰。TPIK把此巒鑰分發(fā)給客戶(hù)機和AP,用“聰明配對”密鑰為加密算法,用于提供等同于有線(xiàn)局城網(wǎng)的保護能力，但它決不等同于會(huì ) 話(huà)期間傳遞的每個(gè)數據包動(dòng)態(tài)生成一個(gè)唯一的巒鑰來(lái)完成這些數有線(xiàn)網(wǎng)的安全性。WEP的數據幀分為三個(gè)數據項:分別為32bits的IV據包 加密工作,從而建可起密鑰的分級和管理系統。TKIP的密鑰分級數據項，傳輸數據項以及32bit的ICV(即32位循環(huán)校驗碼)。其中IV策略使得 每個(gè)當前的數據包明以使用密鑰敷址達到千萬(wàn)億級。WAP是明文傳送的，而傳輸數據以及ICV是加密的。IV敷據城包含三個(gè)主有效地解決了 WEP中加密算法密鑰過(guò)短、靜態(tài)密鑰和密鑰缺乏管理數據項，分別為24bits的初始化向量Init Vector,2bits的Key ID和等問(wèn)題。 WEP和WAP密鑰的比較如表1所示。6bits的填充數據。WEP所使用的加密算法是基于RC4的序列密碼。囊1 WEP和WAP密鑰比較巒鑰的構成是由共享窬鑰與IV直接連結構成的。WEP的數據的加密主要有三個(gè)步驟:數據幀擴展.密鑰流序列的生成、數據加密三個(gè)部比較內容WEPWPA加密算法RCARC4分,加密過(guò)程生成的密鑰流與明文異或生成密文,密文與IV組合生成加密后的數據幀。WEP 的加密過(guò)程如圖1所示。靜態(tài)-網(wǎng)絡(luò )中所有動(dòng)態(tài)的基于會(huì )話(huà)的需鑰生成，每個(gè)用密鑰生成方式用戶(hù)使用同一密鑰戶(hù) .每個(gè)會(huì )話(huà)每個(gè)數據包I個(gè)密鑰rv制始化崗量密鑰長(cháng)度40位128位虛按觸機密鑰發(fā)放方式人工自動(dòng)明微產(chǎn)生器認證存在缺陷802.1x 和EAP認證1.2.2 數據完整性保護方面WEP規范中使用32位循環(huán)冗余校驗(CRC),但是由于CRC是線(xiàn)+無(wú)量性算話(huà)性運算的特點(diǎn).所以攻擊者利用這個(gè)特點(diǎn).在對數據幀進(jìn)行修改的同時(shí)相應修改CRC位.從而輕易地通過(guò)檢查。圈1 WEP 的加密過(guò)程WAP采用信息完整性代碼MIC(Mssge Integrity Code)來(lái)防止人侵者獲取并修改數據包。使用該機制，發(fā)送者和接受者都會(huì )計算并比1.2 WPA 對WEP的技術(shù)改進(jìn)呵較MIC值,如果發(fā)現兩者不相等.則認為該數據包被修改了,于是將WPA余名為Wi-Fi Prolected Acess,是一種保護無(wú)線(xiàn)電腦網(wǎng)絡(luò )這 個(gè)敷據包丟棄,然后再重新發(fā)送數據包。這樣就可以防止有效的篡們)安全的系統。WPA繼承了WEP基本原理.是在研究前一代的改攻擊以及消息偽造等問(wèn)題。系統有線(xiàn)等效加密(WEP)時(shí)找到的幾個(gè)嚴重的弱點(diǎn)面產(chǎn)生的。具體表1.2.3 身份認證方面現在以下幾個(gè)方面:“、證,在實(shí)際應用中。一1.2.1數據加密方面般將WE中國煤化工，但是這種簡(jiǎn)單的身WEP中是基于RC4的序列加密算法.RC4算法的密鑰空間中存份認證方HCNMHG威脅和拒絕服務(wù)攻擊在大量的羈密鑰。這就在使用密鑰作為RC4算法的輸人時(shí),這就導致的危險。生成的密鑰序列中有相當-部分序列位只由弱密鑰的少數比特位決 WPA的認證分為兩種四、第-種是采用802.1x+EAP的方式,戶(hù)提定,攻擊者可以利用這個(gè)規律臧少破解密鑰的難度。RC4 算法中密鑰供認證所需的憑證， 如用戶(hù)密碼，通過(guò)特定的認證服務(wù)器(一般是萬(wàn)芳數據科技信息OIT論壇OSCTENCE & TECIHNOLOGY NFORMATION2010年第35期RADIUS服務(wù)器)來(lái)實(shí)現。在大中型企業(yè)中,通常使用這種方式。但對簡(jiǎn)單地說(shuō),目前WPA=802.1x+EAP+TKIP+MIC.其中802.1x+EAP于小型企業(yè)網(wǎng)絡(luò )或家庭用戶(hù)來(lái)說(shuō).架設一-臺專(zhuān)用的認證服務(wù)器未免代負責接入認證,TPIK和MIC負責數據加密和完整性校驗。價(jià)過(guò)于昂貴,因此WPA提供.種簡(jiǎn)化模式,它不需嬰專(zhuān)門(mén)的認證服務(wù)2結柬語(yǔ)器。這種方式即為WPA-PSK。在802.1x+FAP方式中，802.1x是一種革于端口的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制WPA為現有的無(wú)線(xiàn)網(wǎng)絡(luò )產(chǎn)品提供了一個(gè)簡(jiǎn)便的開(kāi)級途徑，通過(guò)協(xié)議.嬰求用戶(hù)必須通過(guò)身份認證才能訪(fǎng)向網(wǎng)絡(luò )。802.1x除 「端口訪(fǎng)軟件和固件升級 ,WPA提供了更加強勁的安全加密機制和網(wǎng)絡(luò )接入問(wèn)挖制和身份認證外，還可以進(jìn)行動(dòng)態(tài)密鑰管理。IEE802.1x 采用控制,并 月能支持多種網(wǎng)絡(luò )認證協(xié)議。不過(guò)WPA還只是無(wú)線(xiàn)網(wǎng)絡(luò )安全EAP作為認證協(xié)議,EAP定義了認證過(guò)程中認證消息的傳遞機制。的一個(gè)過(guò)渡方案， 目前IEE正在審議802.111無(wú)線(xiàn)網(wǎng)絡(luò )安全協(xié)議,這802.1x的認證過(guò)程如下:個(gè)協(xié)議包括了高級加巒標準AES (Advanced Eneryption Standard)等安當AP偵剿到一個(gè)客戶(hù)端后，向客戶(hù)端發(fā)送一個(gè)EAPOL(EAP全特性， 它將為無(wú)線(xiàn)網(wǎng)絡(luò )安全提供更高的安全級別。COver LAN)格式封裝的EAP Request-ID俏息，客戶(hù)端收到以后,向AP返間一個(gè)包含有用戶(hù)ID的EAPOL格式封裝的EAPResponse-ID倩[參考文獻]息,該Response你息將敏重新封裝成RADIUS請求數據包，被傳送到[1] 散等蕾.無(wú)線(xiàn)局城網(wǎng)安全機制及其安全性分析m.內蒙古科技與經(jīng)濟，骨F網(wǎng)上.的RADIUS服務(wù)器.然后EAP認證開(kāi)始,在訪(fǎng)問(wèn)服務(wù)器的支2013)375-76.持下，消息在客門(mén)端和RADIUS之間中繼，在客戶(hù)端使用EAPOL協(xié)[2]玉鞠，劉志愚,劉一 蘭.無(wú)線(xiàn)局城網(wǎng)WEP協(xié)議安全隱患分析小，計算機技術(shù)與議,在服務(wù)器嚙使用RADIUS協(xié)議。完成EAP認證后.RADIUS服務(wù)器發(fā)2616856發(fā)出一個(gè)包含有EAP sucss或filue)標志的RADIUS accese acepe[3]錢(qián)進(jìn).無(wú)線(xiàn)局城網(wǎng)技術(shù)與應用M].北京:電子工業(yè)出版杜.004.(或rject)數據包.該敷據包被傳送給客戶(hù)端。如果RADIUS服務(wù)器通[4)金純,無(wú)線(xiàn)網(wǎng)絡(luò )安全:技術(shù)與策略[M北京:電子工業(yè)出版杜,2004.4過(guò)了客戶(hù)端的認證.受控端口將開(kāi)放給客戶(hù)端。在WPA-PSK方式中,僅要求在每個(gè)WI.AN節點(diǎn)(AP.無(wú)線(xiàn)路由怍者簡(jiǎn)介:爭棟(1976- -),陜西威陽(yáng)人,講師,確士,主要研究方向為信島檢器.網(wǎng)k等)頒咒共實(shí)密鑰即可實(shí)現。只要巒鑰吻合.客戶(hù)就可以獲得的訪(fǎng)向權。由于這個(gè)密制僅僅用于認證過(guò)程，而不用于加密過(guò)程,因此[責任編輯:王靜]不會(huì )導致諸如使用密鑰來(lái)進(jìn)行偵共享認證那樣嚴重的安全問(wèn)題。(上接第68頁(yè))成物質(zhì)的XRD講用與NH,Br的原始參照講圖基本重合,只是由于結品方式不同,峰強度稍有不同.由此明判斷反應生成的[1]鄧友全.離f液體 性質(zhì)、制備與應朋M].北京:中網(wǎng)石化出版杜,006.固體確為溴化銨,表明反應按著(zhù)正確的方向進(jìn)行,進(jìn)一步驗證S離子[2]黎子進(jìn)，黃宜華,張維剛，等.離子被體[Hnop]HSO,值化合成乙酸正丁廠(chǎng)魔的動(dòng)液體的組成。力學(xué)研究幾工業(yè)催化,2008.13):45-484.[3 Jonathan 1. Jora, Koichi Mikemi. New chiral idaxoliumo ionice liquide: 3D-3結論network of hydrogen bondingJ,Tetruhedron lttem ,2004.45:4429- 4431.本文采用兩步法合成了離子液體[PMIm]BF.總收率達到92.59%。[4]Nivgai Bicak. A new ionie liquid: 2- hydroxy ethylammonium foatl[]Jourmulof Molecular liquids, 2051161();15-18.并用紅外光講法.元素分析怯.熱重法對其分別進(jìn)行了表征,同時(shí)利用[5]盧澤期， 就霞，處劍,等.咪唑類(lèi)離子被體的合成和光譜表征印.化學(xué)世界，XRD對反應生成的固體NH,Br進(jìn)行了分析.結果表明合成出的物質(zhì)2005 .46(3); 148-150.為[PMlm)BF.并且不易被氧化,熱穩定性好。[責任編輯:翟咸梁](上接第73頁(yè))生PC上安裝了Microeoft XP操作系統.并在XP中安安 裝有網(wǎng)絡(luò )操作系統的慮擬機的PC機來(lái)實(shí)現，而各實(shí)驗組之間的互裝了VMware Workstation 虛撳機，而服務(wù)器操作系統Windows聯(lián)互通 的實(shí)現又構成了整個(gè)廣城網(wǎng)的網(wǎng)絡(luò )模型。2003dvanced Server 和linux安裝在慮椒機VMware Workstation中,學(xué)生叮以在處擬機中的Windows 2003Advanced Server和Linux 配量DNS .DHCP .WINS .Web、FTP.E -mail .NAT 等系列服務(wù).而宿主機XP培養掌握網(wǎng)絡(luò )技術(shù).適座時(shí)代需要的高技能專(zhuān)業(yè)人才,已成為高可以客戶(hù)蠟進(jìn)行實(shí)驗驗證.由于虛擬機中叮安裝多個(gè)操作系統,即使職院校- -項 重要的戰略任務(wù).而基于企業(yè)化應用的網(wǎng)絡(luò )綜合實(shí)驗實(shí)訓是復雜的城挖制器實(shí)驗. -臺PC機即可。中心的建設,不但能夠滿(mǎn)足現有網(wǎng)絡(luò )課程的實(shí)驗課的開(kāi)設,還具備了3.4實(shí)驗環(huán)境能 提供無(wú)線(xiàn)局城網(wǎng)WI.AN的功能。無(wú)線(xiàn)組網(wǎng)技術(shù)的應提供 了完費的企業(yè)網(wǎng)的局城網(wǎng)的模型和廣城網(wǎng)的網(wǎng)絡(luò )模型，具備了網(wǎng)用越來(lái)越廣,在該實(shí)驗室中,還提供I尤線(xiàn)組網(wǎng)方案。采用尤線(xiàn)網(wǎng)卡和絡(luò )綜合實(shí)驗實(shí) 訓中心的功能，為畢業(yè)綜合實(shí)訓提供了具有真實(shí)場(chǎng)最的無(wú)線(xiàn)AP實(shí)現無(wú)線(xiàn)網(wǎng)絡(luò )。通過(guò)該實(shí)驗,學(xué)生們可以在掌拋有線(xiàn)組網(wǎng)的多功能網(wǎng)絡(luò ) 實(shí)訓中心(前提F和銜展尤線(xiàn)組網(wǎng)的力i案, #淀話(huà)運用于實(shí)際組網(wǎng)卅建中。3.5實(shí) 驗環(huán)境能提供網(wǎng)絡(luò )竹理和安全功能。網(wǎng)絡(luò )管理軟件是維護網(wǎng)[鄉考文獻]，絡(luò )系統穩定運行的必不可少的L.具.為廠(chǎng)保證網(wǎng)絡(luò )的高安全性,在實(shí)[1]謝希仁.計算機網(wǎng)絡(luò )M.S 版.北京:電f工業(yè)出版杜:2008.驗網(wǎng)絡(luò )中采用s甕水控制.權限控制.審計跟蹤、加密和認證.交換機[2] 趙乃“與實(shí)現中國管理信息化，和路由器安全控制.靜態(tài)ARP防火壇控制相衲毒防范等各項安全技209.90中國煤化工術(shù)。為了拋高學(xué)生的學(xué)斗興趣和實(shí)踐枝能.實(shí)驗環(huán)境中具有兩臺神州[3}任友俊曲靖師范學(xué)院學(xué)報2007.3敷碼安全抄盒DCSS- 3008.學(xué)生在實(shí)驗過(guò)程中.叮登陸安全沙盒完成(26)52-52THCNMHG盧擬的熙客技術(shù)進(jìn)行網(wǎng)絡(luò )攻擊。{4]劉水剛使兩校網(wǎng)絡(luò )實(shí)驗圣建設與凰用.電屬知識與技術(shù).2010.46);836 -838.3.6幀個(gè)實(shí)驗環(huán)境就足 一個(gè)寵整的企業(yè)化網(wǎng)絡(luò )模型，每個(gè)實(shí)驗組又[責任編輯:常肭飛]可以完成各種成層網(wǎng)絡(luò )的組網(wǎng)和配置,上層網(wǎng)絡(luò )應用服務(wù)完全叮以由91