无线局域网安全协议的分析

　　802.11i协议已于今年6月被IEEE批准为正式的WLAN安全标准，但由于Wi-Fi联盟要对符合该标准的各种设备进行通用性测试等一系列认证，故有望在年底推广应用，这一举措将彻底弥补WEP的安全漏洞。然而，很多企业迫不及待的需要一个安全协议。正是由于这种迫切需要，在推出802.11i之前，Wi-Fi联盟发布了一个过渡协议WPA，它可以看作是802.11i的一个简本。WPA主要完成了以下工作：解决了WEP的主要安全问题，尤其是它在共享密钥上的漏洞；添加了用户级的认证措施；解决了系统的升级问题，传统的802.11b的接入点和无线网卡只需要简单的软、硬件升级，就可以应用WPA协议了。

　　WPA用新算法解决了WEP在加密和数据校验上的缺陷。这些算法就是TKIP和Michael。TKIP的设计一方面利用了传统接入点中RC4算法的硬件加速性能，一方面又避免了WEP的缺陷。TKIP的主要优点就在于它采用了密钥轮转，针对每一个包它都改变密钥，同时把初始矢量的大小加倍，这样使得网络更安全。因为如果初始矢量很短，并且可被预测，再加上使用静态密钥，无疑给攻击者打开方便之门。 Michael则是完成数据校验的MIC算法。一个MIC就是一段密文摘要。Michael算法允许WPA系统检查攻击者是否修改了数据包企图欺骗系统。因为现有的很多802.11b的网络接口卡和接入点的处理能力都比较低，因此Michael算法专门针对低运算能力进行了设计。也正因为如此，Michael所能提供的安全保证比同类校验算法要低一些。不过，即使这样，也远远好于WEP协议使用的CRC算法。接入点在收到包时，会采用Michael策略来进行处理。一旦它发现有两个包都没有通过某个共享密钥的Michael算法校验，那么它就会断开这一连接，同时等候一分钟，再创建一个新的连接。然而这一策略又会让入侵者发起另一种恶意攻击，那就是“拒绝服务”类型的攻击。攻击者会故意发送一些包让他们无法通过Michael算法校验，这样会引起接入点断掉某一用户的连接。如果不断发起这种攻击，攻击者就能使接入点长期处于下线状态。即使这样，Michael算法也比没有安全保证要好，虽然攻击者可以切断某个接入点，但Michael防止了攻击者进入网络内部从而造成更大的伤害。

　　WPA还使用802.1x标准弥补了WEP的另一个缺陷，那就是它缺乏一种用户和网络间的认证。

　　802.1x标准在两个终端间定义了一个扩展的认证协议和一个加密协议EAPOL(Extensible Authentication Protocolover LAN)，这个协议可以实现用户到网络的认证。然而EAP最初是为有线网络设计的，它首先假定网络和终端设备间的物理连接是安全可靠的，因此它对防止窃听几乎无能为力。所以在WLAN中，终端和网络间的链路需要加密保护，EAP-TLS(EAP over Transport Level Security)和PEAP(Protected EAP)等隧道协议提供了这种必需的加密保护。 TLS是安全套接字协议的继承者，后者被广泛应用于Web服务中，来保护信息安全。EAP-TLS是对TLS的一个补充，它在用户和服务站点间使用数字证书来实现认证。虽然在大多数情况下，WEP将会升级为WPA，但这两种协议并不能共存。WPA的硬件如果安装在非WPA接入点或者网络接口卡中，它将退化为一个WEP硬件。WPA有一个操作模式允许WPA系统和WEP系统使用同样的广播密钥，在这种模式下，工作人员应该对WPA进行配置，防止同时使用WPA和WEP进行操作。802.11i协议构成

　　802.11i协议包括WPA和RSN两部分。WPA我们在前面已经作了详述。RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x和EAP，加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步，不断提供保护无线局域网传输信息所需要的安全性。　　

　　协议间的过渡问题

　　企业在众多安全协议中做出选择后，接下来就面临着从WEP到WPA，再到802.11i的软、硬件问题了。在2003年秋，Wi-Fi规定新的802.11b硬件必须支持WPA才能获得联盟的认证。WPA在设计之初就考虑了系统升级问题，因
此传统的接入点和无线网卡只需进行简单的升级，理论上就能升级为WPA系统。但在实际应用中，可能不尽如人意。且不说一个企业的接入点是否能进行软件升级，单单从WPA的算法的复杂性来说，就远远高于WEP，这就需要设备有更强的处理能力，如果不引入更多的终端设备来分担处理任务的话，将会导致系统性能下降。这对使用WLAN的企业来说是不能接受的，因此，若想使用WPA，不仅要升级软件，还需要更新硬件设备。

　　在软件方面，企业需要操作系统支持WPA，这主要是要求操作系统能够对WPA设备正确设置数据包的格式，同时还能在用户和网络接口卡间传递802.1x的认证信息。在使用WPA协议的网络上，用户还需要安装802.1x认证的客户端软件，这个软件给用户提供了一个接口来配置和管理802.1x的认证信息，例如数字证书和口令等。仅仅用户配置了信息还不够，在网络上还需要一个RADIUS服务器来完成认证，该服务器要支持EAP和EAPOL标准。

　　从某种程度上说，针对WLAN的设计、维护网络安全远比在有线网络上复杂得多，也就是说需要更多的经济投入。但是如果企业很重视安全问题，又需要WLAN这种环境的灵活性，那么它必须在安全性和经济性之间找到平衡点。总的来说，从WEP过渡到WPA，可以使WLAN暂时处于更安全的保护下，同时，这也为将来采用802.11i做好了准备。

　　目前企业该如何选择安全协议

尽管WEP,WPA和802.11i看似界限清晰，但却有继承关系，企业可以通过逐步升级来使自己的无线局域网更加健壮安全。当然，对有些使用WLAN的企业来说，它们更喜欢一种跳跃式发展。这样，网络管理者面临的最基本的问题，就是选择等待802.11i的出台或是现在就应用WPA。考虑到WPA之后紧接着就是802.11i标准，那么现在采用WPA是否值得呢？答案是肯定的，因为对WLAN的安全袭击所造成的潜在损失实在太大了，我们无法知道等待802.11i出台期间会发生什么样的安全问题；而且，从WPA到802.11i具有很好的可移植性，802.11i对WPA向后兼容，即WPA的硬件和软件将继续与802.11i的硬件一起工作。802.11i在2004年年底将成为WLAN的最终安全标准，其相应的产品也会随后出现。但对大多数企业来说，现在使用WPA就已经足够了。WPA致力于解决WEP面临的所有问题，包括对AirSnort和WEPCrack这样的免费软件的攻击。如果一个企业想在WLAN上保证安全，WPA是一个明智的选择，即使在802.11i发布后它仍值得继续使用。

对于WEP来说，它作为目前应用最广泛的WLAN安全协议，还远远不能保证WLAN的安全，那么它是否就一无是处呢？还有，如果你的无线设备并不支持WPA，能先用WEP吗？答案是，如果恰当使用WEP，它也可以在一定程度上降低网络被入侵的可能性。

　　虽然WLAN技术在不断发展，但大多数安全专家还是主张将WLAN建立在企业核心系统网络之外，WLAN用户必须通过VPN才能访问网络内部。目前，Ipsec VPN仍是部署最为广泛的平台，为有线与无线客户设备和远程主机进行验证并提供安全访问，有效地保护着企业的内部资源。

　　即使最近的802.11i协议，也存在着缺陷，并不能完全消除安全隐患，而且不管是WPA还是802.11i，其设备的向后兼容性都不是很好，所以对很多仍然用早期操作系统的公司来说，采用它们也并不是一个明智的选择。可以说，没有一种方案是能完全解决所有安全问题的，对企业来说，与其依赖一种安全技术，不如选择适合自身情况的无线安全方案，建立多层次的安全保护，这样才能在自己力所能及的范围内有效地避免无线技术带来的安全风险。