5．802.11b是不安全的

802.11b是部署得最廣泛的WLAN技術(shù)。802.11b的安全基礎(chǔ)是有線等價(jià)專用性（WEP）的幀加密協(xié)議，它具有許多安全隱患。

802.11標(biāo)準(zhǔn)將WEP定義為保護(hù)WLAN接入點(diǎn)與網(wǎng)絡(luò)接口卡（NIC）間空中傳輸?shù)暮?jiǎn)單機(jī)制。WEP在數(shù)據(jù)鏈路層操作，要求所有通信方都共享相同的密鑰。按規(guī)定，IEEE 802.11b需要40位加密密鑰，但目前許多廠商的產(chǎn)品都支持可選的128位標(biāo)準(zhǔn)。借助互聯(lián)網(wǎng)上提供的工具，WEP可以方便地創(chuàng)建40位和128位變形密鑰。

WEP使用RC4流密碼進(jìn)行加密。RC4加密算法是一種對(duì)稱的流密碼，支持長(zhǎng)度可變的密鑰。IEEE 802.11標(biāo)準(zhǔn)中并沒(méi)有規(guī)定密鑰分發(fā)的方法。如果沒(méi)有自動(dòng)密鑰分發(fā)方法，任何加密協(xié)議都會(huì)因人工密鑰輸入、轉(zhuǎn)讓和管理錯(cuò)誤而遇到問(wèn)題。802.1x已經(jīng)得到了IEEE的批準(zhǔn)，并得到了WLAN廠商的廣泛擁護(hù)，可望成為這種密鑰分發(fā)問(wèn)題的解決方案。

初始化向量是WEP的中心問(wèn)題。由于初始化向量（IV）只能作為純文本傳輸，放置在802.11報(bào)頭中，因此，竊聽(tīng)WLAN的人都可以看到它。IV的長(zhǎng)度為24位，能夠提供16,777,216個(gè)值。如果在加密包上使用了相同的IV和相同的密鑰（稱為IV沖突），黑客就可以捕獲數(shù)據(jù)幀，并獲取數(shù)據(jù)和網(wǎng)絡(luò)信息。WEP加密方案具有很多弱點(diǎn)，應(yīng)利用先進(jìn)的密鑰管理解決方案彌補(bǔ)這些弱點(diǎn)。

RC4 密鑰安排算法也存在內(nèi)在缺陷。由于WEP中的RC4選擇了24位IV，而且不能使用動(dòng)態(tài)專用加密密鑰，因此，這些缺陷在WEP的802.11加密幀中有所暴露。

二、需要利用安全擴(kuò)展技術(shù)

鑒于WEP存在這些安全漏洞，思科建議利用三種技術(shù)取代IEE 802.11規(guī)定的WEP，包括基于IP Securtiy（IPSec）的網(wǎng)絡(luò)層加密方法，使用802.1X、基于人工認(rèn)證的密鑰分發(fā)方法，以及思科最近對(duì)WEP所做的某些改進(jìn)。另外，IEEE 802.11任務(wù)組“i”也正在改進(jìn)WLAN加密標(biāo)準(zhǔn)。

1．IPSec

IPSec是一種開(kāi)放標(biāo)準(zhǔn)框架，以保證安全通信， IPSec VPN使用IPSec內(nèi)定義的服務(wù)，以保證在公共網(wǎng)上數(shù)據(jù)通信的保密性、完整性和認(rèn)證。目前，IPSec已有實(shí)際應(yīng)用。

在WLAN環(huán)境中部署IPSec時(shí)，IPSec放置在用于無(wú)線接入的PC上，為用戶建立IPSec通道，以便將流量傳送到有線網(wǎng)。過(guò)濾器用于防止無(wú)線流量到達(dá)VPN網(wǎng)關(guān)和/以外的目的地。IPSec提供IP流量的保密、認(rèn)證和防重播功能。保密功能通過(guò)加密實(shí)現(xiàn)，加密利用3DES技術(shù)，即用三個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行三次加密。雖然IPSec主要用于實(shí)現(xiàn)數(shù)據(jù)保密性，但擴(kuò)展以后也可以用于用戶認(rèn)證和授權(quán)，并作為IPSec過(guò)程的一部分。

2．EAP/802.1X

EAP/802.1X則注重提供集中認(rèn)證和動(dòng)態(tài)密鑰分發(fā)。在思科、微軟及其它機(jī)構(gòu)向IEEE共同提交的建議中，提出了使用802.1X和可擴(kuò)展認(rèn)證協(xié)議（EAP）的端到端框架。這個(gè)建議的兩個(gè)主要組件是：

· EAP，允許使用無(wú)線客戶機(jī)適配器，可以支持不同的認(rèn)證類型，因而能與不同的后端服務(wù)器通信，如遠(yuǎn)程接入撥入用戶服務(wù)（RADIUS）。

· IEEE 802.1X，基于端口的網(wǎng)絡(luò)訪問(wèn)控制的標(biāo)準(zhǔn)。

如果實(shí)施了這些措施，當(dāng)用戶執(zhí)行網(wǎng)絡(luò)登錄以后，與AP相關(guān)的無(wú)線終端才能接入網(wǎng)絡(luò)。當(dāng)用戶在網(wǎng)絡(luò)登錄對(duì)話框中輸入用戶名和密碼或者等價(jià)信息時(shí)，客戶機(jī)和RADIUS服務(wù)器將執(zhí)行相互認(rèn)證。然后，RADIUS服務(wù)器和客戶機(jī)將獲得一個(gè)專用WEP密鑰，而且用戶密碼和操作密鑰不會(huì)以原始形式在無(wú)線網(wǎng)絡(luò)上傳輸。

與WEP相比，LEAP具有兩個(gè)優(yōu)點(diǎn)，第一是相互認(rèn)證特性，這種方案能有效地消除假冒接入點(diǎn)和對(duì)RADIUS服務(wù)器發(fā)起的“中間人攻擊”。第二是集中管理和分發(fā)WEP使用的密鑰。

3．WEP改進(jìn)

WEP密鑰散列

在對(duì)WEP發(fā)起攻擊時(shí)，必須使用相同密鑰的多個(gè)薄弱IV，因此，為每個(gè)包配備不同的密鑰可消除這種威脅。對(duì)IV和WEP密鑰進(jìn)行散列，以便產(chǎn)生唯一的包密鑰（稱為臨時(shí)密鑰），然后與IV組合在一起，這種方法能防止黑客利用薄弱IV獲取基礎(chǔ)WEP密鑰。

消息完整性檢查

WEP的另一個(gè)問(wèn)題是容易遭受重播攻擊，消息完整性檢查（MIC）能防止WEP幀被損害。MIC基于種子值、源MAC和負(fù)載，包含在WEP加密的負(fù)載中，使用散列算法獲取最終值。

【相關(guān)文章】

• 如何降低WLAN安全風(fēng)險(xiǎn)
  

• 你的WLAN安全嗎 保護(hù)WLAN中的數(shù)據(jù)
  

• 無(wú)線局域網(wǎng)的安全防護(hù)