尽管无线网络的安全性可能永远无法超越有线网络,但是一项希望得到广泛应用的技术至少应该提供足够的安全保障。目前在全球市场特别是企业市场对Wi-Fi技术所持的谨慎态度大部分来自于对无线安全问题的担忧。不过IEEE与Wi-Fi联盟等负责无线标准化的组织显然已经认识到了这一点,在不断进行的标准沿革当中,无线的安全性已经有了长足的进步。
在IEEE的802.11b标准作为主流的时代,Wi-Fi在安全方面所依赖的主要是WEP加密,然而这种保护措施已被证明是十分脆弱的。WEP加密技术本身存在着一些脆弱点,使得攻击者可以破解WEP密钥。WEP是一种在传输节点之间以RC4形式对分组进行加密的技术,使用的加密密钥包括事先确定的40位通用密钥,发送方为每个分组所分配的的24位密钥。这个24位的密钥被称之为初始化向量(IV),该向量未经加密就被包含在分组当中进行传输。对于Wi-Fi这样较小范围内有较多连接数的无线技术来说,IV通常会在较短的时间内被分配殆尽,也就是说开始有重复的IV出现。如果攻击者能够通过嗅探获得足够的通过同一IV加密的数据包,就可以对密钥进行破解。
谈到新的802.11无线安全标准就必须首先提及IEEE所制订的802.11i标准。802.11i主要是将基于端口的访问控制标准802.1x引入了无线领域,并在加密功能中采用了密钥管理协议TKIP,以将之前无线技术标准中的固定密钥变更为动态密钥。相比于静态密钥,动态密钥的破解难度要大的多。所以尽管802.11i仍旧使用RC4算法进行加密,但是在密钥安全性上已经有了很大提高。而由于可以通过EAP(可扩展认证协议)执行身份认证,还可以避免各种恶意欺诈。然而由于基于802.11i的产品短期内还无法在市场上普及,同时考虑到已经应用的大量旧有设备,Wi-Fi联盟推出了过渡性的无线安全标准WPA(Wi-Fi Protected Access,Wi-Fi保护访问)。Wi-Fi联盟是一家致力于802.11无线技术推广和产品互操作性认证的国际性非赢利组织,其主张的WPA标准致力于替代旧有的WEP安全模式,为Wi-Fi系统提供更高阶的安全保护。由于WPA是一种基于软件层的实现,所以可以应用于所有的无线标准,包括802.11b。
加密
从加密功能方面来说,WPA采用了与WEP加密相同的基本原理同时解决了WEP的各种缺陷。TKIP协议提供了全新的密钥生成和管理框架,通过动态分发密钥的方式取代了静态的密钥分配。WPA通过设备的MAC地址以及分组顺序号码结合主密钥为每个分组生成不同的加密密钥,安全性大大高于通过同样的IV进行分组加密的WEP。即使攻击者对无线传输进行嗅探,也很难正确的猜解出分组的顺序,所以无法破解出WPA所使用的密钥。除此之外,密钥管理功能的增强带来了密钥管理成本的下降,这使得更容易的在无线环境中应用高强度的密钥。WPA提供的加密措施充分弥补了WEP在技术上的弱点,有助于用户更加有效的应用加密保护自己的无线传输。
认证
在之前的无线标准当中,认证始终是非常脆弱的一环,单纯的加密即使能够保证数据不被窃取,但是无法防护各种欺诈性攻击和中间人攻击。在WPA标准中,认证成为一种强制性的要求,用户必须提供足够的证据来证明自己是合法用户,才能对无线网络进行访问。对于已经具有认证服务器(例如RADIUS)的用户来说,可以采取802.1x与EAP结合的方式来完成认证,例如通过提供密码等认证所需的凭证向认证服务器进行认证。而对于不具备独立认证服务器的用户,WPA同样提供了一种相对建议的认证方式供用户使用。这种不需要认证服务器的方法称为WPA预共享密钥,通过在每个无线节点预先输入密钥即可实现,与旧有的WEP安全模式十分类似。然而由于这个预先输入的密钥只用于身份认证过程,而不应用于分组加密过程,所以不会象预输入WEP密钥那样造成严重的安全问题。
消息完整性校验
同样是为了防范攻击者伪造和篡改数据,WPA还提供了进行完整性校验的机制。除了延续802.11协议对数据所进行的CRC校验之外,WPA为每个无线数据分组增加了一个专用的8字节校验字段。虽然旧有的802.11校验方式也会对每个数据分组执行ICV校验,但是这种校验的核心目的在于保障数据传输过程中不会因为各种物理干扰导致错误。攻击者可能通过修改ICV来使其与经过篡改的数据同步,这样就可以突破ICV校验。而WPA所提供的消息完整性校验采用了安全性更高的算法,为恶意篡改增加了很大的难度。
在WPA推出之后,不少厂商都给予了充分的支持,不过并没有使WPA成为具有统治性的安全规范。为了提供更好的安全特性,也为了使WPA在市场上获得更大的普及,Wi-Fi联盟又在802.11i标准正式发布之后推出了WPA2。WPA2与WPA最大的不同在于WPA2支持AES加密算法,AES能够为信息提供128位加密能力。目前很多服务商都在自己的设备中加入了WPA2支持,而且微软也在Windows XP系统的补丁SP2中集成了对WPA2的支持。然而AES加密算法更像是一柄双刃剑,应用了AES的WPA2失去了WPA的一项重要优点,那就是加密算法的变更使得与旧有设备的兼容变得极其困难。目前大部分设备的处理能力都无法进行128位的加密和解密操作,所以必须进行升级才能支持WPA2标准。WPA2的全面应用已经不仅仅需要上游的厂商升级设备,更重要的是大量使用旧有设备的消费者同样需要升级他们的无线网卡。这成为了Wi-Fi联盟推动WPA安全规范新的障碍,当然,这一问题同样也对802.11i存在影响。
通过应用WPA,Wi-Fi系统的安全特性可以获得实质性的提高,然而是否真的象某些专家所说的?WPA应该说比较易于实施,能够加固旧有Wi-Fi系统的安全防线,但是从本质上来讲WPA系列安全标准仍旧是一种增强型的解决方案。一个补丁性质的应用并不能全盘提升无线网络世界的安全性,WPA很优秀,但是仅靠它还不足够。从目前的市场发展情况来看,WPA不太可能实现独占,这也不是WPA的目标所在。其实从广义来讲,包括802.11i在内的各种无线安全标准虽然能够保障无线传输的私密性以及完整性,但是通过无线扰频等手段仍旧可以破坏Wi-Fi系统的可用性。相信更多更优秀的无线标准还会被制订和发布出来,但是这些标准并不是无线安全的全部。善用WPA将有助于我们改善目前无线网络领域的安全性问题,而为了建设一个“无线”的美好世界,仍旧需要我们持续的努力下去。