WPA对WEP的技术改进

2010年第35期SCIENCE & TECHNOLOGY NFORMATIONOIT论坛O科技信息WPA对WEP的技术改进李栋(新乡学院计算机与信息工程学院河南新乡453000)[摘要]安全对于无线局域网领城是一个严峻的话题。 本文从介绍WEP的加曹过程出发,详细分析了WPA对WEP的技术改进。[关键词]无线局域网;WEP;WPAA Techology Improvement of WPA Base on WEPLI Dong(Departnent of Compoter and Information Engerring Xinxiang University .Xindiang Henan,453000.China)[Abstract]ln Wireles Local Area Network (WILAN) domain, securely is a atem topic. The paper starting from the WEP's proces of encrption,analysizes the technology improvement of WPA base on WEP exhaustively.[Key words]Wireless Local Area Network(WLAN); WEP;WPA的生成过于简单.只是由苊巒钥和Iv申联而成,这种不加变化地使用0引言无线局域网(WLAN),指采用IEEE制定的一个通用无线局城网基密钥,大大增加了基密例敏破解的可能性.再加上24位的初始化向组计算机和相关设备|"。它已被广泛应用量.而且还以明文传送,攻击者利用这个特点很容易破详出巒文。WEP标准802.11进行互联的一组计用对密钥的管理存在缺陷，使用手动的方式将共字的需钥写人WLAN到各行各业。在有线网络中,可以清楚辨别哪台电脑连接到局城网。而中的每一台设备， 因此WLAN中所客户和接入点APAces Point)WLAN的特点是理论上无线电波所覆盖的范围内的任何一台电脑都使用的是 相同的单-密钥，缺乏自动的动态的密钥管理机制。可以登陆或监听该尤线网络。如果WLAN的安全措施不够严密,很可WPA采用暂时密钥完整性协议TPIK (Temporal Key Integrity能会遭到非法入侵甚至重要数据救密。因此WLAN的安会问题,也Procol)和 802.1x以及呵扩展认证协议(EAP)来增强安全性。TPIK采受到越来越多的关注。WPA是Wi-Fi联盟提出的-种取代WEP的无用保护性增强的密钥序列.虽然仍然采用RC4加密算法,但是在RC4线网络加密协议。WPA继承了的WEP基本原理而又解决了WEP的的基础上 进行了吏复杂的数据封装,TPIK把密钥的长度由WEP的40缺点网。从而改善了WLAN的安全性。位提高到128位,并H密钥由认证服务器动态生成和分发。TPIK使用1 WPA 对WEP的技术改进密制分级和有效的密钥管理的方法,从而使入侵者无法利用密钥的可预测性。同时,TPIK还利用802.1x和EAP认证机制增强加巒的安全1.1 WEP 的加密过程性。认证服务器认证用户后,利用802.1x生成唯-的主密钥或“聪明WEP即有线对等保密(Wired Equivalent Privacy),它本是一种数据配对“密钥。TPIK把此巒钥分发给客户机和AP,用“聪明配对”密钥为加密算法,用于提供等同于有线局城网的保护能力，但它决不等同于会 话期间传递的每个数据包动态生成一个唯一的巒钥来完成这些数有线网的安全性。WEP的数据帧分为三个数据项:分别为32bits的IV据包 加密工作,从而建可起密钥的分级和管理系统。TKIP的密钥分级数据项，传输数据项以及32bit的ICV(即32位循环校验码)。其中IV策略使得 每个当前的数据包明以使用密钥敷址达到千万亿级。WAP是明文传送的，而传输数据以及ICV是加密的。IV敷据城包含三个主有效地解决了 WEP中加密算法密钥过短、静态密钥和密钥缺乏管理数据项，分别为24bits的初始化向量Init Vector,2bits的Key ID和等问题。 WEP和WAP密钥的比较如表1所示。6bits的填充数据。WEP所使用的加密算法是基于RC4的序列密码。囊1 WEP和WAP密钥比较巒钥的构成是由共享窬钥与IV直接连结构成的。WEP的数据的加密主要有三个步骤:数据帧扩展.密钥流序列的生成、数据加密三个部比较内容WEPWPA加密算法RCARC4分,加密过程生成的密钥流与明文异或生成密文,密文与IV组合生成加密后的数据帧。WEP 的加密过程如图1所示。静态-网络中所有动态的基于会话的需钥生成，每个用密钥生成方式用户使用同一密钥户 .每个会话每个数据包I个密钥rv制始化岗量密钥长度40位128位虚按触机密钥发放方式人工自动明微产生器认证存在缺陷802.1x 和EAP认证1.2.2 数据完整性保护方面WEP规范中使用32位循环冗余校验(CRC),但是由于CRC是线+无量性算话性运算的特点.所以攻击者利用这个特点.在对数据帧进行修改的同时相应修改CRC位.从而轻易地通过检查。圈1 WEP 的加密过程WAP采用信息完整性代码MIC(Mssge Integrity Code)来防止人侵者获取并修改数据包。使用该机制，发送者和接受者都会计算并比1.2 WPA 对WEP的技术改进呵较MIC值,如果发现两者不相等.则认为该数据包被修改了,于是将WPA余名为Wi-Fi Prolected Acess,是一种保护无线电脑网络这 个敷据包丢弃,然后再重新发送数据包。这样就可以防止有效的篡们)安全的系统。WPA继承了WEP基本原理.是在研究前一代的改攻击以及消息伪造等问题。系统有线等效加密(WEP)时找到的几个严重的弱点面产生的。具体表1.2.3 身份认证方面现在以下几个方面:“、证,在实际应用中。一1.2.1数据加密方面般将WE中国煤化工，但是这种简单的身WEP中是基于RC4的序列加密算法.RC4算法的密钥空间中存份认证方HCNMHG威胁和拒绝服务攻击在大量的羁密钥。这就在使用密钥作为RC4算法的输人时,这就导致的危险。生成的密钥序列中有相当-部分序列位只由弱密钥的少数比特位决 WPA的认证分为两种四、第-种是采用802.1x+EAP的方式,户提定,攻击者可以利用这个规律臧少破解密钥的难度。RC4 算法中密钥供认证所需的凭证， 如用户密码，通过特定的认证服务器(一般是万芳数据科技信息OIT论坛OSCTENCE & TECIHNOLOGY NFORMATION2010年第35期RADIUS服务器)来实现。在大中型企业中,通常使用这种方式。但对简单地说,目前WPA=802.1x+EAP+TKIP+MIC.其中802.1x+EAP于小型企业网络或家庭用户来说.架设一-台专用的认证服务器未免代负责接入认证,TPIK和MIC负责数据加密和完整性校验。价过于昂贵,因此WPA提供.种简化模式,它不需婴专门的认证服务2结柬语器。这种方式即为WPA-PSK。在802.1x+FAP方式中，802.1x是一种革于端口的网络访问控制WPA为现有的无线网络产品提供了一个简便的开级途径，通过协议.婴求用户必须通过身份认证才能访向网络。802.1x除 「端口访软件和固件升级 ,WPA提供了更加强劲的安全加密机制和网络接入问挖制和身份认证外，还可以进行动态密钥管理。IEE802.1x 采用控制,并 月能支持多种网络认证协议。不过WPA还只是无线网络安全EAP作为认证协议,EAP定义了认证过程中认证消息的传递机制。的一个过渡方案， 目前IEE正在审议802.111无线网络安全协议,这802.1x的认证过程如下:个协议包括了高级加巒标准AES (Advanced Eneryption Standard)等安当AP侦剿到一个客户端后，向客户端发送一个EAPOL(EAP全特性， 它将为无线网络安全提供更高的安全级别。COver LAN)格式封装的EAP Request-ID俏息，客户端收到以后,向AP返间一个包含有用户ID的EAPOL格式封装的EAPResponse-ID倩[参考文献]息,该Response你息将敏重新封装成RADIUS请求数据包，被传送到[1] 散等蕾.无线局城网安全机制及其安全性分析m.内蒙古科技与经济，骨F网上.的RADIUS服务器.然后EAP认证开始,在访问服务器的支2013)375-76.持下，消息在客门端和RADIUS之间中继，在客户端使用EAPOL协[2]玉鞠，刘志愚,刘一 兰.无线局城网WEP协议安全隐患分析小，计算机技术与议,在服务器嚙使用RADIUS协议。完成EAP认证后.RADIUS服务器发2616856发出一个包含有EAP sucss或filue)标志的RADIUS accese acepe[3]钱进.无线局城网技术与应用M].北京:电子工业出版杜.004.(或rject)数据包.该敷据包被传送给客户端。如果RADIUS服务器通[4)金纯,无线网络安全:技术与策略[M北京:电子工业出版杜,2004.4过了客户端的认证.受控端口将开放给客户端。在WPA-PSK方式中,仅要求在每个WI.AN节点(AP.无线路由怍者简介:争栋(1976- -),陕西威阳人,讲师,确士,主要研究方向为信岛检器.网k等)颁咒共实密钥即可实现。只要巒钥吻合.客户就可以获得的访向权。由于这个密制仅仅用于认证过程，而不用于加密过程,因此[责任编辑:王静]不会导致诸如使用密钥来进行侦共享认证那样严重的安全问题。(上接第68页)成物质的XRD讲用与NH,Br的原始参照讲图基本重合,只是由于结品方式不同,峰强度稍有不同.由此明判断反应生成的[1]邓友全.离f液体 性质、制备与应朋M].北京:中网石化出版杜,006.固体确为溴化铵,表明反应按着正确的方向进行,进一步验证S离子[2]黎子进，黄宜华,张维刚，等.离子被体[Hnop]HSO,值化合成乙酸正丁厂魔的动液体的组成。力学研究几工业催化,2008.13):45-484.[3 Jonathan 1. Jora, Koichi Mikemi. New chiral idaxoliumo ionice liquide: 3D-3结论network of hydrogen bondingJ,Tetruhedron lttem ,2004.45:4429- 4431.本文采用两步法合成了离子液体[PMIm]BF.总收率达到92.59%。[4]Nivgai Bicak. A new ionie liquid: 2- hydroxy ethylammonium foatl[]Jourmulof Molecular liquids, 2051161();15-18.并用红外光讲法.元素分析怯.热重法对其分别进行了表征,同时利用[5]卢泽期， 就霞，处剑,等.咪唑类离子被体的合成和光谱表征印.化学世界，XRD对反应生成的固体NH,Br进行了分析.结果表明合成出的物质2005 .46(3); 148-150.为[PMlm)BF.并且不易被氧化,热稳定性好。[责任编辑:翟咸梁](上接第73页)生PC上安装了Microeoft XP操作系统.并在XP中安安 装有网络操作系统的虑拟机的PC机来实现，而各实验组之间的互装了VMware Workstation 虚揿机，而服务器操作系统Windows联互通 的实现又构成了整个广城网的网络模型。2003dvanced Server 和linux安装在虑椒机VMware Workstation中,学生叮以在處拟机中的Windows 2003Advanced Server和Linux 配量DNS .DHCP .WINS .Web、FTP.E -mail .NAT 等系列服务.而宿主机XP培养掌握网络技术.适座时代需要的高技能专业人才,已成为高可以客户蠟进行实验验证.由于虚拟机中叮安装多个操作系统,即使职院校- -项 重要的战略任务.而基于企业化应用的网络综合实验实训是复杂的城挖制器实验. -台PC机即可。中心的建设,不但能够满足现有网络课程的实验课的开设,还具备了3.4实验环境能 提供无线局城网WI.AN的功能。无线组网技术的应提供 了完费的企业网的局城网的模型和广城网的网络模型，具备了网用越来越广,在该实验室中,还提供I尤线组网方案。采用尤线网卡和络综合实验实 训中心的功能，为毕业综合实训提供了具有真实场最的无线AP实现无线网络。通过该实验,学生们可以在掌抛有线组网的多功能网络 实训中心(前提F和衔展尤线组网的力i案, #淀话运用于实际组网卅建中。3.5实 验环境能提供网络竹理和安全功能。网络管理软件是维护网[乡考文献]，络系统稳定运行的必不可少的L.具.为厂保证网络的高安全性,在实[1]谢希仁.计算机网络M.S 版.北京:电f工业出版杜:2008.验网络中采用s甕水控制.权限控制.审计跟踪、加密和认证.交换机[2] 赵乃“与实现中国管理信息化，和路由器安全控制.静态ARP防火壇控制相衲毒防范等各项安全技209.90中国煤化工术。为了抛高学生的学斗兴趣和实践枝能.实验环境中具有两台神州[3}任友俊曲靖师范学院学报2007.3敷码安全抄盒DCSS- 3008.学生在实验过程中.叮登陆安全沙盒完成(26)52-52THCNMHG盧拟的熙客技术进行网络攻击。{4]刘水刚使两校网络实验圣建设与凰用.电属知识与技术.2010.46);836 -838.3.6帧个实验环境就足 一个宠整的企业化网络模型，每个实验组又[责任编辑:常肭飞]可以完成各种成层网络的组网和配置,上层网络应用服务完全叮以由91