无线局域网安全协议(WEP、WPA、WAPI)
WLAN(Wireless Local Area Network)指应用无线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的网络体系。
一、WEP(有线等效保密)
WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间无线传输的数据进行加密的方式,用以防止非法用户窃听或侵入无线网络。不过密码分析学家已经找出 WEP 好几个弱点,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰,又在2004年由完整的 IEEE 802.11i 标准(又称为 WPA2)所取代。
WEP有2种认证方式:开放式系统认证(open system authentication)和共有键认证(shared key authentication)。
开放式系统认证,不需要密钥验证就可以连接。共有键认证,客户端需要发送与接入点预存密钥匹配的密钥。共有键一共有4个步骤:
注:循环冗余校验(Cyclic Redundancy Check, CRC)是一种根据网络数据包或计算机文件等数据产生简短固定位数校验码的一种信道编码技术,主要用来检测或校验数据传输或者保存后可能出现的错误。它是利用除法及余数的原理来作错误侦测的。
二、WPA(Wi-Fi网络安全接入)
WPA全名为Wi-Fi Protected Access,有WPA、WPA2和WPA3三个标准,是一种保护无线电脑网络(Wi-Fi)安全的系统。
WPA超越WEP的主要改进就是在使用中可以动态改变密钥的“临时密钥完整性协议”(Temporal Key Integrity Protocol,TKIP),加上更长的初向量,这可以击败知名的针对WEP的密钥截取攻击。WPA的数据是以一把128位的钥匙和一个48位的初向量(IV)的RC4stream cipher来加密。
三、WAPI(无线局域网鉴别和保密基础结构)
WAPI (Wireless LAN Authentication and Privacy Infrastructure)是无线局域网鉴别和保密基础结构,是一种安全协议,同时也是中国无线局域网安全强制性标准。当前全球无线局域网领域仅有的两个标准,分别是美国行业标准组织提出的IEEE 802.11系列标准(包括802.11a/b/g/n/ac等,俗称Wi-Fi),以及中国提出的WAPI标准。
注:WLAN主要由站(Station,STA)、接入点(Access Point,AP)、无线介质( Wireless Medium,WM)和分布式系统(Distribution System,DS)组成。STA在WLAN中一般为客户端,可以是装有无线网卡的计算机,也可以是有WiFi模块的智能手机。STA可以是移动的,也可以是固定的,是无线局域网的最基本组成单元。
与WIFI的单向加密认证不同,WAPI双向均认证,从而保证传输的安全性。WAPI安全系统采用公钥密码技术,鉴权服务器AS负责证书的颁发、验证与吊销等,无线客户端与无线接入点AP上都安装有AS颁发的公钥证书,作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果,持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。
无线局域网鉴别与保密基础结构(WAPI)系统中包含以下部分:
1、WAI鉴别及密钥管理
2、WPI数据传输保护
无线局域网鉴别基础结构(WAI)不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理。从而满足更多用户和更复杂的安全性要求。采用公开密钥密码体制,利用公钥证书来对WLAN系统中的STA和AP进行认证。
无线局域网保密基础结构(WPI)采用对称密码算法实现MAC层MSDU的加、解密操作。分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。WAPI接入控制包括:鉴别服务单元ASU、鉴别器实体AE和鉴别服务实体ASE等实体。
