2010年第35期SCIENCE & TECHNOLOGY NFORMATIONOIT論壇O科技信息WPA對WEP的技術(shù)改進李棟(新鄉(xiāng)學(xué)院計算機與信息工程學(xué)院河南新鄉(xiāng)453000)[摘要]安全對于無線局域網(wǎng)領(lǐng)城是一個嚴峻的話題。 本文從介紹WEP的加曹過程出發(fā),詳細分析了WPA對WEP的技術(shù)改進。[關(guān)鍵詞]無線局域網(wǎng);WEP;WPAA Techology Improvement of WPA Base on WEPLI Dong(Departnent of Compoter and Information Engerring Xinxiang University .Xindiang Henan,453000.China)[Abstract]ln Wireles Local Area Network (WILAN) domain, securely is a atem topic. The paper starting from the WEP's proces of encrption,analysizes the technology improvement of WPA base on WEP exhaustively.[Key words]Wireless Local Area Network(WLAN); WEP;WPA的生成過于簡單.只是由苊巒鑰和Iv申聯(lián)而成,這種不加變化地使用0引言無線局域網(wǎng)(WLAN),指采用IEEE制定的一個通用無線局城網(wǎng)基密鑰,大大增加了基密例敏破解的可能性.再加上24位的初始化向組計算機和相關(guān)設(shè)備|"。它已被廣泛應(yīng)用量.而且還以明文傳送,攻擊者利用這個特點很容易破詳出巒文。WEP標準802.11進行互聯(lián)的一組計用對密鑰的管理存在缺陷，使用手動的方式將共字的需鑰寫人WLAN到各行各業(yè)。在有線網(wǎng)絡(luò)中,可以清楚辨別哪臺電腦連接到局城網(wǎng)。而中的每一臺設(shè)備， 因此WLAN中所客戶和接入點APAces Point)WLAN的特點是理論上無線電波所覆蓋的范圍內(nèi)的任何一臺電腦都使用的是 相同的單-密鑰，缺乏自動的動態(tài)的密鑰管理機制?？梢缘顷懟虮O(jiān)聽該尤線網(wǎng)絡(luò)。如果WLAN的安全措施不夠嚴密,很可WPA采用暫時密鑰完整性協(xié)議TPIK (Temporal Key Integrity能會遭到非法入侵甚至重要數(shù)據(jù)救密。因此WLAN的安會問題,也Procol)和 802.1x以及呵擴展認證協(xié)議(EAP)來增強安全性。TPIK采受到越來越多的關(guān)注。WPA是Wi-Fi聯(lián)盟提出的-種取代WEP的無用保護性增強的密鑰序列.雖然仍然采用RC4加密算法,但是在RC4線網(wǎng)絡(luò)加密協(xié)議。WPA繼承了的WEP基本原理而又解決了WEP的的基礎(chǔ)上 進行了吏復(fù)雜的數(shù)據(jù)封裝,TPIK把密鑰的長度由WEP的40缺點網(wǎng)。從而改善了WLAN的安全性。位提高到128位,并H密鑰由認證服務(wù)器動態(tài)生成和分發(fā)。TPIK使用1 WPA 對WEP的技術(shù)改進密制分級和有效的密鑰管理的方法,從而使入侵者無法利用密鑰的可預(yù)測性。同時,TPIK還利用802.1x和EAP認證機制增強加巒的安全1.1 WEP 的加密過程性。認證服務(wù)器認證用戶后,利用802.1x生成唯-的主密鑰或“聰明WEP即有線對等保密(Wired Equivalent Privacy),它本是一種數(shù)據(jù)配對“密鑰。TPIK把此巒鑰分發(fā)給客戶機和AP,用“聰明配對”密鑰為加密算法,用于提供等同于有線局城網(wǎng)的保護能力，但它決不等同于會 話期間傳遞的每個數(shù)據(jù)包動態(tài)生成一個唯一的巒鑰來完成這些數(shù)有線網(wǎng)的安全性。WEP的數(shù)據(jù)幀分為三個數(shù)據(jù)項:分別為32bits的IV據(jù)包 加密工作,從而建可起密鑰的分級和管理系統(tǒng)。TKIP的密鑰分級數(shù)據(jù)項，傳輸數(shù)據(jù)項以及32bit的ICV(即32位循環(huán)校驗碼)。其中IV策略使得 每個當前的數(shù)據(jù)包明以使用密鑰敷址達到千萬億級。WAP是明文傳送的，而傳輸數(shù)據(jù)以及ICV是加密的。IV敷據(jù)城包含三個主有效地解決了 WEP中加密算法密鑰過短、靜態(tài)密鑰和密鑰缺乏管理數(shù)據(jù)項，分別為24bits的初始化向量Init Vector,2bits的Key ID和等問題。 WEP和WAP密鑰的比較如表1所示。6bits的填充數(shù)據(jù)。WEP所使用的加密算法是基于RC4的序列密碼。囊1 WEP和WAP密鑰比較巒鑰的構(gòu)成是由共享窬鑰與IV直接連結(jié)構(gòu)成的。WEP的數(shù)據(jù)的加密主要有三個步驟:數(shù)據(jù)幀擴展.密鑰流序列的生成、數(shù)據(jù)加密三個部比較內(nèi)容WEPWPA加密算法RCARC4分,加密過程生成的密鑰流與明文異或生成密文,密文與IV組合生成加密后的數(shù)據(jù)幀。WEP 的加密過程如圖1所示。靜態(tài)-網(wǎng)絡(luò)中所有動態(tài)的基于會話的需鑰生成，每個用密鑰生成方式用戶使用同一密鑰戶 .每個會話每個數(shù)據(jù)包I個密鑰rv制始化崗量密鑰長度40位128位虛按觸機密鑰發(fā)放方式人工自動明微產(chǎn)生器認證存在缺陷802.1x 和EAP認證1.2.2 數(shù)據(jù)完整性保護方面WEP規(guī)范中使用32位循環(huán)冗余校驗(CRC),但是由于CRC是線+無量性算話性運算的特點.所以攻擊者利用這個特點.在對數(shù)據(jù)幀進行修改的同時相應(yīng)修改CRC位.從而輕易地通過檢查。圈1 WEP 的加密過程WAP采用信息完整性代碼MIC(Mssge Integrity Code)來防止人侵者獲取并修改數(shù)據(jù)包。使用該機制，發(fā)送者和接受者都會計算并比1.2 WPA 對WEP的技術(shù)改進呵較MIC值,如果發(fā)現(xiàn)兩者不相等.則認為該數(shù)據(jù)包被修改了,于是將WPA余名為Wi-Fi Prolected Acess,是一種保護無線電腦網(wǎng)絡(luò)這 個敷據(jù)包丟棄,然后再重新發(fā)送數(shù)據(jù)包。這樣就可以防止有效的篡們)安全的系統(tǒng)。WPA繼承了WEP基本原理.是在研究前一代的改攻擊以及消息偽造等問題。系統(tǒng)有線等效加密(WEP)時找到的幾個嚴重的弱點面產(chǎn)生的。具體表1.2.3 身份認證方面現(xiàn)在以下幾個方面:“、證,在實際應(yīng)用中。一1.2.1數(shù)據(jù)加密方面般將WE中國煤化工，但是這種簡單的身WEP中是基于RC4的序列加密算法.RC4算法的密鑰空間中存份認證方HCNMHG威脅和拒絕服務(wù)攻擊在大量的羈密鑰。這就在使用密鑰作為RC4算法的輸人時,這就導(dǎo)致的危險。生成的密鑰序列中有相當-部分序列位只由弱密鑰的少數(shù)比特位決 WPA的認證分為兩種四、第-種是采用802.1x+EAP的方式,戶提定,攻擊者可以利用這個規(guī)律臧少破解密鑰的難度。RC4 算法中密鑰供認證所需的憑證， 如用戶密碼，通過特定的認證服務(wù)器(一般是萬芳數(shù)據(jù)科技信息OIT論壇OSCTENCE & TECIHNOLOGY NFORMATION2010年第35期RADIUS服務(wù)器)來實現(xiàn)。在大中型企業(yè)中,通常使用這種方式。但對簡單地說,目前WPA=802.1x+EAP+TKIP+MIC.其中802.1x+EAP于小型企業(yè)網(wǎng)絡(luò)或家庭用戶來說.架設(shè)一-臺專用的認證服務(wù)器未免代負責(zé)接入認證,TPIK和MIC負責(zé)數(shù)據(jù)加密和完整性校驗。價過于昂貴,因此WPA提供.種簡化模式,它不需嬰專門的認證服務(wù)2結(jié)柬語器。這種方式即為WPA-PSK。在802.1x+FAP方式中，802.1x是一種革于端口的網(wǎng)絡(luò)訪問控制WPA為現(xiàn)有的無線網(wǎng)絡(luò)產(chǎn)品提供了一個簡便的開級途徑，通過協(xié)議.嬰求用戶必須通過身份認證才能訪向網(wǎng)絡(luò)。802.1x除 「端口訪軟件和固件升級 ,WPA提供了更加強勁的安全加密機制和網(wǎng)絡(luò)接入問挖制和身份認證外，還可以進行動態(tài)密鑰管理。IEE802.1x 采用控制,并 月能支持多種網(wǎng)絡(luò)認證協(xié)議。不過WPA還只是無線網(wǎng)絡(luò)安全EAP作為認證協(xié)議,EAP定義了認證過程中認證消息的傳遞機制。的一個過渡方案， 目前IEE正在審議802.111無線網(wǎng)絡(luò)安全協(xié)議,這802.1x的認證過程如下:個協(xié)議包括了高級加巒標準AES (Advanced Eneryption Standard)等安當AP偵剿到一個客戶端后，向客戶端發(fā)送一個EAPOL(EAP全特性， 它將為無線網(wǎng)絡(luò)安全提供更高的安全級別。COver LAN)格式封裝的EAP Request-ID俏息，客戶端收到以后,向AP返間一個包含有用戶ID的EAPOL格式封裝的EAPResponse-ID倩[參考文獻]息,該Response你息將敏重新封裝成RADIUS請求數(shù)據(jù)包，被傳送到[1] 散等蕾.無線局城網(wǎng)安全機制及其安全性分析m.內(nèi)蒙古科技與經(jīng)濟，骨F網(wǎng)上.的RADIUS服務(wù)器.然后EAP認證開始,在訪問服務(wù)器的支2013)375-76.持下，消息在客門端和RADIUS之間中繼，在客戶端使用EAPOL協(xié)[2]玉鞠，劉志愚,劉一 蘭.無線局城網(wǎng)WEP協(xié)議安全隱患分析小，計算機技術(shù)與議,在服務(wù)器嚙使用RADIUS協(xié)議。完成EAP認證后.RADIUS服務(wù)器發(fā)2616856發(fā)出一個包含有EAP sucss或filue)標志的RADIUS accese acepe[3]錢進.無線局城網(wǎng)技術(shù)與應(yīng)用M].北京:電子工業(yè)出版杜.004.(或rject)數(shù)據(jù)包.該敷據(jù)包被傳送給客戶端。如果RADIUS服務(wù)器通[4)金純,無線網(wǎng)絡(luò)安全:技術(shù)與策略[M北京:電子工業(yè)出版杜,2004.4過了客戶端的認證.受控端口將開放給客戶端。在WPA-PSK方式中,僅要求在每個WI.AN節(jié)點(AP.無線路由怍者簡介:爭棟(1976- -),陜西威陽人,講師,確士,主要研究方向為信島檢器.網(wǎng)k等)頒咒共實密鑰即可實現(xiàn)。只要巒鑰吻合.客戶就可以獲得的訪向權(quán)。由于這個密制僅僅用于認證過程，而不用于加密過程,因此[責(zé)任編輯:王靜]不會導(dǎo)致諸如使用密鑰來進行偵共享認證那樣嚴重的安全問題。(上接第68頁)成物質(zhì)的XRD講用與NH,Br的原始參照講圖基本重合,只是由于結(jié)品方式不同,峰強度稍有不同.由此明判斷反應(yīng)生成的[1]鄧友全.離f液體 性質(zhì)、制備與應(yīng)朋M].北京:中網(wǎng)石化出版杜,006.固體確為溴化銨,表明反應(yīng)按著正確的方向進行,進一步驗證S離子[2]黎子進，黃宜華,張維剛，等.離子被體[Hnop]HSO,值化合成乙酸正丁廠魔的動液體的組成。力學(xué)研究幾工業(yè)催化,2008.13):45-484.[3 Jonathan 1. Jora, Koichi Mikemi. New chiral idaxoliumo ionice liquide: 3D-3結(jié)論network of hydrogen bondingJ,Tetruhedron lttem ,2004.45:4429- 4431.本文采用兩步法合成了離子液體[PMIm]BF.總收率達到92.59%。[4]Nivgai Bicak. A new ionie liquid: 2- hydroxy ethylammonium foatl[]Jourmulof Molecular liquids, 2051161();15-18.并用紅外光講法.元素分析怯.熱重法對其分別進行了表征,同時利用[5]盧澤期， 就霞，處劍,等.咪唑類離子被體的合成和光譜表征印.化學(xué)世界，XRD對反應(yīng)生成的固體NH,Br進行了分析.結(jié)果表明合成出的物質(zhì)2005 .46(3); 148-150.為[PMlm)BF.并且不易被氧化,熱穩(wěn)定性好。[責(zé)任編輯:翟咸梁](上接第73頁)生PC上安裝了Microeoft XP操作系統(tǒng).并在XP中安安 裝有網(wǎng)絡(luò)操作系統(tǒng)的慮擬機的PC機來實現(xiàn)，而各實驗組之間的互裝了VMware Workstation 虛撳機，而服務(wù)器操作系統(tǒng)Windows聯(lián)互通 的實現(xiàn)又構(gòu)成了整個廣城網(wǎng)的網(wǎng)絡(luò)模型。2003dvanced Server 和linux安裝在慮椒機VMware Workstation中,學(xué)生叮以在處擬機中的Windows 2003Advanced Server和Linux 配量DNS .DHCP .WINS .Web、FTP.E -mail .NAT 等系列服務(wù).而宿主機XP培養(yǎng)掌握網(wǎng)絡(luò)技術(shù).適座時代需要的高技能專業(yè)人才,已成為高可以客戶蠟進行實驗驗證.由于虛擬機中叮安裝多個操作系統(tǒng),即使職院校- -項 重要的戰(zhàn)略任務(wù).而基于企業(yè)化應(yīng)用的網(wǎng)絡(luò)綜合實驗實訓(xùn)是復(fù)雜的城挖制器實驗. -臺PC機即可。中心的建設(shè),不但能夠滿足現(xiàn)有網(wǎng)絡(luò)課程的實驗課的開設(shè),還具備了3.4實驗環(huán)境能 提供無線局城網(wǎng)WI.AN的功能。無線組網(wǎng)技術(shù)的應(yīng)提供 了完費的企業(yè)網(wǎng)的局城網(wǎng)的模型和廣城網(wǎng)的網(wǎng)絡(luò)模型，具備了網(wǎng)用越來越廣,在該實驗室中,還提供I尤線組網(wǎng)方案。采用尤線網(wǎng)卡和絡(luò)綜合實驗實 訓(xùn)中心的功能，為畢業(yè)綜合實訓(xùn)提供了具有真實場最的無線AP實現(xiàn)無線網(wǎng)絡(luò)。通過該實驗,學(xué)生們可以在掌拋有線組網(wǎng)的多功能網(wǎng)絡(luò) 實訓(xùn)中心(前提F和銜展尤線組網(wǎng)的力i案, #淀話運用于實際組網(wǎng)卅建中。3.5實 驗環(huán)境能提供網(wǎng)絡(luò)竹理和安全功能。網(wǎng)絡(luò)管理軟件是維護網(wǎng)[鄉(xiāng)考文獻]，絡(luò)系統(tǒng)穩(wěn)定運行的必不可少的L.具.為廠保證網(wǎng)絡(luò)的高安全性,在實[1]謝希仁.計算機網(wǎng)絡(luò)M.S 版.北京:電f工業(yè)出版杜:2008.驗網(wǎng)絡(luò)中采用s甕水控制.權(quán)限控制.審計跟蹤、加密和認證.交換機[2] 趙乃“與實現(xiàn)中國管理信息化，和路由器安全控制.靜態(tài)ARP防火壇控制相衲毒防范等各項安全技209.90中國煤化工術(shù)。為了拋高學(xué)生的學(xué)斗興趣和實踐枝能.實驗環(huán)境中具有兩臺神州[3}任友俊曲靖師范學(xué)院學(xué)報2007.3敷碼安全抄盒DCSS- 3008.學(xué)生在實驗過程中.叮登陸安全沙盒完成(26)52-52THCNMHG盧擬的熙客技術(shù)進行網(wǎng)絡(luò)攻擊。{4]劉水剛使兩校網(wǎng)絡(luò)實驗圣建設(shè)與凰用.電屬知識與技術(shù).2010.46);836 -838.3.6幀個實驗環(huán)境就足 一個寵整的企業(yè)化網(wǎng)絡(luò)模型，每個實驗組又[責(zé)任編輯:常肭飛]可以完成各種成層網(wǎng)絡(luò)的組網(wǎng)和配置,上層網(wǎng)絡(luò)應(yīng)用服務(wù)完全叮以由91