ＷＰＡ在ＷＬＡＮ安全實現中的研究

摘 要在介紹WPA協議內容和核心組成的基礎上，分析WPA協議的特點及其技術缺陷。

關鍵詞WPA；核心；特點；缺陷

中圖分類號 TP393.08 文獻標識碼 A 文章編號 1671-489X（2008）08-0087-02

隨著IT技術飛速發展，WLAN憑借可靠、標準化、成本低和靈活性強等顯著特點得到廣泛應用。但黑客技術不斷提高，WLAN安全問題日益嚴峻。為提高WLAN安全性，Wi-Fi聯盟推行了一項WLAN安全技術：WPA（Wi-Fi Protected Access）協議，為現有大量的WLAN產品提供高安全的解決方案。

1 WPA協議

WPA是為彌補有線對等保密（WEP）缺陷采用的新安全標準，通過無線網絡加密和身份識別來加強安全保護和管理能力，包括認證、加密和數據完整校驗3部分。它通過升級到基于802.11的無線網絡適配器固件和無線訪問點（AP）來保護。WPA需使用下列值為無線數據幀提供加密和完整性保護：IV以0開始，隨每個后續幀遞增，數據加密密鑰或組加密密鑰，無線幀目標地址和源地址，一個優先級字段值，被設置為0，保留以備后用，數據完整性密鑰或組完整性密鑰。

2 WPA核心組成

WPA是IEEE802.11i的子集，核心是IEEE802.1x和暫時密鑰完整性協議（TKIP）。WPA將TKIP與Michael結合取代WEP；TKIP通過加密保證數據機密性，Michael保證數據完整性。

2.1 IEEE802.1x標準 IEEE802.1x基于端口的接入控制技術，提供可靠的接入認證控制和密鑰分發的框架結構，控制用戶在認證通過后才連接網絡。接入控制功能由端口接入實體（PAE）實現，所有與認證機制相關的算法和協議通過PAE執行。一次認證交互有3部分參與：申請者、認證器和認證服務器。認證器每個物理端口分為受控端口和非受控端口，它們在功能上實現業務數據與控制信息分離，非受控端口執行對用戶接入認證與控制，認證通過的用戶業務數據通過受控端口傳送。802.1x認證與擴展認證協議（EAP）協同工作，通過RADIUS驗證服務器實施，任務是提供認證、授權和密鑰管理功能。

2.2 TKIP協議 TKIP專用于糾正WEP安全漏洞，實現無線傳輸數據的加密和完整性保護。雖然仍用RC4加密算法，但使用了動態會話密鑰提高安全性。TKIP引入4個新算法：48位初始化向量（IV）和IV順序規則、逐個報文的密鑰構建機制、Michael消息完整性代碼（Message Integrity Code，MIC）及密鑰重獲/分發機制。TKIP在增強WLAN保密強度同時并不明顯增加計算量，可通過對原有設備軟件升級實現。TKIP具有的新特性可以彌補WEP缺陷：

1）用48位IV及新IV始化算法解決密鑰空間過小引起的密鑰重用問題。

2）用MIC解決WEP加密數據幀被惡意篡改。

3）提供快速更新密鑰功能，改進加密密鑰生成算法：在TKIP中根據共享密鑰、客戶端MAC地址和數據分組序列號為每個數據分組生成唯一的加密密鑰，用密鑰對數據分別進行RC4加密運算。即使攻擊者收集大量數據，想從中破解共享密鑰也是幾乎不可能的。

3 WPA特點

1）在TKIP中IV大小增加到48位。

2）WEP加密的CRC-32校驗和計算由Michael取代。Michael專用于提供強數據完整性。Michael算法可計算64位MIC值，該值用TKIP加密。

3）TKIP和Michael使用從主密鑰和其他值派生的臨時密鑰。主密鑰從可擴展身份驗證協議—傳輸層安全性（EAP-TLS）或受保護的EAP（PEAP）802.1x身份驗證派生而來。RC4PRNG的輸入機密部分通過數據包混合函數計算出，隨幀改變而改變。

4）自動重新生成密鑰以派生新臨時密鑰組。

5）無重放保護TKIP將IV用作幀計數器以提供重放保護。

4 WPA缺陷

WPA存在3方面缺陷：

1）不能為獨立基礎服務集（IBSS）網絡提供安全支持。IBSS可讓2臺客戶端計算機在無線局域網上不通過中間媒介對話。

2）WPA不能在網絡上對多個接入點預檢。預檢對于從一地到另一地漫游非常重要。

3）WPA不能支持高級加密標準（AES），如果使用AES就需為客戶機增加額外計算能力，必須增加成本。

5 結束語

WLAN總發展方向是速度越來越快，安全性要求會越來越高。隨著網絡發展更新，更安全更易實現的技術將不斷出現，為網絡提供更有力的保障。但沒有一種方案能解決所有安全問題。為對付不斷出現的新安全威脅，需要不斷研究相關技術來搭建更強、更安全的WLAN。