wifi网络安全存取—WPA简介和分类

    为了后面无线安全及黑客技术的学习，下面先来了解如何搭建基于WPA-PSK加密的无 线网络。

1  WPA１简介
    WPA (Wi-Fi Protected Access)即Wi-Fi网络安全存取。WPA作为一种大大提高无 线网络的数据保护和接入控制的增强安全性级别，的确能够解决WEP所不能解决的安 全问题。WPA通过使用一种名为TKIP（暂时密钥完整性协议）的新协议来解决上述问 题。使用的密钥与网络上每台设备的MAC地址及一个更大的初始化向量合并，来确信 每一节点均使用一个不同的密钥流对其数据进行加密。随后TKIP会使用RC4加密算法 对数据进行加密，但与WEP不同的是，TKIP修改了常用的密钥，从而使网络更为安全， 不易遭到破坏。
    WPA也包括完整性检查功能以确信密钥尚未受到攻击，同时加强了由WEP提供的形同 虚设的用户认证功能，并包含对802.lx和EAP（扩展认证协议）的支持。这样WPA既可以 通过外部Radius（拨入用户远程验证）服务对无线用户进行认证，也可以在大网络中使用 Radius协议自动更改和分配密钥。

2 WPA分类
    WPA使用动态密钥加密，也就是说，密钥是不断变化的，使入侵无线网络比WEP困 难，如图2-16所示。WPA被公认为目前无线网络安全性的最高级别之一，如果您的设备支 持此加密，则推荐使用。WPA含有两个版本，采用不同的验证过程。
    1．针对家庭及个人的WPA-PSK
    在小型网络或家庭环境中提供此种级别的安全性。它使用称为预配置共享密钥(PSK) 的密码。此密码越长，无线网绪的安全性越强。其中，对于加密，WPA使用临时密钥完整 性协议（Temporal Key Integrity Protocol，TKIP），这是一种建立动态密钥加密和相互验证的 机制。TKIP的安全功能弥补了WEP的不足。由于密钥在不断变化，可为无线网络提供较 高的安全级别。
    PSK是Pre-SharedKey的缩写，即预共享的 密钥。WPA和802.lli/WPA2都支持一个PSK模 式。简单地说，PSK模式是一个简化的 WPA/802.lli，是一个没有802.1X部分的WPA或 802.lli。 

    WPA使用动态的密镧加蟹蚕口惟P时更困难。 它会不断地变化并使得入侵您的网缝拄使
    图2-16
    2．对于商业，企业的WPA-Enterprise
    在有802.lx Radius服务器的企业网络上提供此种级别的安全性。其中，可扩展认证协 议( EAP)用于验证过程中的消息交换。它通过Radius（远程验证拨入用户服务）服务器利 用802.lx服务器技术验证用户的身份。为无线网络提供行业级安全性，但需要有Radius 服务器。 2.2.3 WPA的改进
    在支持新的IEEE 802.lli安全标准韵硬件出现之前，作为一个权宜之计，WPA主要针 对的是密钥相对容易被捕捉和破坏的企业网络。与家庭或是小型企业局域网相比，企业网络 密钥被窃取的过程相对容易，黑客只需要从无线网络流量中搜集并创建攻击所需信息即可完 成对密钥的窃取。当然，WPA也适用于不需要外部认证、使用简单共享密钥的小型网络。 如表2-2所示，WPA已基本解决了前面WEP出现的问题。

表2-2    

    需要说明的是，若当前无线产品是早期购置的，就需要对所有的设备进行升级以支持 WPA，包括接入点、无线路由器、客户端网络适配器、无线桥接器和打印机服务器等，任何 存在无线接口的设备都需要升级。另外，Windows用户无须担心，Windows XP SP2以上的 版本均已增加WPA支持。详情请参见微软知识库第815485号文章(http://support. microsoft.com/?kbid=815485).

3，WPA2筒介
    WPA2是第二代WPA，构建WPA2并不是为了解决WPA内的任何局限性，而且向 后兼容于支持WPA的产品。最初的WPA与WPA2之间的主要差别是WPA2需要高级 加密标准(AES)来加密数据，而最初的WPA使用TKIP。但现在，无论是WPA还是WPA2 都已经支持AES。在进行扫描探测中，常会出现AES、AES-CCMP或者CCMP来指代AES 的启用。与WPA -样，WPA2也分企业版和家庭版，在很多无线设备上也会显示为 WPA2-Enterprise署口WPA2-PSK。

3， WPA面临的安全问题
    虽然WPA是继承了WEP基本原理而又解决了WEP缺点的一种强化技术。通常情况下， 由于加强了生成加密密钥的算法，因此即便收集到分组信息并对其进行解析，也几乎无法计 算出通用密钥。但是，也只是“几乎”而已。
    实际上，WPA只是在802.lli正式推出之前的Wi-Fi企业联盟的安全标准，由于它仍然 是采用比较薄弱的RC4加密算法，所以黑客只要监听到足够的数据包，借助强大的计算设 备，即使在TKIP的保护下，同样可能***网络。因此，WPA只能算做是无线局域冈安全领 域的一个过客。而依据WPA制定出来的成熟版本WPA2，虽然不能再说成是过客，但其安 全强度也依然受到质疑。

4，关于Windows下的WPA2支持性

　　由于Windows XP SP2在默认隋况下仅支持到WPA，故用户使用Windows自带的无线配置服务 并不能够连接到WPA2及802.lli，如图2-17所示，在“网络验证”下拉列表中是没有这个选项的。
    不过Microsofi推出了基于Windows XP SP2的WPA2 /802.lli相关补丁，并集成在了 Windows XP SP3中，安装后即可以连接WPA2加密的AP。需要注意的是，并非所有网卡都 能支持802.lli和WPA2标准，部分网卡通过升级驱动可以支持，如果用户发现安装该补 丁后仍然无法通过Windows XP自带无线管理程序识别及连接WPA2加密的无线AP，可能 需要查询驱动程序更新和／或网卡Firmware更新。
    对于Windows XP SP2的用户，由于该补丁不通过Windows自动更新发布，属于增值补 丁，所以需要运用该补丁的用户需要到微软官方站点下载，下载站点如下：

图2. 18所示为升级该WPA2补丁后，Windows系统已支持WPA2。