WIFI的安全機制

　　連接到無(wú)線(xiàn)局域網(wǎng)通常是有密碼保護的。下面小編為大家介紹一下WIFI的安全機制相關(guān)知識吧，歡迎閱讀！

　　WIFI安全性主要包括訪(fǎng)問(wèn)控制和加密兩大部分，訪(fǎng)問(wèn)控制保證只有授權用戶(hù)能訪(fǎng)問(wèn)敏感數據，加密保證只有正確的接收方才能理解數據。為了解決WIFI網(wǎng)絡(luò )的安全問(wèn)題，2003年WIFI聯(lián)盟推出了WIFI保護接入(Wi—Fi Protected Access，WPA)作為安全解決方案以滿(mǎn)足日益增長(cháng)的安全機制的市場(chǎng)需求。

　　WPA技術(shù)

　　WPA是無(wú)線(xiàn)應用協(xié)議(Wireless Application Protocol)的簡(jiǎn)稱(chēng)，是一種開(kāi)放式的全球規范。有WPA和WPA2兩個(gè)標準，是一種保護無(wú)線(xiàn)電腦網(wǎng)絡(luò )(Wi—Fi)安全的系統。WPA作為IEEE802.11i的一個(gè)子集，避開(kāi)了WEP的眾多弱點(diǎn)，可大大增強現有以及未來(lái)無(wú)線(xiàn)局域網(wǎng)系統數據保護的訪(fǎng)問(wèn)控制水平。WPA可保證WIAN用戶(hù)的數據受到保護，并且只有授權用戶(hù)才可訪(fǎng)問(wèn)WLAN網(wǎng)絡(luò )。

　　WIFI網(wǎng)絡(luò )安全策略

　　加密方式

　　1)TKIP加密模式

　　WIFI無(wú)線(xiàn)網(wǎng)絡(luò )目前使用最廣泛的加密模式是WPA-PSK(TKIP)和WPA2-PSK(AES)兩種加密模式。TKIP的含義為暫時(shí)密鑰集成協(xié)議。TKIP使用的仍然是RC4算法，但在原有的WEP密碼認證引擎中添加了“信息包單加密功能”、“信息監測”、“具有序列功能的初始向量”和“密鑰生成功能”等4算法。

　　TKIP是包裹在已有WEP密碼外圍的一層“外殼”，這種加密方式在盡可能使用WEP算法的同時(shí)消除了已知的WEP缺點(diǎn)。專(zhuān)門(mén)用于糾正WEP安全漏洞，實(shí)現無(wú)線(xiàn)傳輸數據的加密和完整性保護。但是相比WEP加密機制，TKIP加密機制可以為WLAN服務(wù)提供更加安全的保護。主要體現在以下幾點(diǎn)：

　�、凫o態(tài)WEP的密鑰為手工配置，且一個(gè)服務(wù)區內的所有用戶(hù)都共享同一把密鑰。而TKIP的密鑰為動(dòng)態(tài)協(xié)商生成，每個(gè)傳輸的數據包都有一個(gè)與眾不同的密鑰。

　�、赥KIP將密鑰的長(cháng)度由WEP的40位加長(cháng)到128位，初始化向量IV的長(cháng)度由24位加長(cháng)到48位，提高了WEP加密的安全性。

　�、跿KIP支持MIC認證(Message Integrity Cheek，信息完整性校驗)和防止重放攻擊功能。

　　2)AES加密模式

　　WPA2放棄了RC4加密算法，使用AES算法進(jìn)行加密，是比TKIP更加高級的加密技術(shù)。AES是一個(gè)迭代的、對稱(chēng)密鑰分組的密碼，它可以使用128、192和256位密鑰，并且用128位(16字節)分組加密和解密數據。與公共密鑰密碼使用密鑰對不同，對稱(chēng)密鑰密碼使用相同的密鑰加密和解密數據。通過(guò)分組密碼返回的加密數據的位數與輸入數據相同。迭代加密使用一個(gè)循環(huán)結構，在該循環(huán)中重復置換(permutations)和替換(substitutions)輸入數據。

　　認證方式

　　WPA給用戶(hù)提供了一個(gè)完整的認證機制，AP根據用戶(hù)的認證結果決定是否允許其介入無(wú)線(xiàn)網(wǎng)絡(luò )中;認證成功后可以根據多種方式動(dòng)態(tài)地改變每個(gè)接入用戶(hù)的加密密鑰。對用戶(hù)在無(wú)線(xiàn)中傳輸的數據報進(jìn)行MIC編碼，確保用戶(hù)數據不會(huì )被其他用戶(hù)更改。

　　WPA有2種認證模式：

　　1)是使用802.1x協(xié)議進(jìn)行認證，即就是802.1x+=EPA方式(工業(yè)級的，安全要求高的地方用。需要認證服務(wù)器);

　　2)是預先共享密鑰PSK模式(家庭用的，用在安全要求低的地方。不需要服務(wù)器)。AP和客戶(hù)端分享密鑰的過(guò)程叫做4次握手，過(guò)程如圖2所示。

　　1)客戶(hù)端SrrA與無(wú)線(xiàn)接入點(diǎn)AP關(guān)聯(lián);

　　2)STA需要向AP發(fā)送認證消息，在被授權以前，即使STA與AP始終關(guān)聯(lián)，TSA也不能夠訪(fǎng)問(wèn)網(wǎng)絡(luò )，只能繼續向AP發(fā)送認證消息，經(jīng)由遠程認證撥號用戶(hù)服務(wù)AP將認證消息發(fā)送給后端服務(wù)器來(lái)認證;

　　3)客戶(hù)端STA利用EAP協(xié)議，通過(guò)AP的非受控端口向認證服務(wù)器提交身份憑證，認證服務(wù)器負責對STA進(jìn)行身份驗證;

　　4)如果STA未通過(guò)認證，客戶(hù)端一直被阻止訪(fǎng)問(wèn)網(wǎng)絡(luò );如果認證成功，則認證服務(wù)器通知AP向該STA打開(kāi)受控端口;

　　5)身份認證服務(wù)器利用TKIP協(xié)議自動(dòng)將主配對密鑰分發(fā)給AP和客戶(hù)端STA，主配對密鑰基于每用戶(hù)、每個(gè)802.1x的認證進(jìn)程是惟一的;

　　6)STA與AP再利用主配對密鑰動(dòng)態(tài)生成基于每數據包惟一的數據加密密鑰;

　　7)利用該密鑰對STA與AP之間的數據流進(jìn)行加密。

　　這樣就好象在兩者之間建立了一條加密隧道，保證了空中數據傳輸的高安全性。

　　存在問(wèn)題

　　WPA-PSK/WPA2-PSK(TKIP、AES)是目前主流的加密方式，但由于TKIP與AES子算法自身的問(wèn)題。使得WPA也將面臨著(zhù)被徹底破解的威脅。

　　用戶(hù)在使用無(wú)線(xiàn)網(wǎng)絡(luò )時(shí)應該注意以下幾點(diǎn)

　　1)對于自己搭建無(wú)線(xiàn)網(wǎng)絡(luò )的用戶(hù)，至少要進(jìn)行一些最基本的安全配置，如隱藏SSID，關(guān)閉DHCP，設置WEP密鑰，啟用內部隔離等。

　　2)如果安全要求再高一些，還可以啟用非法AP監測，配置MAC過(guò)濾，啟用WPA/WPA2，建立802.1x端口認證。

　　3)如果有更高的安全需求，那么可以選擇的安全手段就更多，比如，使用定向天線(xiàn)，調整發(fā)射功率，把信號可能收斂在信任的范圍之內;還可以將無(wú)線(xiàn)局域網(wǎng)視為Internet一樣來(lái)防御，甚至在接口處部署入侵檢測系統。

　　4)如果您是企業(yè)用戶(hù)，千萬(wàn)不要忘記建立完善的安全管理制度并分發(fā)至員工。當您需要在熱點(diǎn)區域使用無(wú)線(xiàn)網(wǎng)絡(luò )時(shí)，您需要能夠您所在網(wǎng)絡(luò )的安全程度，如果認定網(wǎng)絡(luò )不夠安全，那么請盡量不要在此網(wǎng)絡(luò )中提交或透露敏感信息，并盡量縮短在線(xiàn)的時(shí)間。

【W(wǎng)IFI的安全機制】相關(guān)文章：

如何安全使用公共場(chǎng)所免費WiFi06-13

Android操作系統的安全機制09-13

哪種WIFI無(wú)線(xiàn)各種加密方式更安全07-26

wifi設置技巧10-07

WIFI技術(shù)簡(jiǎn)介11-29

什么是隨身wifi09-17

隨身wifi的市場(chǎng)10-08

WiFi信號差怎么辦 WiFi信號增強技巧08-13

Wifi的使用小技巧08-10