淺析802.11i協(xié)議增強(qiáng)無(wú)線安全

有線等效加密協(xié)議(WEP)由于缺少足夠的安全性，從而延緩了無(wú)線局域網(wǎng)在許多企業(yè)中的廣泛采用。盡管多數(shù)網(wǎng)絡(luò)管理人員和最終用戶都知道切斷以太網(wǎng)連線所帶來(lái)的生產(chǎn)力好處，但大多數(shù)人擔(dān)心這樣做的風(fēng)險(xiǎn)。

安全角度看來(lái)，人們應(yīng)該像接入網(wǎng)絡(luò)而非核心企業(yè)網(wǎng)絡(luò)那樣對(duì)待無(wú)線局域網(wǎng)。當(dāng)企業(yè)用戶通過(guò)局域網(wǎng)交換機(jī)或集線器連接到網(wǎng)絡(luò)時(shí)，人們假定他們已經(jīng)是可信賴(lài)的用戶。因此，用戶可以使用也可以不使用像802.1x或RADIUS這樣額外增加的認(rèn)證功能的協(xié)議。

為了幫助堵住無(wú)線局域網(wǎng)中的這個(gè)漏洞，IEEE 802.11工作組建立了802.11i任務(wù)小組，為802.11標(biāo)準(zhǔn)開(kāi)發(fā)安全升級(jí)。802.11i任務(wù)小組正在圍繞基于802.1x端口認(rèn)證為用戶和設(shè)備認(rèn)證開(kāi)發(fā)802.11i標(biāo)準(zhǔn)。預(yù)計(jì)將在今年年底完成的802.11i標(biāo)準(zhǔn)包括兩項(xiàng)主要發(fā)展：Wi-Fi保護(hù)接入(WPA)和強(qiáng)健的安全網(wǎng)絡(luò)(RSN)。

Wi-Fi保護(hù)接入

第一個(gè)任務(wù)是堵住遺留設(shè)備中的安全漏洞，一般是通過(guò)固件或驅(qū)動(dòng)器升級(jí)。Wi-Fi聯(lián)盟已經(jīng)采納了802.11i草案標(biāo)準(zhǔn)的一個(gè)子集合，將它稱(chēng)為WPA，并且現(xiàn)在開(kāi)始認(rèn)證設(shè)備是否滿足WPA要求。

WPA利用暫時(shí)密鑰完整協(xié)議(TKIP)作為改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來(lái)獲得安全。它還增加了消息完整性檢查功能來(lái)防止數(shù)據(jù)包偽造。

雖然WPA對(duì)彌補(bǔ)WEP的缺點(diǎn)有很大幫助，但是并不是所有的用戶都能夠利用它。這是由于WPA可能不能向后兼容某些遺留設(shè)備和操作系統(tǒng)。此外，并不是所有的用戶都可以共享同樣的安全基礎(chǔ)設(shè)施，一些用戶將使用PDA并缺少PC的處理資源。此外，除非無(wú)線局域網(wǎng)系統(tǒng)具有運(yùn)行WPA和加快該協(xié)議處理速度的硬件，否則TKIP/WPA將降低網(wǎng)絡(luò)性能。

強(qiáng)健的安全網(wǎng)絡(luò)

RSN是接入點(diǎn)與移動(dòng)設(shè)備之間的動(dòng)態(tài)協(xié)商認(rèn)證和加密算法。802.11i草案標(biāo)準(zhǔn)中建議的認(rèn)證方案是基于802.1x和擴(kuò)展認(rèn)證協(xié)議(EAP)的，加密算法為高級(jí)加密標(biāo)準(zhǔn)(AES)。動(dòng)態(tài)協(xié)商認(rèn)證和加密算法使RSN可以不斷演進(jìn)，與最新的安全水平保持同步，添加算法應(yīng)付新的威脅，并不斷提供保護(hù)無(wú)線局域網(wǎng)傳送的信息所需要的安全性。

由于采用動(dòng)態(tài)協(xié)商、802.1x、EAP和AES, RSN比WEP和WPA可靠得多。但是，RSN不能很好地在遺留設(shè)備上運(yùn)行。只有最新的設(shè)備才擁有加快算法在客戶機(jī)和接入點(diǎn)中運(yùn)行速度所需的硬件，提供今天的無(wú)線局域網(wǎng)產(chǎn)品所期望的性能。WPA將把遺留設(shè)備的安全性提高到最低限度的可接受水平，而RSN才是802.11無(wú)線傳輸安全性的未來(lái)。

802.11i協(xié)議增強(qiáng)無(wú)線安全的分析就到這，希望大家能掌握和理解，我們還會(huì)繼續(xù)為大家整理相關(guān)知識(shí)和內(nèi)容的。