物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

不做公共WiFi熱點(diǎn) 看三大無線加密技術(shù)

作者:白寧
來源:中關(guān)村在線
日期:2010-09-27 09:02:43
摘要:無論是在公司還是在家里,當(dāng)你打開筆記本,搜索周邊的無線網(wǎng)絡(luò)時(shí),你總能或多或少地發(fā)現(xiàn)幾個(gè)沒有設(shè)置任何安全防護(hù)措施的無線熱點(diǎn)。這些沒有加密的無線網(wǎng)絡(luò)就等同于免費(fèi)的公共WiFi熱點(diǎn),它們是“蹭網(wǎng)”一族的最愛,而這些“蹭網(wǎng)者”在本著不用白不用,有便宜必須占的原則下,不僅分享著你的無線網(wǎng)絡(luò)帶寬,還捎帶手的“竊取”著你的個(gè)人資料。
      給無線網(wǎng)絡(luò)加密 其實(shí)很簡(jiǎn)單

  無論是在公司還是在家里,當(dāng)你打開筆記本,搜索周邊的無線網(wǎng)絡(luò)時(shí),你總能或多或少地發(fā)現(xiàn)幾個(gè)沒有設(shè)置任何安全防護(hù)措施的無線熱點(diǎn)。這些沒有加密的無線網(wǎng)絡(luò)就等同于免費(fèi)的公共WiFi熱點(diǎn),它們是“蹭網(wǎng)”一族的最愛,而這些“蹭網(wǎng)者”在本著不用白不用,有便宜必須占的原則下,不僅分享著你的無線網(wǎng)絡(luò)帶寬,還捎帶手的“竊取”著你的個(gè)人資料。因此,為無線網(wǎng)絡(luò)加密刻不容緩。

  當(dāng)我們?cè)儐栠@些“公共WiFi熱點(diǎn)的提供者”為什么不給無線網(wǎng)絡(luò)加密時(shí)?得到的答案往往是不知在哪設(shè)置無線加密,或是不知該選擇哪種無線加密方式,對(duì)無線加密不了解等等。如果你也有相同的疑問,那么下文中的內(nèi)容你絕對(duì)不容錯(cuò)過,看過之后保你輕松選對(duì)無線加密方式,擁有更加安全的無線網(wǎng)絡(luò)環(huán)境。



給無線網(wǎng)絡(luò)加密 其實(shí)很簡(jiǎn)單 

      給無線網(wǎng)絡(luò)加密是無線路由的最基礎(chǔ)設(shè)置,無論你用的是何種品牌的無線路由器,你只需在IE地址欄中輸入無線路由的默認(rèn)IP地址(一般是標(biāo)注在無線路由底部的銘牌上),例如:192.168.1.1,然后登錄無線路由的Web配置界面,在“無線安全”菜單中就能找到無線加密的設(shè)置了。



在Web配置界面中進(jìn)行設(shè)置 

        除了通過Web配置界面設(shè)置無線加密外,很多新款無線路由還可以通過隨機(jī)附帶的安裝光盤進(jìn)行無線加密設(shè)置,對(duì)于初級(jí)用戶來說,這樣的向?qū)Ч獗P非常實(shí)用,操作起來簡(jiǎn)單高效。



智能安裝向?qū)?/EM> 

       通過上面的介紹,相信你已經(jīng)了解如何給無線網(wǎng)絡(luò)加密了。但面對(duì)WEP、WPA、WPA2三種加密方式,我們又該如何選擇呢?它們之間的區(qū)別又是什么呢?是不是隨便選一個(gè)就行呢?請(qǐng)接著往下看。

      WEP:最先被攻破的無線加密技術(shù)

  



WEP:最先被攻破的無線加密技術(shù) 


  WEP(Wired Equivalent Privacy,有線等效保密)。單從名字上看,WEP似乎是一個(gè)針對(duì)有線網(wǎng)絡(luò)的安全加密協(xié)議,其實(shí)并非如此。WEP標(biāo)準(zhǔn)在無線網(wǎng)絡(luò)出現(xiàn)的早期就已創(chuàng)建,它是無線局域網(wǎng)WLAN的必要的安全防護(hù)層。目前常見的是64位WEP加密和128位WEP加密。

  WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),在無線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是使用一個(gè)隨機(jī)產(chǎn)生的密鑰來加密的。但WEP用來產(chǎn)生這些密鑰的算法很快就被發(fā)現(xiàn)具有可預(yù)測(cè)性,對(duì)于入侵者來說,他們可以很容易的截取和破解這些密鑰,讓用戶的無線安全防護(hù)形同虛設(shè)。

  IEEE(美國電氣和電子工程師協(xié)會(huì))802.11的WEP(有線等效保密)模式是在上世紀(jì)九十年代后期設(shè)計(jì)的,當(dāng)時(shí)的無線安全防護(hù)效果非常出色。然而,僅僅兩年以后,在2001年8月,F(xiàn)luhrer et al.就發(fā)表了針對(duì)WEP的密碼分析,利用RC4加解密和IV的使用方式的特性,在無線網(wǎng)絡(luò)上偷聽?zhēng)讉€(gè)小時(shí)之后,就可以把RC4的鑰匙破解出來。這個(gè)攻擊方式迅速被傳播,而且自動(dòng)化破解工具也相繼推出,WEP加密變得岌岌可危。

  也許有些用戶在實(shí)際應(yīng)用中會(huì)發(fā)現(xiàn),雖然無線路由支持WEP、WPA、WPA2三種加密方式,但只有選擇WEP加密方式才能實(shí)現(xiàn)無線連接,選擇WPA/WPA2均無法連接。造成這種現(xiàn)象的主要是因?yàn)橛脩舻臒o線網(wǎng)卡(或操作系統(tǒng)版本)較老,只能支持WEP加密方式。所以,盡管WEP無線加密的安全性存在問題,但為了滿足早期無線用戶的需求,目前市場(chǎng)中主流的AP/無線路由依然支持WEP加密方式。

  如果你所使用的無線網(wǎng)卡較老,那么在選擇無線安全連接方式時(shí),WEP加密可能就是你的唯一選擇,那么請(qǐng)盡量選擇128位WEP加密,相比64位加密,安全性更可靠一些。雖然WEP加密的安全性不高,但依然可以阻擋一部分初級(jí)非法用戶的入侵,至少也可以避免讓你的無線網(wǎng)絡(luò)成為“免費(fèi)的公共WiFi熱點(diǎn)”,因此筆者強(qiáng)烈建議無線用戶們至少為你們的無線網(wǎng)絡(luò)進(jìn)行WEP加密。

      WPA:目前最佳的無線加密技術(shù)

  



WPA:目前最佳的無線加密技術(shù) 


  由于WEP的安全性較低,IEEE 802.11組織開始制定新的安全標(biāo)準(zhǔn),也就是802.11i協(xié)議。但由于新標(biāo)準(zhǔn)從制定到發(fā)布需要較長(zhǎng)的周期,而且用戶也不會(huì)僅為了網(wǎng)絡(luò)的安全性就放棄原來的無線設(shè)備,所以無線產(chǎn)業(yè)聯(lián)盟在新標(biāo)準(zhǔn)推出之前,又在802.11i草案的基礎(chǔ)上制定了WPA(Wi-Fi Procted Access)無線加密協(xié)議。

  WPA使用TKIP(Temporal Key Integrity Protocol,臨時(shí)密鑰完整性協(xié)議),它的加密算法依然是WEP中使用的RC4加密算法,所以不需要修改原有的無線設(shè)備硬件。WPA針對(duì)WEP存在的缺陷,例如IV過短、密鑰管理過于簡(jiǎn)單、對(duì)消息完整性沒有有效的保護(hù)等問題,通過軟件升級(jí)的方式來提高無線網(wǎng)絡(luò)的安全性。

  WPA為用戶提供了一個(gè)完整的認(rèn)證機(jī)制,AP/無線路由根據(jù)用戶的認(rèn)證結(jié)果來決定是否允許其接入無線網(wǎng)絡(luò),認(rèn)證成功后可以根據(jù)多種方式(傳輸數(shù)據(jù)包的多少、用戶接入網(wǎng)絡(luò)的時(shí)間等)動(dòng)態(tài)地改變每個(gè)接入用戶的加密密鑰。此外,它還會(huì)對(duì)用戶在無線傳輸中的數(shù)據(jù)包進(jìn)行MIC編碼,確保用戶數(shù)據(jù)不會(huì)被其他用戶更改。作為802.11i標(biāo)準(zhǔn)的子集,WPA的核心就是IEEE802.1x和TKIP。

  考慮到不同的用戶群和不同的應(yīng)用安全需要,WPA采用了兩種應(yīng)用模式,即企業(yè)模式和家庭模式。根據(jù)不同的應(yīng)用模式,WPA的認(rèn)證也分為兩種不同的方式,對(duì)于大型企業(yè)用戶來說,“802.1x+ EAP”的加密方式是最佳選擇,它的安全性非常好,用戶必須提供認(rèn)證所需的憑證才能實(shí)現(xiàn)連接。

  而對(duì)于一些中小型的企業(yè)網(wǎng)絡(luò)或者家庭用戶老說,“WPA預(yù)共享密鑰(WPA-PSK)”模式更加適合,它不需要專門的認(rèn)證服務(wù)器,僅要求在每個(gè)WLAN節(jié)點(diǎn)(AP、無線路由器、網(wǎng)卡等)預(yù)先輸入一個(gè)密鑰即可。需要注意的是,這個(gè)密鑰僅僅用于認(rèn)證過程,而不是用于傳輸數(shù)據(jù)的加密。數(shù)據(jù)加密的密鑰是在認(rèn)證成功后動(dòng)態(tài)生成的,系統(tǒng)將保證“一戶一密”,不存在像WEP那樣全網(wǎng)共享一個(gè)加密密鑰的情形,所以無線網(wǎng)絡(luò)的安全性較WEP有大幅提升。

  雖然WPA(TKIP)加密技術(shù)也在08年被破解,但其破解過程非常復(fù)雜,并非一般黑客可以實(shí)現(xiàn)。所以如果你的無線路由和無線網(wǎng)卡均支持WPA加密,那么請(qǐng)毫不猶豫的選擇此加密方式,因?yàn)樗悄悻F(xiàn)階段的最佳選擇,更能幫你輕松遠(yuǎn)離“被蹭網(wǎng)”的煩惱。

      WPA2:目前最強(qiáng)的無線加密技術(shù)

 

 
WPA2:目前最強(qiáng)的無線加密技術(shù)

      前面已經(jīng)提到,由于完整的IEEE 802.11i標(biāo)準(zhǔn)推出尚需一段時(shí)日,而WiFi聯(lián)盟為了讓新的安全性標(biāo)準(zhǔn)能夠盡快被布署,以消除用戶對(duì)無線網(wǎng)絡(luò)安全性的擔(dān)憂,從而讓無線網(wǎng)絡(luò)的市場(chǎng)可以迅速擴(kuò)展開來,因此以已經(jīng)完成的TKIP的IEEE 802.11i第三版草案(IEEE 802.11i draft 3)為基準(zhǔn),制定了WPA。而當(dāng)IEEE完成并公布IEEE 802.11i無線局域網(wǎng)安全標(biāo)準(zhǔn)后,Wi-Fi聯(lián)盟也隨即公布了WPA第2版——WPA2。WPA2支持AES(高級(jí)加密算法),安全性更高;但與WPA不同的是,WPA2需要新的硬件才能支持。 

  WPA2是WiFi聯(lián)盟驗(yàn)證過的IEEE 802.11i標(biāo)準(zhǔn)的認(rèn)證形式,WPA2實(shí)現(xiàn)了802.11i的強(qiáng)制性元素,特別是Michael算法被公認(rèn)徹底安全的CCMP(計(jì)數(shù)器模式密碼塊鏈消息完整碼協(xié)議)訊息認(rèn)證碼所取代、而RC4加密算法也被AES所取代。

  在WPA/WPA2中,PTK的生成是依賴于PMK的,而PMK的方式有兩種,一種是PSK方式,也就是預(yù)共享密鑰模式(pre-shared key,PSK,又稱為個(gè)人模式),在這種方式中PMK=PSK;而另一種方式則需要認(rèn)證服務(wù)器和站點(diǎn)進(jìn)行協(xié)商來產(chǎn)生PMK。下面我們通過公式來看看WPA和WPA2的區(qū)別: 

  WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(選擇性項(xiàng)目)/TKIP

  WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(選擇性項(xiàng)目)/TKIP/CCMP

  目前WPA2加密方式的安全防護(hù)能力非常出色,只要你的無線設(shè)備均支持WPA2加密,那你將體驗(yàn)到最安全的無線網(wǎng)絡(luò)生活。即使是目前最熱的“蹭網(wǎng)卡”也難以蹭入你的無線網(wǎng)絡(luò),用戶大可放心使用。

  還有更強(qiáng)的加密模式

  也許有些用戶已經(jīng)注意到了,在無線路由的無線網(wǎng)絡(luò)加密模式中還有一個(gè)WPA-PSK(TKIP)+WPA2-PSK(AES)的選項(xiàng),它是比WPA2更強(qiáng)的加密方式嗎?答案是肯定的,這確實(shí)是目前最強(qiáng)的無線加密方式,但由于這種加密模式的兼容性存在問題,設(shè)置完成后很難正常連接,因此不推薦普通用戶選擇此加密方式。

  總結(jié):請(qǐng)為你的無線網(wǎng)絡(luò)加密

  通過上面的介紹,相信你已經(jīng)對(duì)無線網(wǎng)絡(luò)的三種加密方式WEP、WPA、WPA2有了更全面的了解。對(duì)于普通的無線用戶,我們推薦大家選擇WPA-PSK(TKIP)和WPA2-PSK(AES)兩種加密方式,它們能最大限度地保證你無線網(wǎng)絡(luò)的安全,是現(xiàn)階段的最佳選擇;但如果你的無線網(wǎng)卡不支持WPA/WPA2加密,那么128位WEP加密方式將是你的安全防護(hù)底線,為了不讓你的無線網(wǎng)絡(luò)成為“免費(fèi)的公共WiFi熱點(diǎn)”,請(qǐng)為你的無線網(wǎng)絡(luò)加密。