从2000年底开始,人们逐渐发现无线LAN标准中的WEP(有线对等加密)安全技术存在隐患。同时,不仅推算WEP加密密钥的算法已经公开,而且采用该算法的软件也可免费获得。破解WEP、无线LAN通信内容被监听的危险就在我们身边!
但是,多数用户可在无线LAN网络中使用的安全技术只有WEP。多数情况下,用户都是明知WEP存在安全隐患,但仍然只能继续使用。
最近,人们终于看到了解决这一问题的曙光。因为2003年6月底以后,替代WEP的最新安全标准“WPA(Wi-Fi保护访问)”已进入产品领域。负责无线LAN产品兼容性认证的非营利团体Wi-Fi联盟的方针是:2003年9月以后必须采用WPA。今后,WPA必将成为无线LAN安全技术的主流。
此次笔者通过升级日本Linksys的无线LAN路由器“WRT54G”和无线LAN卡“WPC54G”的固件及驱动程序,实际运行了WPA,对其易用性进行了测试。
加密方式为TKIP和AES
图1:WPA规定的主要内容
在介绍有关其易用性的情况之前,笔者先对WPA简单地加以介绍。WPA是Wi-Fi联盟为了消除WEP的缺点而自2003年4月开始认证程序的安全规格。
WPA规定的项目大体分为2个(见图1)。一是对用户进行认证,然后为终端发布加密密钥。另一个是加密方式,不是存在安全隐患的WEP,而是另行规定了全新的加密方式。
图1
WPA(Wi-Fi保护访问)
认证·密钥发布方式
IEEE802.1x
认证服务器和接入点相配合,对每个用户都要对其接入的终端进行认证。
Pre-SharedKey(预置共享密钥)
通过与使用同一接入点的所有终端共享与接入点相同的密钥进行认证。认证后向终端发布各不相同的密钥。
加密方式
TKIP
此加密方式消除了已知的WEP缺点。可通过升级采用WEP的无线LAN产品的固件/驱动程序来支持。
AES(计划添加到2004年制定的WPAv2中)
美国政府制定的DES加密方式的后续通用加密方式。虽然加密强度得到了提高,但由于处理负荷增加了,因此现有产品难以支持。
关于认证·密钥发布方式,对面向企业用户的产品规定,必须采用能为每个用户进行认证和密钥发布的“IEEE802.1x”协议(无线LAN卡所有产品必须支持该协议)。不过,为了使用801.1x,除接入点的支持以外,还必须预备用于保存用户治理信息的认证服务器(RADIUS服务器)。这一点对于人数不多的企业和家庭来讲负担较重。因此还专门面向家庭和SOHO预备了预置共享(Pre-Shared)模式。这种模式是指像WEP一样预先在终端和接入点中只注册一个密码,与该接入点通信的终端共享同一个密码进行认证,再向终端发布密钥。
加密方式采用TKIP(临时密钥完整性协议)。TKIP是WEP的改进版。在尽可能使用WEP算法的同时,又消除了WEP已知的缺点。之所以使用WEP算法,是为了能够只需对现有WEP产品进行升级就可使用这种加密方式(绝大多数无线LAN芯片均配备了处理WEP算法的电路)。
另外,尽管目前在WPA中尚未确定,但是将来还预备在WPA中添加一种称为AES(高级加密标准)的新的加密方式。这种方式不能使用原来的算法,处理负荷较高,因此最好进行硬件处理。尽管部分无线LAN芯片配备了AES电路,但大多没有芯片。按照Wi-Fi联盟的计划,从2004年第4季度开始将必须采用AES。据该团体的文件称,将来预备废除WEP和TKIP,而统一采用AES。
终端还必须对设置工具进行升级
下面就来看看WPA的实际运行情况。首先让我们从预备工作开始。日本Linksys的接入点只需从该公司的Web站点下载固件并安装,即可支持WPA。
图2:接入点的设置画面和访问时终端显示的画面
而无线LAN卡假如只是安装新的驱动程序,并不能支持WPA。还必须升级设置加密方式和密码的实用程序。
对于Windows98/Me/2000等OS,日本Linksys预备通过升级专用实用程序来支持WPA(提供日期尚未确定)。而WindowsXP方面,微软已经提供了用于使OS标准实用程序支持WPA的升级程序组件,可以通过安装这种升级组件支持新的加密方式和认证方式(请参考:http://support.microsoft.com/?kbid=815485)。
图2
接入点方面:
认证·密钥发布方式的设置类型:可以选择PSK(预置共享密钥)和IEEE802.1x
加密方式的设置类型:可以从WEP、TKIP和AES中选择
终端方面:
用户只要输入密码(网络密钥),利用接入点中预先设置的方法认证后,即可进行加密通信
TKIP速度降低3成,AES速度不变
经过上述预备,从接入点的治理画面(用Web浏览器显示)来看,加密方式过去只能选择WEP,而现在还可选择TKIP和AES(见图2左)。其中,AES像刚才所说的那样目前不包括在WPA中,但是“由于日本Linksys采用的美国Broadcom生产的无线LAN芯片中已经配备了AES处理电路,因此此次可以使用AES加密方式”(日本Linksys产品销售部经理山田泰志)。另外,新设了认证·密钥发布选择类型,可以选择PSK和802.1x方式。
照片1:在终端上明确地进行WPA设置的画面
比如,在接入点设置画面中,认证·密钥发布方式和加密方式分别选择Pre-Shared(设置画面上为WPA-PSK)和TKIP。由终端进行首次访问时,就会出现如图2右所示的画面。在这里输入接入点中预先设置的共享密钥(网络密钥),就可使用无线LAN。以后,由于这个认证信息会保留在个人电脑中,因此即便不再输入共享密钥,终端也可根据所保留的信息自动连接。加密方式改成AES,运行情况仍然一样。
还可像照片1所示的那样,在终端上预先设置加密方式和认证方式。当所设置的内容与接入点的设置不同时,就会认证失败。不过,此后只要打开如图2右所示的画面,输入正确的密钥即可连接。此后会始终保留最后一次连接成功的设置。
另外,笔者还把使用TKIP和AES时的实际通信速度与WEP进行了比较。其结果如图3所示。除TKIP降低约30以外,与不加密时相比基本差不多。使用TKIP时速度下降的原因估计是因为WEP和AES几乎能够用专用电路进行所有处理,而TKIP则利用软件进行大部分的处理。
图3:通信速度因加密方式而不同
在测试过程中,使用Netperf,对数据从连接无线LAN端口的个人电脑向无线LAN终端之间的传输速度进行了测定。
