無線產品的多種無線加密方式及其區別

無線產品的多種無線加密方式及其區別

0 前言

    無線網絡的安全性由認證和加密來保證。本文主要討論的是無線加密，加密和認證的關係十分密切，文中出現相關無線認證方式的介紹，因此各位要注意區分這兩個概念：

    認證允許只有被許可的用戶才能連接到無線網絡；

    加密的目的是提供數據的保密性和完整性（數據在傳輸過程中不會被篡改）。

    我司的無線產品使用的操作系統目前主要使用OpenWrt和RGOS兩大類，兩種操作系統的加密認證方式懸殊，下面通過console介紹下兩種操作系統的所支持的加密(不代表所有的，示例版本而已)方式：

(a) Openwrt。

圖1 OpenWrt支持的加密方式

(b) RGOS。進入WLAN的無線安全配置模式（WLANSEC配置模式）。

    輸入“?”查看所支持的安全配置項：

圖2 RGOS支持的加密方式

    從上面圖中，有些關鍵縮寫字不是那麼容易明瞭。想了解銳捷無線產品的加密方式，必須習慣這些晦澀難懂的3~4字母組成的縮略詞，曾經有人統計過，802.11所使用的縮略術語數量創網絡詞彙歷史最高。無線局域網的認證(Authentication)和加密(Encryption)方式有Open System，WEP，WPA，WPA2，MAC ACL，Web Redirection幾種。

    下面分別按照圖中術語出現的先後，RSN、WEP、WAPI、WPA的順序介紹各種加密方式的異同。若需瞭解相關歷史，可以參考網絡文章，另外，本文大部分的內容也是摘抄於網絡。

1 有線等效保護協議(Wired Equivalent Privacy - WEP)

    有線等效保護協議。無線接入點設定有WEP密鑰(WEP Key)，無線網卡在要接入到無線網絡是必須要設定相同的WEP Key，否則無法連接到無線網絡。WEP可以用在認證或是加密，例如認證使用Open System，而加密使用WEP；或者認證和加密都使用WEP。WEP加密現在已經有軟件可以輕易破解，因此不是很安全。

    對於開放系統認證，在設置時也可以啓用WEP，此時，WEP用於在傳輸數據時加密，對認證沒有任何作用。對於共享密鑰認證，必須啓用WEP，WEP不僅用於認證，也用於在傳輸數據時加密。WEP使用對稱加密算法（即發送方和接收方的密鑰是一致的），WEP使用40位或104位密鑰和24位初始化向量（Initialization Vector – IV，隨機數）來加密數據。由於WEP有一些嚴重缺陷，如初始化向量的範圍有限，而且是使用明文傳送……，802.11使用802.1X來進行認證、授權和密鑰管理，另外，IEEE開始制訂802.11i標準，用於增強無線網絡的安全性。同時，Wi-Fi聯盟與IEEE一起開發了Wi-Fi受保護的訪問（Wi-Fi Protected Access – WPA）以解決WEP的缺陷

2 WPA及WPA2
    不同於WEP，WPA同時提供認證（基於802.1X可擴展認證協議– Extensible Authentiation Protocl - EAP的認證）和加密（臨時密鑰完整性協議– Temporal Key Integrity Protocol –TKIP）。可擴展認證協議（EAP）是一個認證框架，而不是一種特定的認證機制，EAP提供一些公共的功能，並且允許協商認證機制（EAP方法）。EAP規定如何傳輸和使用由EAP方法產生的密鑰材料（如密鑰、證書等等）和參數。銳捷無線產品的WPA認證模式下的加密方式，有AES和TKIP兩種加密方式。還是進入正題：

2.1 WPA的加密– TKIP
    臨時密鑰完整性協議（TemporalKey Integrity Protocol – TKIP）也是對稱加密方法，使用RC4算法，TKIP使用128位臨時密鑰和48位初始化向量（IV）。總結：
    WPA的優點：

        （1）WPA利用802.1X認證提供強力的訪問控制；

        （2）TKIP使用動態密鑰

    WPA缺點：

        （1）由於TKIP使用RC4算法，安全隱患

        （2）複雜的認證和加密導致性能降低

2.2 WPA2的加密 - AES-CCMP

    WPA2顧名思義就是WPA的加強版，也就是IEEE 802.11i的最終方案。同樣有家用的PSK版本（PSK的概念後面會介紹）與企業的IEEE 802.1X版本。WPA2與WPA的差別在於，它使用更安全的加密技術AES (Advanced Encryption Standard)，因此比WPA更難被破解、更安全。

    802.11i定義了臨時密鑰完整性協議（TKIP）、計數器模式密碼塊鏈消息認證碼協議（Counter Mode withCipher Block Chaining Message Authentication Code Protocol – CCMP）、Wireless Robust AuthenticationProtocol – WRAP三種加密方式。另外還有一種AES-CCMP加密方式，AES表示Advanced encryption standard（高級加密標準），使用AES加密算法代替過時的DES（DataEncryption Standard – 數據加密標準）加密算法能夠提供更高的安全性，但由於AES-CCMP需要硬件，提高了成本。

3 WAPI

    無線局域網認證和保密基礎結構（WLAN Authentication and Privacy Infrastructure）是我國提出的無線局域網安全標準。WAPI包括無線局域網認證基礎結構（WLAN AuthenticationInfrastructure - WAI）和無線局域網保密基礎結構（WLAN PrivacyInfrastructure - WPI）。WAI提供認證功能，WPI提供加密功能。

4 MAC ACL (Access Control List)

    MACACL只是一種認證方式。在無線AP輸入允許被連入的無線網卡MAC位址，不在此清單的無線網卡無法連入無線網絡。

5 Open System

    完全不認證也不加密，任何擁有無線網卡的人都可以連到無線接入點。

6 常見的認證和加密方式組合

    WPA是一箇中間過渡標準，最終的安全解決標準是802.11i，WAP的認證方式是802.1X；加密方法是WEP、TKIP；WAP2的認證方式是802.1X；加密方法是WEP、TKIP和CCMP。即：

    WPA=802.11i草案3=802.1X/EAP+WEP(可選)/TKIP

    WPA2=802.11i=802.1X/EAP+WEP（可選）/TKIP/CCMP（AES-CCMP）

    WAPI是中國無線局域網強制性標準中的安全機制，已獲得ISO認可，將成爲國際標準。實際上WAPI和802.11i物理層是一樣的，只是協議和MAC層不一樣，因此很容易在一個芯片上支持兩種標準。

    WPA、WPA2、802.11i的802.1X/EAP認證都要使用authentication server（認證服務器），對於大型企業環境來說，構建一臺認證服務器沒有問題，但對於家庭環境和小型辦公室環境來說，構建一臺認證服務器不太現實。爲了解決這個問題，802.11i提供了一種簡單的認證方法：PSK。

    預共享密鑰（PSK）需要事先在無線訪問點（AP）和所有要訪問無線網絡的電腦上手動輸入一相同的passphrase（這個詞我不知道如何翻譯，有些地方翻譯爲密碼/口令，我覺得不太恰當），使用一種算法將passphrase轉換爲認證時使用的Pairwise Master Key（PMK），另外，在驗證過程中，還要產生用於加密的動態密鑰。這種進行認證(不使用認證服務器)/加密的方法稱爲WPA/WPA2-Personal或WPA/WPA2 Pre-Shared Key或WPA/WPA2-PSK；使用認證服務器進行認證/加密的方法稱爲WPA/WPA2-Enterprise。下面以文本圖的形式對常見的不同認證方式做個總結。

    方式1：

        STA（如手機） ----------------------------- AP(事先設置密碼)

        Supplicant                                  Authenticator

    方式2：

        STA（如手機）--------------AP ------------ 服務器 （由服務器進行認證）

        Supplicant            Authenticator        Authentication Server

7 結語

    以上關於銳捷無線產品加密技術的簡單解析，還有很多具體細節的問題沒有涉及到。還請各位工程師從網絡上獲取相關文檔並研究。經常訪問銳捷社區無線版本的網頁，http://bbs.ruijie.com.cn/?fromuser=unrecoverable找到最新的信息和資料。也非常歡迎您加我好友一起切磋技術，同時也歡迎各位在論壇上提問。