WiFi安全之WPA介紹

wpa，全稱為wi-fi protected access，是一種保護wifi安全的系統，實現了ieee 802.11i的大部分標準，是一種替代wep的過渡方案。

這個協議包含了前向相容rc4的加密協議tkip，它沿用了wep所使用的硬體並修正了一些缺失，但仍然是存在弱點的，隨後的公升級版本，基於ieee 802.11i最終版的協議稱之為wpa2.wpa2是經由wi-fi聯盟驗證過的ieee 802.11i正式標準的認證形式。wpa2實現了802.11i的強制性元素，在wpa2中，rc4被aes取代，

wpa/wpa2 包含認證、加密和資料完整性校驗，是一整套安全系統。

wpa = ieee802.11i draft 3 = ieee 802.1x/eap + wep(可選)/tkip

wpa2 = ieee 802.11i 正式版 = ieee 802.1x/eap + wep(可選)/tkip/ccmp

wpa包含兩種認證級別，分為個人版和企業版，根據不同的版本，可分為四種，wpa-psk，wpa2-psk，wpa-enterprise，wpa2-enterprise。

個人版的wifi加密，簡單說，就是讓同一無線路由器底下的每個使用者都使用同一把密碼，這種模式稱之為「psk pre-shared key 預共享金鑰模式」，它的設計目的是針對承擔不起802.1x認證伺服器的家庭或者小型公司網路。每乙個使用者必須輸入預先配置好的相同的金鑰來接入網路，金鑰的格式要求在8~63個ascii字元，輸入的金鑰通過pbkdf2金鑰管理演算法來生成實際傳輸所用的256位加密金鑰。

企業版安全加密，需要用到乙個 8802.1x認證伺服器來分發不同的金鑰給各個終端使用者，這要求更加複雜的設定來提供更加安全的系統，包含不同種類的擴充套件認證協議eap。

這台伺服器儲存無線使用者賬戶資料，當使用者準備連入無線時，需要輸入賬號名稱和金鑰，登陸成功後，每個客戶會得到乙個唯一的金鑰，這個金鑰很長，並且每隔一段時間就被更新。

wpa的資料負載，通過128位的金鑰和48位的iv向量，基於rc4 stream cipher加密演算法來加密資料，在資料通訊中，它還使用了動態改變金鑰協議（temporal key integrity protocol,tkip）。tkip為每個資料報部署了金鑰，這意味著，對於每個傳輸報，它能夠動態的生成新的128位金鑰，快速更新金鑰來改進wep模式下可能被暴力破解的缺點。

wpa2使用aes來替代wpa中的rc4加密演算法、

相比於wep所使用的crc校驗，在不知道金鑰的情況下，有可能同時篡改負載和對於的crc，wpa使用了稱為「michael」演算法來保證傳輸報的完整性。michael比crc強壯的多。每個mic中，還包含了幀計數器，這可以防止重放攻擊。

wpa2包含更加強大的ccmp（一種基於aes加密演算法，具有更高的安全性），用於取代wpa的michael演算法。

ap熱點可以容納的終端個數，取決於所使用的wi-fi晶元，對於不加密的情況，取決於記憶體的大小。對於加密的情況，取決於wi-fi晶元內部存放金鑰的緩衝區有多大。在傳輸過程中，加解密都是硬體做的，金鑰是使用者設定的，存放金鑰的緩衝區大小是受限的，存放金鑰的個數是受限的，舉例：如果緩衝區可以存放32個金鑰，wi-fi採用wpa2-aes加密，wpa2-aes下，每個接入終端有乙個單播金鑰(佔據乙個金鑰空間)，所有終端共享乙個組播金鑰(佔據兩個金鑰空間)，金鑰是週期性更新，需要有新舊備份。因此，假設最多可以接入x個裝置，那麼( x + 2 ) * 2 = 32, x = 14，它最多可以支援14個終端。

參考文件：

WiFi安全之WPA介紹

WiFi安全之WPA介紹

Wi Fi 安全協議 WPA

DNS BIND之dnssec安全介紹

WiFi安全之WPA介紹

WiFi安全之WPA介紹

Wi Fi 安全協議 WPA

DNS BIND之dnssec安全介紹

相關推薦