802.11 网络的安全模型发生了很大的演变
在早期,802.11 使用一种被称为有线等效保密(wired equivalent privacy (WEP))的加密方法
后来证明 WEP 非常弱,需要进行替换
工业界提出了 Wi-Fi 保护接入(Wi-Fi protected access (WPA))
它用加密块取代了密钥的使用方式(密码学基础知识见第 18 章)
WPA 提出了一种被称为临时密钥完整性协议(Temporal Key Integrity Protocol (TKIP))的方案
TKIP 可以确保每个帧都使用不同的密钥进行加密
TKIP 还包括一个名为 Michael 的消息完整性检查,该功能修复了 WEP 中的一个主要弱点
WPA 是被作为占位符创建的,可以通过固件升级在支持 WEP 的设备上使用
而 IEEE 802.11i 标准组制定了一个更强大的标准,最终被纳入了 [802.11-2007] 的条款 8
该标准被工业界称为 “ WPA2 ”
WEP 与 WPA 都使用 RC4 加密算法 [S96]
WPA2 使用高级加密标准(Advanced Encryption Standard (AES))算法 [AES01]
上文讨论的加密技术用于在站点和 AP 之间提供隐私,其假设站点具有访问网络的合法授权
在 WEP 和使用 WPA 或 WPA2 的小规模环境中
授权通常通过在配置期间在每个站点以及 AP 中预先放置共享密钥或密码来实现
假定知道密钥的用户对网络具有合法访问权
这些密钥还经常用于初始化用于确保隐私的加密密钥
使用这样的预共享密钥(pre-shared keys (PSKs))是有局限性的
例如,管理员在向授权用户提供密钥时可能会遇到很大的麻烦
如果某用户被取消授权,则必须更换 PSK 并通知所有其他合法用户
该方法不适用于有很多用户的环境
因此,WPA 和更高版本的标准开始支持一个被称为 802.1X [802.1X-2010] 的基于端口的网络访问控制标准
它提供了一种在 IEEE 802 局域网(包括 802.3 和 802.11 [RFC4017])中携带可扩展身份验证协议(Extensible Authentication Protocol (EAP))[RFC3748] 的方法(被称为 EAPOL)
反过来,EAP 可以用来携带许多其它标准的和非标准的鉴权协议,还可以用来建立密钥,包括 WEP 密钥
这些协议的细节会在第 18 章中给出,在第 3.6 节讨论 PPP 时,也会讲到 EAP 的使用
随着 IEEE 802.11i 小组工作的完成
作为 WPA2 的一部分,一种被称为 CCMP 的新算法扩展了 WPA 中的 RC4/TKIP 组合
CCMP 用 AES 的计数器模式(counter mode (CCM [RFC3610]))实现保密性,用密码块链接消息认证码(cipher block chaining message authentication code (CBC-MAC))验证身份与完整性
所有的高级加密标准(Advanced Encryption Standard (AES))都使用 128 位块大小和 128 位密钥
CCMP 与 TKIP 是名为强健安全网络(Robust Security Network (RSN))的 Wi-Fi 安全架构的基础
RSN 用于支持强健安全网络访问(Robust Security Network Access (RSNA))
像 WEP 这样的较早的方法,被称为 pre-RSNA 方法
RSNA 要求支持 CCMP(TKIP 是可选的),而 802.11n 完全取消了 TKIP
| 名称/标准 | 加密算法 | 密钥流管理 | 鉴权 |
|---|---|---|---|
| WEP (pre-RSNA) | RC4 | (WEP) | PSK, (802.1X/EAP) |
| WPA | RC4 | TKIP | PSK, 802.1X/EAP |
| WPA2/802.11(i) | CCMP | CCMP, (TKIP) | PSK, 802.1X/EAP |
表 3-4
Wi-Fi 安全从不安全的 WEP 发展到 WPA,再到 WPA2
在所有情况下,预共享密钥和 802.1X 都可以用于鉴权和初始的密钥流管理
使用 802.1X/EAP 的主要好处是,可以使用一个鉴权服务器来为 AP 提供基于每个用户的访问控制决策
因此,使用 802.1X 的鉴权有时被称为 “ 企业级的(Enterprise) ”(如企业级 WPA(WPA-Enterprise))
可扩展身份验证协议(Extensible Authentication Protocol (EAP))自己还可以封装各种特定的鉴权协议
第 18 章会更详细地讨论这些协议