http://www./article.asp?id=205
http://itbbs.pconline.com.cn/network/10205164.html
WPA、WEP對比
WPA和WEP傳輸數據都要進行兩個過程:驗證和加密數據�。
在家用無線路由器設置里��,無論你選WEP還是WAP,都需要輸入密鑰��。對WEP來說���,這個密鑰既用來驗證身份���,允許PC接入�,又用來加密傳輸的數據。而對WAP來說�,輸入的密鑰至用來驗證身份��,而加密數據用地密鑰則由無線路由器生成,并通過特別的安全通道傳輸到PC�。這個加密數據的密鑰無線路由器可自動定期(幾小時)更換�����。
WPA與WEP不同,WEP使用一個靜態的密鑰來加密所有的通信���。WPA不斷的轉換密鑰。WPA采用有效的密鑰分發機制��,可以跨越不同廠商的無線網卡實現應用��。另外WPA的另一個優勢是����,它使公共場所和學術環境安全地部署無線網絡成為可能�。而在此之前�����,這些場所一直不能使用WEP��。WEP的缺陷在于其加密密鑰為靜態密鑰而非動態密鑰。這意味著���,為了更新密鑰�,IT人員必須親自訪問每臺機器��,而這在學術環境和公共場所是不可能的�����。另一種辦法是讓密鑰保持不變,而這會使用戶容易受到攻擊�����。由于互操作問題����,學術環境和公共場所一直不能使用專有的安全機制。
根據這兩種不同的應用模式��,WPA的認證也分別有兩種不同的方式��。對于大型企業的應用��,常采用“802.1x+ EAP”的方式,用戶提供認證所需的憑證���。但對于一些中小型的企業網絡或者家庭用戶,WPA也提供一種簡化的模式���,它不需要專門的認證服務器���。這種模式叫做“WPA預共享密鑰(WPA-PSK)”���,它僅要求在每個WLAN節點(AP�����、無線路由器����、網卡等)預先輸入一個密鑰即可實現��。
這個密鑰僅僅用于認證過程�����,而不用于傳輸數據的加密。數據加密的密鑰是在認證成功后動態生成�,系統將保證“一戶一密”��,不存在像WEP那樣全網共享一個加密密鑰的情形,因此大大地提高了系統的安全性。
1.認證
WEP是數據加密算法���,它不完全等同于用戶的認證機制,WPA用戶認證是使用802.1x和擴展認證協議(Extensible Authentication Protocol,EAP)來實現的�。
WPA考慮到不同的用戶和不同的應用安全需要���,例如:企業用戶需要很高的安全保護(企業級)�����,否則可能會泄露非常重要的商業機密�;而家庭用戶往往只是使用網絡來瀏覽 Internet、收發E-mail�����、打印和共享文件�,這些用戶對安全的要求相對較低。為了滿足不同安全要求用戶的需要�����,WPA中規定了兩種應用模式�。
● 企業模式:通過使用認證服務器和復雜的安全認證機制,來保護無線網絡通信安全�。
● 家庭模式(包括小型辦公室):在AP(或者無線路由器)以及連接無線網絡的無線終端上輸入共享密鑰�����,以保護無線鏈路的通信安全。
根據這兩種不同的應用模式��,WPA的認證也分別有兩種不同的方式。對于大型企業的應用,常采用“802.1x+ EAP”的方式,用戶提供認證所需的憑證�。但對于一些中小型的企業網絡或者家庭用戶��,WPA也提供一種簡化的模式,它不需要專門的認證服務器。這種模式叫做“WPA預共享密鑰(WPA-PSK)”�����,它僅要求在每個WLAN節點(AP�、無線路由器、網卡等)預先輸入一個密鑰即可實現。
這個密鑰僅僅用于認證過程���,而不用于傳輸數據的加密。數據加密的密鑰是在認證成功后動態生成,系統將保證“一戶一密”,不存在像WEP那樣全網共享一個加密密鑰的情形�����,因此大大地提高了系統的安全性�����。
2.加密
WPA使用RC4進行數據加密,用臨時密鑰完整性協議(TKIP)進行密鑰管理和更新�����。TKIP通過由認證服務器動態生成分發的密鑰來取代單個靜態密鑰��、把密鑰首部長度從24位增加到48位等方法增強安全性�。而且�����,TKIP利用了802.1x/EAP構架�。認證服務器在接受了用戶身份后�,使用802.1x產生一個惟一的主密鑰處理會話。
然后�,TKIP把這個密鑰通過安全通道分發到AP和客戶端�����,并建立起一個密鑰構架和管理系統,使用主密鑰為用戶會話動態產生一個惟一的數據加密密鑰���,來加密每一個無線通信數據報文。TKIP的密鑰構架使WEP單一的靜態密鑰變成了500萬億個可用密鑰�����。雖然WPA采用的還是和WEP一樣的RC4加密算法�,但其動態密鑰的特性很難被攻破。
= WEP =
有線等效加密(Wired Equivalent Privacy)����,又稱無線加密協議(Wireless Encryption Protocol)�,簡稱WEP�,是個保護無線網絡(Wi-Fi)信息安全的體制�。因為無線網絡是用無線電把訊息傳播出去,它特別容易被竊聽。WEP 的設計是要提供和傳統有線的局域網路相當的機密性��,而依此命名的����。不過密碼分析學家已經找出 WEP 好幾個弱點,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰,又在2004年由完整的 IEEE 802.11i 標準(又稱為 WPA2)所取代�����。WEP 雖然有些弱點��,但也足以嚇阻非專業人士的窺探了�����。
WEP支持 64 位和128 位加密,對于 64 位加密�,加密密鑰為 10 個十六進制字符(0-9 和 A-F)或 5 個 ASCII 字符;對于 128 位加密����,加密密鑰為 26 個十六進制字符或 13 個 ASCII 字符�。
WEP已經把密碼長度固定死了,我們一般選ASCII碼,密碼可以是數字、字母���、或特殊符號��,密碼長度只能是5位或則13位。
如果選十六進制符�����,密碼只能是0-9 和 A-F��。
WAP密碼長度8-64���,密碼可以是數字、字母、或特殊符號�����。因為沒人會把密碼設到64位��,相當是要求密碼8位以上���。
= WPA 和 WPA2 =
WPA 全名為 Wi-Fi Protected Access��,有WPA 和 WPA2兩個標準,是一種保護無線電腦網路(Wi-Fi)安全的系統,它是應研究者在前一代的系統有線等效加密(WEP)中找到的幾個嚴重的弱點而產生 的。WPA 實作了 IEEE 802.11i 標準的大部分����,是在 802.11i 完備之前替代 WEP 的過渡方案����。WPA 的設計可以用在所有的無線網卡上��,但未必能用在第一代的無線取用點上����。WPA2 實作了完整的標準����,但不能用在某些古老的網卡上。這兩個都提供優良的保全能力,但也都有兩個明顯的問題:
× WPA或WPA2 一定要啟動并且被選來代替 WEP 才有用��,但是大部分的安裝指引都把 WEP 列為第一選擇�。
× 在使用家中和小型辦公室最可能選用的“個人”模式時,為了保全的完整性,所需的密語一定要比已經教用戶設定的六到八個字元的密碼還長�����。
IEEE 802.11 所制定的是技術性標準 ,Wi-Fi 聯盟所制定的是商業化標準 , 而 Wi-Fi 所制定的商業化標準基本上也都符合 IEEE 所制定的技術性標準�����。 WPA(Wi-Fi Protected Access) 事實上就是由 Wi-Fi 聯盟所制定的安全性標準 , 這個商業化標準存在的目的就是為了要支持 IEEE 802.11i 這個以技術為導向的安全性標準。而 WPA2 其實就是 WPA 的第二個版本�。 WPA 之所以會出現兩個版本的原因就在于 Wi-Fi 聯盟的商業化運作�����。
我們知道 802.11i 這個任務小組成立的目的就是為了打造一個更安全的無線局域網 , 所以在加密項目里規范了兩個新的安全加密協定 – TKIP 與 CCMP 。其中 TKIP 雖然針對 WEP 的弱點作了重大的改良 , 但保留了 RC4 演算法和基本架構 , 言下之意 ,TKIP 亦存在著 RC4 本身所隱含的弱點����。因而 802.11i 再打造一個全新����、安全性更強�����、更適合應用在無線局域網環境的加密協定 -CCMP ��。所以在 CCMP 就緒之前 ,TKIP 就已經完成了。但是要等到 CCMP 完成 , 再發布完整的 IEEE 802.11i 標準 , 可能尚需一段時日 , 而 Wi-Fi 聯盟為了要使得新的安全性標準能夠盡快被布署 , 以消弭使用者對無線局域網安全性的疑慮 , 進而讓無線局域網的市場可以迅速擴展開來 , 因而使用已經完成 TKIP 的 IEEE 802.11i 第三版草案 (IEEE 802.11i draft 3) 為基準 , 制定了 WPA ���。而于 IEEE 完成并公布 IEEE 802.11i 無線局域網安全標準后 ,Wi-Fi 聯盟也隨即公布了 WPA 第 2 版 (WPA 2) 。所以:
WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP( 選擇性項目 )/TKIP
WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP( 選擇性項目 )/TKIP/CCMP
( 有些無線網路設備中會以 AES ����、 AES-CCMP 的字眼來取代 )
在有些無線網路設備的規格中會看到像 WPA-Enterprise / WPA2-Enterprise 以及 WPA-Personal / WPA2-Personal 的字眼 , 其實 WPA-Enterprise / WPA2-Enterprise 就是 WPA / WPA2 �����; WPA-Personal / WPA2-Personal 其實就是 WPA-PSK / WPA2-PSK, 也就是以 ”pre-share key” 或 ” passphrase” 的驗證 (authentication) 模式來代替 IEEE 802.1X/EAP 的驗證模式 ,PSK 模式下不須使用驗證服務器 ( 例如 RADIUS Server), 所以特別適合家用或 SOHO 的使用者��。
TKIP是 Temporal Key Integrity Protocol(臨時密鑰完整性協議)的簡稱,是一種加密方法.TKIP提供結合信息完整性檢查和重新按鍵機制的信息包密鑰.
AES是Advanced Encryption Standard(高級加密標準)的簡稱,是 Wi-Fi? 授權的高效加密標準.
WPA-PSK/WPA2-PSK和TKIP或AES使用預先共享密鑰 (PSK),字符長度大于8并且小于6
設置WEP的時候有開放體統和共享密鑰
開放系統:若選擇該項��,路由器將采用開放系統方式��。此時,無線網絡內的主機可以在不提供認證密碼的前提下����,通過認證并關聯上無線網絡��,但是若要進行數據傳輸,必須提供正確的密碼����。
共享密鑰:若選擇該項�����,路由器將采用共享密鑰方式。此時�,無線網絡內的主機必須提供正確的密碼才能通過認證��,否則無法關聯上無線網絡,也無法進行數據傳輸�����。
我想大家感觸還是比較深的�,比如,如果你想連接上搜索出來的某個無線熱點�����,可是你提供了錯誤的密碼����,如果路由器采用開放系統的話,那么系統會提示你已經關聯上無線網絡�����,但有限制����,無法進行數據傳輸��。
