WEP：最不安全的無(wú)線加密技術(shù)

WEP（Wired Equivalent Privacy，有線等效保密）。單從名字上看，WEP似乎是一個(gè)針對(duì)有線網(wǎng)絡(luò)的安全加密協(xié)議，其實(shí)并非如此。WEP標(biāo)準(zhǔn)在無(wú)線網(wǎng)絡(luò)出現(xiàn)的早期就已創(chuàng)建，它是無(wú)線局域網(wǎng)WLAN的必要的安全防護(hù)層。目前常見的是64位WEP加密和128位WEP加密。

WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，在無(wú)線網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是使用一個(gè)隨機(jī)產(chǎn)生的密鑰來(lái)加密的。但WEP用來(lái)產(chǎn)生這些密鑰的算法很快就被發(fā)現(xiàn)具有可預(yù)測(cè)性，對(duì)于入侵者來(lái)說(shuō)，他們可以很容易的截取和破解這些密鑰，讓用戶的無(wú)線安全防護(hù)形同虛設(shè)。

IEEE（美國(guó)電氣和電子工程師協(xié)會(huì)）802.11的WEP（有線等效保密）模式是在上世紀(jì)九十年代后期設(shè)計(jì)的，當(dāng)時(shí)的無(wú)線安全防護(hù)效果非常出色。然而，僅僅兩年以后，在2001年8月，F(xiàn)luhrer et al.就發(fā)表了針對(duì)WEP的密碼分析，利用RC4加解密和IV的使用方式的特性，在無(wú)線網(wǎng)絡(luò)上偷聽?zhēng)讉€(gè)小時(shí)之后，就可以把RC4的鑰匙破解出來(lái)。這個(gè)攻擊方式迅速被傳播，而且自動(dòng)化破解工具也相繼推出，WEP加密變得岌岌可危。

也許有些用戶在實(shí)際應(yīng)用中會(huì)發(fā)現(xiàn)，雖然無(wú)線路由支持WEP、WPA、WPA2三種加密方式，但只有選擇WEP加密方式才能實(shí)現(xiàn)無(wú)線連接，選擇WPA/WPA2均無(wú)法連接。造成這種現(xiàn)象的主要是因?yàn)橛脩舻臒o(wú)線網(wǎng)卡（或操作系統(tǒng)版本）較老，只能支持WEP加密方式。所以，盡管WEP無(wú)線加密的安全性存在問題，但為了滿足早期無(wú)線用戶的需求，目前市場(chǎng)中主流的AP/無(wú)線路由依然支持WEP加密方式。

如果你所使用的無(wú)線網(wǎng)卡較老，那么在選擇無(wú)線安全連接方式時(shí)，WEP加密可能就是你的唯一選擇，那么請(qǐng)盡量選擇128位WEP加密，相比64位加密，安全性更可靠一些。雖然WEP加密的安全性不高，但依然可以阻擋一部分初級(jí)非法用戶的入侵，至少也可以避免讓你的無(wú)線網(wǎng)絡(luò)成為“免費(fèi)的公共WiFi熱點(diǎn)”，因此筆者強(qiáng)烈建議無(wú)線用戶們至少為你們的無(wú)線網(wǎng)絡(luò)進(jìn)行WEP加密。

WPA：目前最常用的無(wú)線加密技術(shù)

由于WEP的安全性較低，IEEE 802.11組織開始制定新的安全標(biāo)準(zhǔn)，也就是802.11i協(xié)議。但由于新標(biāo)準(zhǔn)從制定到發(fā)布需要較長(zhǎng)的周期，而且用戶也不會(huì)僅為了網(wǎng)絡(luò)的安全性就放棄原來(lái)的無(wú)線設(shè)備，所以無(wú)線產(chǎn)業(yè)聯(lián)盟在新標(biāo)準(zhǔn)推出之前，又在802.11i草案的基礎(chǔ)上制定了WPA(Wi-Fi Procted Access)無(wú)線加密協(xié)議。

WPA使用TKIP(Temporal Key Integrity Protocol，臨時(shí)密鑰完整性協(xié)議)，它的加密算法依然是WEP中使用的RC4加密算法，所以不需要修改原有的無(wú)線設(shè)備硬件。WPA針對(duì)WEP存在的缺陷，例如IV過短、密鑰管理過于簡(jiǎn)單、對(duì)消息完整性沒有有效的保護(hù)等問題，通過軟件升級(jí)的方式來(lái)提高無(wú)線網(wǎng)絡(luò)的安全性。

WPA為用戶提供了一個(gè)完整的認(rèn)證機(jī)制，AP/無(wú)線路由根據(jù)用戶的認(rèn)證結(jié)果來(lái)決定是否允許其接入無(wú)線網(wǎng)絡(luò)，認(rèn)證成功后可以根據(jù)多種方式(傳輸數(shù)據(jù)包的多少、用戶接入網(wǎng)絡(luò)的時(shí)間等)動(dòng)態(tài)地改變每個(gè)接入用戶的加密密鑰。此外，它還會(huì)對(duì)用戶在無(wú)線傳輸中的數(shù)據(jù)包進(jìn)行MIC編碼，確保用戶數(shù)據(jù)不會(huì)被其他用戶更改。作為802.11i標(biāo)準(zhǔn)的子集，WPA的核心就是IEEE802.1x和TKIP。

考慮到不同的用戶群和不同的應(yīng)用安全需要，WPA采用了兩種應(yīng)用模式，即企業(yè)模式和家庭模式。根據(jù)不同的應(yīng)用模式，WPA的認(rèn)證也分為兩種不同的方式，對(duì)于大型企業(yè)用戶來(lái)說(shuō)，“802.1x+ EAP”的加密方式是最佳選擇，它的安全性非常好，用戶必須提供認(rèn)證所需的憑證才能實(shí)現(xiàn)連接。

而對(duì)于一些中小型的企業(yè)網(wǎng)絡(luò)或者家庭用戶老說(shuō)，“WPA預(yù)共享密鑰(WPA-PSK)”模式更加適合，它不需要專門的認(rèn)證服務(wù)器，僅要求在每個(gè)WLAN節(jié)點(diǎn)(AP、無(wú)線路由器、網(wǎng)卡等)預(yù)先輸入一個(gè)密鑰即可。需要注意的是，這個(gè)密鑰僅僅用于認(rèn)證過程，而不是用于傳輸數(shù)據(jù)的加密。數(shù)據(jù)加密的密鑰是在認(rèn)證成功后動(dòng)態(tài)生成的，系統(tǒng)將保證“一戶一密”，不存在像WEP那樣全網(wǎng)共享一個(gè)加密密鑰的情形，所以無(wú)線網(wǎng)絡(luò)的安全性較WEP有大幅提升。

WPA（TKIP）加密技術(shù)雖然也在08年被破解，但其破解過程非常復(fù)雜，并非一般黑客可以實(shí)現(xiàn)。所以如果你的無(wú)線路由和無(wú)線網(wǎng)卡均支持WPA加密，那么請(qǐng)毫不猶豫的選擇此加密方式，因?yàn)樗悄悻F(xiàn)階段的最佳選擇，更能幫你輕松遠(yuǎn)離“被蹭網(wǎng)”的煩惱。更多相關(guān)資源請(qǐng)看：主流無(wú)線加密技術(shù)多半已被破解 續(xù)

【編輯推薦】

1. 生成和交換預(yù)共享密鑰
2. PKI基礎(chǔ)內(nèi)容介紹（1）
3. 破解你的密碼需要多長(zhǎng)時(shí)間？
4. 信息安全的核心之密碼技術(shù) 上
5. 看黑客使用四種方法破解密碼