四、 无线网络的安全技术

      过去，别人必须坐在你的计算机前才能阅读你的文档，偷看你的电子邮件或破坏你的文档信息。然而现在，虽然别人可能是坐在隔壁的办公室里、楼上或楼下，或者旁边的一幢建筑物里，但他可以就像是坐在你的计算机面前一样搞破坏。无线网络技术的发展让我们极大地提高了工作效率，并且在使用上越来越简单，但同时也给系统和使用的信息带来许多意外的危险。

WEP差强人意状

      人们在一般情况下是不愿意去考虑安全问题的。安全与成本，或安全与使用的方便性常常是工作中的矛盾问题。正是因为这些原因，我们在考虑任何新的实施计划的时候，必须要预见到安全问题，制定清晰和明确的业务方案，保证安全保护措施在它们的生命周期内可以被合理和高效地实施。然而遗憾的是，国际WIFI组织在制定IEEE802.11标准之前对安全性问题显然过于忽视，这也直接导致无线网络至今令企业级用户胆战心惊。

      在目前的IEEE802.11a/b/g无线网络标准中，安全性存在着一些先天的缺陷。按照WIFI组织原先的设想，WEP技术用于结局安全性问题。WEP是一种在接入点和客户端之间以“RC4”方式对分组信息进行加密的技术，密码很容易被破解。WEP使用的加密密钥包括收发双方预先确定的40位（或者104位）通用密钥，和发送方为每个分组信息所确定的24位，被称为IV密钥的加密密钥（图13）。但是为了将IV密钥告诉给通信对象，IV密钥不经加密就直接嵌入到分组信息中被发送出去。如果通过无线窃听，收集到包含特定IV密钥的分组信息并对其进行解析，那么就连秘密的通用密钥都可能被计算出来。

      毫无疑问，WEP编码的弱点在于IV实作的基础过于薄弱。例如说，如果黑客将两个使用同样IV的封包记录起来，再施以互斥运算，就可以得到IV的值，然后算出RC4的值，最后得到整组数据。更为可怕的是，前不久Internet上还出现了可以轻松破解部分特殊WEP加密的算法软件，可见其漏洞还是比较明显的。

WPA难当重任

      WLAN的应用在热浪中遭遇危机，WIFI联盟也意识到了事情的紧迫性。然而时间上的限制注定被寄予厚望的IEEE802.11i标准无法立即投入实际应用，因此过渡性的安全解决方案WPA应运而生。如果说WPA能够彻底解决问题的话，这应该是一件值得欢欣鼓舞的事情。遗憾的是，WPA技术核心仍然和WEP技术相同，它们的区别在于在通信的过程中不断地变更WEP密钥，变换的频率以假设目前的计算技术无法将WEP密钥计算出来为依据。但是对称加密的不足在于AP和工作站使用相同密钥，包括变更密钥在内的信息会在相同的简单加密数据包中传输，黑客只要监听到足够的数据包，借助更强大的计算设备，同样可以破解网络。

      当然我们在此并非一味地否认WPA的实际效果。根据通用密钥，配合表示电脑MAC地址和分组信息顺序号的编号，WPA分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。通过这种处理，所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成，因此其安全性远胜于WEP。但是应当客观地承认，由于其加密方式并不彻底，因此难保不会出现更为严重的隐患。

WAPI技术切中要点

      国家之所以曾打算将WAPI作为强制实行的标准并非仅仅是出于保护国有企业以及政府贸易谈判砝码的目的。就技术角度而言，WAPI本身就比WEP以及WPA先进，这一点是勿庸置疑的。WAPI是此次国家强制标准的技术核心部分，其全称为WLAN Authentication and Privacy Infrastructure，这种安全机制由 WAI（WLAN Authentication Infrastructure）和WPI（WLAN Privacy Infrastruc-ture）两部分组成，WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密，一同为用户的无线网络系统提供全面的安全保护。

      WAI采用公开密钥密码体制，利用证书来对无线网络系统中的STA和AP进行认证。WAI定义了一种名为Authentication Service Unit的实体，用于管理参与信息交换各方所需要的证书，其中包括证书的产生、颁发、吊销和更新。证书里面包含有证书颁发者的公钥和签名以及证书持有者的公钥和签名，而且签名采用的是WAPI特有的椭圆曲线数字签名算法。不过由于种种原因，WAPI最终没能成为强制执行的标准，其普及度也非常低。

      此外，国际WIFI组织对于现有无线网络的安全问题已经有了充分的认识，因此致力于解决该问题的IEEE802.11i标准一直在努力着。实际上IEEE802.11i就是把1999年制定的IEEE802.1x安全标准引入了WLAN。它在加密处理中引入了密钥管理协议TKIP，从固定密钥改为动态密钥，虽然还是基于RC4算法，但比采用固定密钥的WEP或者WPA先进。除了密钥管理以外，它还具有以EAP可扩展认证协议为核心的用户审核机制，可以通过服务器审核接入用户的ID，在一定程度上可避免黑客非法接入。