no less onerous than:Wi-Fi 保护访问（WPA）概述

Wi-Fi 保护访问™（WPA）概述

最初的IEEE 802.11标准提供了以下安全特性集来保护无线局域网通信：

两种不同的身份验证方法：开放系统和共享密钥

有线等效隐私（Wired Equivalent Privacy，WEP）加密算法

一个使用WEP加密的完整性校验值（Integrity Check Value，ICV）可提供数据完整性

最终，这些最初的安全特性在某些常见情况中不足以保护无线局域网通信——特别是对于大流量的环境。最初的IEEE 802.11标准具有以下安全问题：

无法对每个用户执行身份鉴别和验证

无法支持扩展身份验证方法（例如，令牌卡、证书/智能卡、一次性密码、生物测定学等等）

无法支持密钥管理——针对每个工作站或会话的动态密钥管理和密钥重置功能

为解决这些问题，IEEE 802.1X基于端口的网络访问控制标准被用于为802.11无线局域网提供身份验证备选机制。使用802.1X身份验证，可支持以下特性：

针对每个用户的身份鉴别和身份验证

802.1X使用可扩展身份验证协议（Extensible Authentication Protocol，EAP），这种协议提供了用户级身份验证。在Windows环境中，身份验证通过Active Directory（活动目录）中的用户凭据或计算机帐户来执行。

对扩展身份验证方法（例如令牌卡、证书/智能卡、一次性密码、生物测定学等等）的支持

EAP提供一个基础结构用以支持任意的身份验证方法。对于基于证书和智能卡的身份验证，Windows无线网络支持EAP传输级安全性（EAP-Transport Level Security，EAP-TLS）；对于基于密码的身份验证，Windows无线网络支持受保护的EAP-Microsoft竞争握手身份验证协议第2版（PEAP-MS-CHAP v2）。

对密钥管理的支持——针对每个工作站或会话的动态密钥管理和密钥重置功能

EAP-TLS和PEAP-MS-CHAP v2身份验证过程源于相互确定的单播加密密钥。单播加密密钥由无线访问点（access point，AP）或Windows无线客户端定期更改。频繁的密钥重置可以防止密钥测定攻击（key determination attack）。

同时结合IEEE 802.11、802.1X以及EAP-TLS或PEAP-MS-CHAP v2身份验证可为Windows环境提供安全无线网络。

IEEE 802.11i是一个即将推出的标准，规定了对无线局域网安全性的一些改进。802.11i标准目前还处于规划阶段，预计将在2003年年末获得批准。802.11i解决了最早的802.11标准的许多安全问题。虽然新的IEEE 802.11i标准正在批准当中，但是无线厂商已经就一个被称为Wi-Fi保护访问（Wi-Fi Protected Access，WPA）的可互操作临时标准达成一致。WPA旨在：

强制安全的无线网络

正如本章稍后将要描述的，WPA通过强制802.X身份验证、加密和单播应用以及全局加密密钥管理，强制安全的无线网络。

通过软件升级来解决WEP加密存在的问题

WPA解决了WEP加密仍然存在的安全问题。正如本章稍后将要讨论的，WPA强制无线设备中的固件升级和无线客户端升级。现有的无线设备预计不需要替换。

为小型办公/家庭办公（SOHO）无线用户提供安全的无线网络解决方案

对于SOHO，没有RADIUS服务器可提供EAP类型的802.X身份验证。SOHO无线客户端必须同时对单播和多播流量使用具有单个静态WEP密钥的共享密钥身份验证（不推荐）或开放系统身份验证（推荐）。WPA提供一个专门针对SOHO配置的预共享（pre-shared）密钥选项。预共享的密钥可在无线AP和每个无线客户端上配置。初始的单播加密密钥来自于身份验证过程，该过程检验无线客户端和无线AP是否都具有预共享的密钥。

与即将推出的802.11i标准兼容

WPA是推荐的802.11i标准的安全特性的一个子集。WPA的所有特性在802.11i标准目前拟定的草案中都有所描述。

马上可用。

无线设备和无线客户端的WPA升级可于2003年2月开始实施。

本页内容

WPA安全特性

下面几节将描述WPA安全特性。

WPA身份验证

对于802.11，802.1X身份验证是可选项。对于WPA，802.1X身份验证是必选项。使用WPA的身份验证同时结合了开放系统和802.1X身份验证，采用两个阶段：

第一个阶段使用开放系统身份验证，并向无线客户端指示其能够向无线AP发送帧。

第二个阶段使用802.X执行用户级身份验证。

对于无RADIUS基础结构的环境，WPA支持使用预共享密钥。对于具有RADIUS基础结构的环境，WPA支持EAP和RADIUS。

WPA密钥管理

对于802.X，单播加密密钥的密钥重置功能是可选项。此外，802.11和802.1X没有提供相应机制来更改用于多播和广播流量的全局加密密钥。对于WPA，同时针对单播和全局加密密钥的密钥重置功能是必选项。临时密钥完整性协议（Temporal Key Integrity Protocol，TKIP）可更改每个帧的单播加密密钥，并且每次都在无线客户端和无线AP之间同步所作的更改。对于全局加密密钥，WPA包括一个可用于无线AP的功能用以将更改传播到所连接的无线客户端。

临时密钥完整性协议

对于802.11，WEP加密是可选项。对于WPA，使用TKIP的加密是必选项。TKIP使用一种新的加密算法来替代WEP，这种算法比WEP算法更强，同时还能使用现有无线硬件上提供的计算功能来执行。TKIP还提供：

确定加密密钥之后的安全配置检验。

同步每个帧的单播加密密钥变更。

确定每个预共享密钥身份验证的唯一起始单播加密密钥。

Michael

对于802.x11和WEP，由附加到802.11有效负载并通过WEP加密的32位ICV提供数据完整性。虽然ICV经过加密，但是可能通过密码分析学来更改加密有效载荷中的位，并在接受器没有检测到的情况下更新加密的ICF。

对于WPA，一种称为Michael的方法指定了一种新的算法，可使用现有无线硬件上可用的计算功能来计算一个8字节的消息完整性代码（MIC）。MIC放置在802.11帧的数据部分和4字节的ICV之间。MIC字段与帧数据和ICV一起加密。

Michael还提供回放保护，使用802.11帧中的一个新的计数器来防止回放攻击。

AES支持

WPA定义了AES作为WEP加密的一个附加可选替代者的用法。由于通过固件升级来添加AES支持对现有的无线设备来说不太可能，因而无线网络适配器和无线AP上的AES支持不是必需的。

对WPA和WEP无线客户端的混合支持

为了支持基于WEP的无线网络向WAP逐步过渡，无线AP可同时支持WEP和WPA。在关联期间，无线AP将确定哪些客户端在使用WEP，哪些在使用WPA。对WEP和WPA客户端的混合支持的缺点在于，全局加密密钥将不是动态的。针对WPA客户端的其它所有安全增强都会得到保留。

支持WPA所必需的变更

WPA要求对以下对象执行软件变更：

无线AP。

无线网络适配器。

无线客户端软件。

对无线AP的变更

无线AP必须升级它们的固件以支持以下特性：

全新的WPA信息元素

为宣传它们执行WPA的能力，无线AP发送具有一个新的802.11 WPA信息元素的信标帧（beacon frame），其中包含该无线AP的安全配置（加密算法等）。

WPA双阶段身份验证：开放系统身份验证，随后是802.1X身份验证（附带RADIUS的EAP或WPA预共享密钥）

TKIP

Michael

AES （可选）

为升级无线AP以支持WPA，您可以从无线AP厂商那里获得WPA固件升级，并将其上传到您的无线AP。

对网络适配器的变更

无线网络适配器必须升级它们的固件以支持以下特性：

新的WPA信息元素

无线客户端必须能够处理信标帧中的WPA信息元素，并使用一个特定的安全配置进性响应。

WPA双阶段身份验证： 开放系统身份验证，随后是802.1X身份验证（EAP或WPA预共享密钥）

TKIP

Michael

AES（可选）

为了升级无线网络适配器以支持WPA，您必须将WAP固件升级上传到无线网络适配器。

对于Windows无线客户端，您必须获得支持WPA的网络适配器驱动程序升级版。对于兼容Windows XP（SP1）和Winodws Server 2003的无线网络适配器驱动程序，升级的网络适配器驱动程序必须能够将适配器的WPA功能和安全配置传递给无线零配置服务。

Microsoft已与许多无线厂商合作将WPA固件升级嵌入无线适配器驱动程序。因此，升级Windows无线客户端只需获得新的WPA兼容的驱动程序并加以安装。固件将在无线网络适配器驱动程序加载到Windows中时进行自动升级。

对无线客户端软件的变更

必须升级无线客户端软件以允许WPA身份验证配置（包括预共享密钥）和新的WPA加密算法（TKIP和AES）。

您必须对运行以下系统的无线客户端从无线网络适配器厂商那里获得并安装新的WAP兼容配置工具：

Windows 2000

Windows XP (SP1)和Windows Server 2003，并使用一个不支持无线零配置服务的无线网络适配器

对于运行Windows XP（SP1或更新版本）或Windows Server 2003并且使用支持无线零配置服务的无线网络适配器的无线客户端，您必须获取并安装Windows XP的WPA无线安全更新程序——您可以从Microsoft网站免费下载。WPA无线安全更新程序将升级无线网络配置对话框以支持新的WPA选项。

下图显示了Windows XP（SP1）和Windows Server 2003中的无线网络属性的“关联”选项卡。

查看大图。

在“关联”选项卡的“无线网络密钥（WEP）”部分，前两个复选框是：

“数据加密（启用WEP）”

这个设置可启用或禁用WEP加密。默认启用WEP加密。

“网络身份验证（共享模式）”

选中该选项将执行共享密钥身份验证。清除该选项则执行开放系统身份验证。默认设置为执行开放系统身份验证。

安装Windows WPA Client将改变“关联”选项卡，如下图所示。

查看大图。

“无线网络密钥（WEP）”部分现在名为“无线网络密钥”，先前描述的两个复选框被两个下拉列表框所替代。

“数据加密（启用WEP）”复选框被“数据加密”下拉列表框所替代，后者提供了以下选项：

“禁用”802.11帧的加密将被禁用。

“WEP”使用802.11 WEP作为加密算法。

“TKIP”使用TKIP作为加密算法。

“AES”使用AES作为加密算法。 这个选项仅在无线网络适配器及其驱动程序支持可选的AES加密算法时才可用。

如果无线网络适配器及其驱动程序不支持WPA，您不会看到“TKIP”和“AES”选项。

“网络身份验证（共享模式）”复选框将被“网络身份验”证下拉列表框所替代，后者提供以下选项：

“开放”使用开放系统身份验证方法。

“共享” 使用共享密钥身份验证方法，并将密钥键入“网络密钥”和“确认网络密钥”中。

“WPA”使用WPA身份验证（802.1X），具有在“身份验证”选项卡上所配置的EAP类型。

“WPA-PSK”使用 WPA身份验证（802.1X），具有一个预共享密钥以及在“网络密钥”和“确认网络密钥”中键入的密钥。

如果无线网络适配器及其驱动程序不支持WPA，您将不会看到“WPA”和“WPA-PSK”选项。