无线加密的几种方法介绍

无线加密的几种方法介绍1.WEP(有线等效加密)——采用WEP64位或者128位数据加密2.WPA-PSK[TKIP]——采用预共享密钥的Wi-Fi保护访问,采用WPA-PSK标准加密技术,加密类型为TKIP3.WPA2-PSK[AES]——采用预共享密钥的Wi-Fi保护访问(版本2),采用WPA2-PSK标准加密技术,加密类型为AES4.WPA-PSK[TKIP]+WPA2-PSK[AES]——允许客户端使用WPA-PSK[TKIP]或者WPA2-PSK[AES]WPA/WPA2---企业加密5.WAPI——即无线局域网鉴别与保密基础结构,中国支持的加密技术,在行货手机上内置,目前无线运营商的wi-fi网络设备已经支持这种加密技术,但没有开始推广使用有线等效加密有线等效加密（WiredEquivalentPrivacy,WEP），是个保护无线网络（Wi-Fi）的资料安全体制。因为无线网络是用无线电把讯息传播出去，它特别容易被偷听。WEP的设计是要提供和传统有线的局域网路相当的机密性，而依此命名的。不过密码分析学家已经找出WEP好几个弱点，因此在2003年被Wi-FiProtectedAccess（WPA）淘汰，又在2004年由完整的IEEE802.11i标准（又称为WPA2）所取代。WEP虽然有些弱点，但也足以吓阻非专业人士的窥探。WEP的详尽介绍WEP是1999年9月通过的IEEE802.11标准的一部分，使用RC4(RivestCipher)串流加密技术达到机密性，并使用CRC-32验和达到资料正确性。标准的64位元WEP使用40位元的钥匙接上24位元的初向量(initialisationvector，IV)成为RC4用的钥匙。在起草原始的WEP标准的时候，美国政府在加密技术的输出限制中限制了钥匙的长度，一旦这个限制放宽之后，所有的主要业者都用104位元的钥匙实作了128位元的WEP延伸协定。用户输入128位元的WEP钥匙的方法一般都是用含有26个十六进制数(0-9和A-F)的字串来表示，每个字符代表钥匙中的4个位元，4*26=104位元，再加上24位元的IV就成了所谓的"128位元WEP钥匙"。有些厂商还提供256位元的WEP系统，就像上面讲的，24位元是IV，实际上剩下232位元作为保护之用，典型的作法是用58个十六进制数来输入，(58*4=232位元)+24个IV位元=256个WEP位元。WEP安全性钥匙长度不是WEP安全性的主要因素，破解较长的钥匙需要拦截较多的封包，但是有某些主动式的攻击可以激发所需的流量。WEP还有其他的弱点，包括IV雷同的可能性和变造的封包，这些用长一点的钥匙根本没有用，见streamcipherattack一页。因为RC4是streamcipher的一种，同一个钥匙绝不能使用二次，所以使用（虽然是用明文传送的）IV的目的就是要避免重复；然而24位元的IV并没有长到足以担保在忙碌的网络上不会重复，而且IV的使用方式也使其可能遭受到关联式钥匙攻击。许多WEP系统要求钥匙得用十六进制格式指定，有些用户会选择在有限的0-9A-F的十六进制字符集中可以拼成英文词的钥匙，如C0DEC0DEC0DEC0DE，这种钥匙很容易被猜出来。在2001年8月，Fluhreretal.发表了针对WEP的密码分析，利用RC4加解密和IV的使用方式的特性，结果在网络上偷听几个小时之后，就可以把RC4的钥匙破解出来。这个攻击方式很快就实作出来了，而自动化的工具也释出了，只要用个人电脑、卖场架上的硬件和免费可得的软件就能进行这种攻击。Cam-Wingetetal对WEB的各种短处的审查Cam-Wingetetal.(2003)审查了WEP的各种短处，他们写下“在实际场所实验的结果显示，只要有合适的仪器，就可以在一英哩之外或更远的地方偷听由WEP保护的网络。”他们也报告了两个一般的弱点：WEP不是强制使用的，使得许多设施根本就没有启动WEP；以及WEP并不包含钥匙管理协定，郤依赖在用户间共享一个秘密钥匙。在2005年，美国联邦调查局的一组人展示了用公开可得的工具可以在三分钟内破解一个用WEP保护的网络。WEP安全问题的解法对WEP安全问题最广为推荐的解法是换到WPA或WPA2，不论哪个都比WEP安全。有些古老的WiFi取用点(accesspoint)可能需要汰换或是把它们内存中的操作系统升级才行，不过替换费用相对而言并不贵。另一种方案是用某种穿隧协定，如IPsec。WPAWPA全名为Wi-FiProtectedAccess，有WPA和WPA2两个标准，是一种保护无线电脑网络(Wi-Fi)安全的系统，它是应研究者在前一代的系统有线等效加密（WEP）中找到的几个严重的弱点而产生的。WPA实作了IEEE802.11i标准的大部分，是在802.11i完备之前替代WEP的过渡方案。WPA的设计可以用在所有的无线网卡上，但未必能用在第间可以互通。先前只有EAP-TLS（TransportLayerSecurity）通过Wi-Fi联盟的认证。目前包含在认证计划内的EAP有下列几种：*EAP-TLS（之前就验证过了）*EAP-TTLS/MSCHAPv2*PEAPv0/EAP-MSCHAPv2*PEAPv1/EAP-GTC*EAP-SIM特定厂商开发的802.1X用户端和服务器也许会支援其他的EAP种类，这个认证是为了使流行的EAP种类能够互通；目前在异质网络中之所以未能大量铺设802.1X的主要原因就是互通性的问题。WAPIWAPI(（WirelessLANAuthenticationandPrivacyInfrastructure）无线局域网鉴别和保密基础结构，是一种安全协议，同时也是中国无线局域网安全强制性标准。WAPI是WLANAuthenticationandPrivacyInfrastructure的英文缩写。它像红外线、蓝牙、GPRS、CDMA1X等协议一样，是无线传输协议的一种，只不过跟它们不同的是它是无线局域网（WLAN）中的一种传输协议而已，它与现行的802.11B传输协议比较相近。经多方参加，反复论证，充分考虑各种应用模式，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时，本方案已由ISO/IEC授权的机构IEEERegistrationAuthority（IEEE注册权威机构）审查并获得认可，分配了用于WAPI协议的以太类型字段，这也是中国目前在该领域惟一获得批准的协议。WAPI同时也是中国无线局域网强制性标准中的安全机制。WLAN像红外线、蓝牙、GPRS、CDMA1X等协议一样，是无线传输协议的一种。2009年6月15日，从宽带无线IP标准工作组获悉，在近期的国际标准组织ISO／IECJTC1／SC6会议上，WAPI国际提案首次获得包括美、英、法等10余个与会国家成员体一致同意，将以独立文本形式推进其为国际标准。WAPI是我国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准。对于WAPI推进国际标准进程中的这一重大突破，宽带无线IP标准工作组秘书长黄振海认为，这意味着WAPI技术优势再次获与会各成员国的充分肯定，再次说明了全球范围内对无线网络安全的强烈关注和紧迫需要。此外，WAPI的执行意味着那些为了Wi-Fi功能而选择水货手机的消费者很可能因此转向购买质量和售后都有保障的行货手机。传输协议\o"查看图片"WAPI(图2)无线局域网（WLAN）的传输协议有很多种，包括802.11A、802.11B、802.11G等等，其中以802.11B最为普及和流行，目前包括迅驰和联想最新的关联电脑在内的大多数无线网络产品所采用的都是802.11B的传输协议，它是由美国非赢利机构WIFI组织制定和进行认证的，而WAPI则由ISO/IEC授权的IEEERegistrationAuthority审查获得认可，两者所属的机构不同，其性质自然不一样。其最大的区别是安全加密的技术不同：WAPI使用的是一种名为“无线局域网鉴别与保密基础架构(WAPI)”的安全协议，而802.11B则采用“有线加强等效保密(WEP)”安全协议。WAPI是无线局域网中的安全协议。802.11b是无线局域网中传输协议的一种。无线局域网的传输协议包括802.11a、802.11b、802.11g及802.11n，现在以802.11n最为流行。IEEE802.11b-1999为IEEE802.11-1999的补篇2，在2.4GHz频段提供了最高11Mbps的速率规格，其中的修改主要集中在物理层，而安全部分没有改变，仍然沿用了IEEE802.11-1999中的安全机制；WAPI安全机制与IEEE802.11b-1999在功能上并没有实质性的关联，适用于IEEE802.11b-1999标准的网络体系结构,仅需对原始IEEE802.11-1999标准的安全机制部分进行修改，将原有的鉴别机制（OpenSystem和SharedKey）和保密机制（WEP）分别替换为WAI（预共享密钥和证书）和WPI（SMS4加密）。标准出于安全性考虑\o"查看图片"WAPI(图3)1、出于安全性考虑。我们知道，对于无线局域网来说，在安全性方面非常脆弱，因为现行的无线网络产品大多数都采用802.11B作为无线传输协议，这种协议的优点是传输速率能达到11M，而且覆盖范围达100米。但是“成也萧何，败也萧何”。正是其传输速度快，覆盖范围广，才使它在安全方面非常脆弱。因为数据在传输的过程中都曝露在空中，很容易被别有用心的人截取数据包，虽然，3COM、安奈特等国外厂商都针对802.11B制定了一系列的安全解决方案，但总得来说并不尽人意，而且其核心技术掌握在别国人手中，他们既然能制定得出来就一定有办法破解，所以在安全方面成了政府和商业用户使用WLAN的一大隐患。WAPI由于由我国有关部门掌握着加密的核心技术，所以就不怕有人利用WLAN来盗取机密信息了，而且它的加密技术比802.11B更为先进，WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法，实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。此外，WAPI从应用模式上分为单点式和集中式两种，可以彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状，从根本上解决安全问题和兼容性问题。所以我国强制性地要求相关商业机构执行WAPI标准能更有效地保护数据的安全。出于利益方面的考虑2、出于利益方面的考虑。我国是个经济蓬勃发展的发展中国家，许多产品都拥有巨大的发展空间，尤其是高科技产品。但是，在以前，我国在高科技产品方面丧失了很多的机会，由于极少有自主核心技术和自己业界标准的产品，造成了颇为被动的局面：DVD要被外国人收取大量的专利费，GPRS、CDMA1X等等的标准都掌握在外国人手里，我们只能乖乖地将大把的钞票送给人家去买人家的标准，而自己则像个替人“打工”的工人，只能去搞OEM、去帮人组装产品。所以，有人说“一流的企业卖标准、二流的企业卖技术、三流的企业卖产品”。规则世界贸易组织的一个重要协定—贸易技术壁垒协定(WTO/TBT)规定WTO各成员国可以为本国安全、健康、环保等正当目标，在符合WTO总协定的有关标准和国际指南的前提下修改或制定出本国新的技术法规、标准等相关文件。众所周知，WAPI旨在加强无线网络的安全性，符合WTO上述规则。作用\o"查看图片"WAPI(图4)对于个人用户而言，WAPI的出现最大的受益就是让自己的笔记本电脑从此更加安全，因为WLAN在进行数据传输时是完全暴露在半空中的，而且信号覆盖范围广，如果安全性不好，合法用户的数据就很容易被非法用户截获和破解。同时，非法用户还可以伪装成合法用户，和合法用户共同使用网络资源，使合法用户的利益蒙受损失。就拿北美来说，他们那里非常流行基于802.11B的WLAN，许多电脑高手就试图用易拉罐来截获和破解合法用户的无线信号，从而达到免费共享合法用户网络资源的目的。而更为可怕的是，非法的用户还可以利用WLAN将合法用户笔记本电脑里的数据盗取过来，从而使他们造成或大或小的损失（如果是帐号、密码之类的信息被盗取后果就更严重了）。另外，设备间互联是运营商必须要考虑的问题。当前，虽然许多厂商的产品都宣称通过了wi-fi兼容性测试，但由于各厂商所提出和采用的安全解决方案不同。例如，安奈特（AT-WR2411无线网卡）提供的是多级的安全体系，包括扩频编码和加密技术，安全的信息通过40和128位的WiredEquivalentPrivacy(WEP)加密方法；而3Com的无线网卡如果和3Com11Mbps无线局域网AccessPoint6000配合使用，则可以使用高级的动态安全链路技术，该技术与共享密钥的方案不同，它会自动为每一个会话生成一个128位的加密密钥。这样，由于缺乏统一的安全解决方案标准，导致了不同的WLAN设备在启用安全功能时无法互通，会造成运营商的设备管理极其复杂，需要针对不同的安全方案开发不同用户管理功能，导致运营和维护成本大大增加，也不利于保护投资，而用户因为无法在不同的安全AP(AccessPoint)间漫游，而降低客户满意度，同时也会常常会令用户的设备兼容性出现问题。历史1992年，中国开始无线局域网研究1994年，中国第一台WLAN样机，诞生于西安电子科技大学综合业务网理论及关键技术国家重点实验室，并通过部级鉴定。2000年底，西电捷通成立——由西安电子科技大学(综合业务网理论及关键技术国家重点实验室)等发起成立的高科技股份制企业，无线局域网国家标准的起草者。2001年6月，由于IEEE802.11标准存在的严重安全技术漏洞，信息产业部开始下达无线局域网国家标准起草任务。2001年8月，西电捷通发起成立中国“宽带无线ＩＰ标准工作组”，开发中国的无线局域网安全技术，同年11月完成标准草案。2003年5月，国家强制标准GB15629.11/1102-2003批准即WAPI发布，并宣布将于2003年底实施。英特尔等跨国公司以准备时间不足为由，要求推迟实施。2003年11月，国家质监总局和国家标准化管理委员会发布公告,从2004年6月1日起,境内的无线局域网产品必须采用WAPI标准。但英特尔、博通等美国公司强烈抵制,并威胁将停止在中国开展无线业务,声称WAPI标准将迫使自己与中国公司共享敏感信息.2004年3月，美国务卿鲍威尔、商务部长埃文斯、贸易代表佐立克联名致信，要求中国放弃WAPI标准。称这一标准是国际贸易的壁垒。2004年4月，国家质检总局、国家认监委、国家标准委联合发布公告：2004年6月1日将延期强制实施WAPI标准。2004年7月，中国向国际标准化组织ISO提交了WAPI提案,试图推进其成为国际标准,但遭到美国方面的强烈阻挠.2005年11月，发改委等八部委连续召开WAPI部际联席会议2005年12月，财政部等三部委联合“关于印发无线局域网产品政府采购实施意见的通知”2006年1月，国家质检总局颁布了无线局域网修改单GB15629.11-2003/XG1-2006及其扩展子项国家标准GB15629.1101-2006《无线局域网媒体访问控制和物理层规范：5.8GHz频段高速物理层扩展规范》、GB15629.1104-2006《无线局域网媒体访问控制和物理层规范：2.4GHz频段更高数据速率扩展规范》、GB/T15629.1103-2006《无线局域网媒体访问控制和物理层规范：附加管理域操作规范》等三项补篇国家标准，形成了全面采用WAPI技术的WLAN国家标准体系。2006年3月，国际标准化组织ISO的投票中,WAPI以悬殊的得票率负于美国标准802.11i.2006年6月，质检总局、国标委联合发布《关于发布无线局域网国家标准的公告》2008年4月，在ISO/IECJTC1/SC6日内瓦会议上,中国第二次启动WAPI提案。在这次会议上,国际标准组织认为802.11i仍无法满足无线网络的安全需求,故专门设立一个研究阶段,研究将WAPI以何种方式推进为国际标准.2008年7月，在包括ISO/IEC总部官员、中方代表、IEEE代表等参加的WAPI特别会议上,IEEE代表和美国代表改变原本坚决反对WAPI提案的立场,达成了WAPI可作为独立标准推进的共识.2009年4月，中国工信部召集手机厂商开会，宣布今后国内所有2G和3G手机都可以使用WAPI技术2009年6月1日至5日召开的东京会议上,包括美国代表在内的参会成员一致同意,将WAPI作为无线局域网络接入安全机制独立标准形式推进为国际标准。(其中美国代表杰西·沃克既是英特尔的安全架构师,也是802.11i标准的编辑者)，从而获得打破IEEE垄断的希望。支持WAPI的手机：诺基亚包括：N97i、N97mini、X6-00、5530xm、5800w、e72i索尼爱立信包括：U5i、X2i、X10i摩托罗拉包括：A3300c、A3100milestone(XT702)ME600(Backflip)ME501三星包括：i7500U、i8910U、i8180c、s5628、s8500苹果包括：iPhone4联想：O1多普达：A6188、A6288、A3288、T5399华为包括：U8230、C8100、E5中兴包括：X60酷派包括：N900+、F800X20魅族包括：M8影响中国正式发布WAPI的时间是2003年5月12日，为了让业界知道中国即将实施的新标准，信息产业部、国标委等八大部委2003年7月在北京联合举行了宣传推广活动，WAPI真正被广受关注的起因是中国三大政府职能部门在短短五天之内两度发布的公告：11月26日，中国国有质量监督检验检疫总局联合国家标准化管理委员会发布了“关于无线局域网强制性国家标准（WAPI，笔者注）实施的公告”；12月1日，国家认证认可监督管理委员会则回应前一公告，“2004年6月1日起，对无线局域网产品实施强制性认证”。12月4日，华尔街日报报道说，“中国无线技术加密标准引发业界慌乱”，从此引起了媒体更多更为慌乱的报道。12月9日，PaulNikolich──前无线网国际标准制定者IEEE802与都市城域网络标准委会员主席──给中国标准化管理局局长李忠海和信息产业部部长王旭东发来一封信，信中警告说，“新标准的强制执行会对无线网络产品市场造成很大的冲击，将全球市场一分为二；而且限制基于802.11标准的产品在中国地区的销售将会缩小用户购买产品时的选择范围，从而增加无线网络设备的成本。”与7月份跨国公司集体保持沉默不同，飞利浦、朗通环球、汤姆森等欧洲厂商，纷纷向中国政府示好，表示“将会理解和支持中国WLAN新国家标准”，并称尽快推出符合标准的产品。与此同时，戴尔也开始忙起来。“戴尔在研究新标准。”戴尔中国公司的一位高层人士表示，预计6个月的宽限期结束时，公司将暂停向中国发运受此政策影响的产品。另外，据Wi-fi联盟主席丹尼斯-伊顿(DennisEaton)称，Wi-fi联盟也已经派代表与中国政府多个部门进行了接触，他们正就如何理解新标准，以及中国政府计划如何执行新标准等问题进行初步探讨。美国是无线网络产品的最大供应商，因此WAPI标准的实施对于美国的利益将造成最大的影响。因此，中国推出WAPI遇到最大的阻力是美国方面的。美国不但派人来游说中国放弃这一标准，而且其政府也介入了这场争论之中。竞争\o"查看图片"WAPI与WiFi之争WAPI是中国自主研发的，拥有自主知识产权的无线局域网安全技术标准。相比WiFi，对于用户而言，WAPI可以使笔记本电脑以及其他终端产品更加安全。但现在，WiFi已主导市场。如果WAPI标准一旦在中国强制执行，现有迅驰笔记本电脑将无法使用。如果中国笔记本电脑全部使用WAPI标准，则无法在目前遍布WiFi热点的机场、五星级饭店、星巴克或者欧美发达国家使用。WiFi还在快速扩充市场与WAPI的集体失语比较，WiFi的中国进程则要高调很多。据悉，WiFi已宣布部署WiFi基站，让家庭用户随时随地接入互联网。而此前WiFi热点只覆盖到机场、咖啡屋等有需求的地方。不过，据记者了解，现在市面上应用WAPI安全协议标准的产品很少，无线路由器暂时没有，笔记本电脑只有联想、索尼和方正曾经推出过，现在已经绝迹，而英特尔已经等不及802.11n的标准公布，强行将WIFI标准的802.11n植入最新的芯片。专家认为，在实际操作中，WAPI一直处于未采用、边缘化的状态。而采用有严重缺陷的WiFi标准建设将使国家公共基础设施网络存在极大的安全隐患和公共信息安全问题。WAPI和WiFi能否兼容早在2006年，著名电信专家、北京邮电大学教授阚凯力就表示，WAPI与WiFi的唯一区别就是在认证保密方面，WAPI比WiFi强。但WiFi与WAPI不兼容。如果WAPI强制应用，现有的迅驰笔记本电脑将不能使用，而应用WAPI标准的笔记本电脑或者其他终端产品，拿到外国也不能用，而外国的笔记本电脑拿到中国也不能使。不过，WAPI联盟的技术专家告诉记者，在国内全面推广WAPI，最有可能受影响的是已经在国内销售的千万迅驰笔记本用户，但并非需要购买单独的网卡才可以使用WAPI。“只要英特尔愿意在网上公布迅驰笔记本的WAPI软件补丁或直接把驱动嵌入进操作系统中安装，迅驰笔记本或者采用WiFi标准的无线产品都可以应用WAPI标准的无线网络。”该专家表示，“这件事对于英特尔来说是轻而易举的事情。问题的关键是英特尔愿不愿意，而不是能不能！”记录2008年WAPI在中国电信和中国移动WLAN入网测试规范中被定为A类必须满足的测试项。2008年3月两会期间全国人大代表、西安电子科技大学副校长郝跃提交《关于加速推进