5．802.11b是不安全的

802.11b是部署得最廣泛的WLAN技術。802.11b的安全基礎是有線等價專用性（WEP）的幀加密協議，它具有許多安全隱患。

802.11標準將WEP定義為保護WLAN接入點與網絡接口卡（NIC）間空中傳輸的簡單機制。WEP在數據鏈路層操作，要求所有通信方都共享相同的密鑰。按規定，IEEE 802.11b需要40位加密密鑰，但目前許多廠商的產品都支持可選的128位標準。借助互聯網上提供的工具，WEP可以方便地創建40位和128位變形密鑰。

WEP使用RC4流密碼進行加密。RC4加密算法是一種對稱的流密碼，支持長度可變的密鑰。IEEE 802.11標準中并沒有規定密鑰分發的方法。如果沒有自動密鑰分發方法，任何加密協議都會因人工密鑰輸入、轉讓和管理錯誤而遇到問題。802.1x已經得到了IEEE的批準，并得到了WLAN廠商的廣泛擁護，可望成為這種密鑰分發問題的解決方案。

初始化向量是WEP的中心問題。由于初始化向量（IV）只能作為純文本傳輸，放置在802.11報頭中，因此，竊聽WLAN的人都可以看到它。IV的長度為24位，能夠提供16,777,216個值。如果在加密包上使用了相同的IV和相同的密鑰（稱為IV沖突），黑客就可以捕獲數據幀，并獲取數據和網絡信息。WEP加密方案具有很多弱點，應利用先進的密鑰管理解決方案彌補這些弱點。

RC4 密鑰安排算法也存在內在缺陷。由于WEP中的RC4選擇了24位IV，而且不能使用動態專用加密密鑰，因此，這些缺陷在WEP的802.11加密幀中有所暴露。

二、需要利用安全擴展技術

鑒于WEP存在這些安全漏洞，思科建議利用三種技術取代IEE 802.11規定的WEP，包括基于IP Securtiy（IPSec）的網絡層加密方法，使用802.1X、基于人工認證的密鑰分發方法，以及思科最近對WEP所做的某些改進。另外，IEEE 802.11任務組“i”也正在改進WLAN加密標準。

1．IPSec

IPSec是一種開放標準框架，以保證安全通信， IPSec VPN使用IPSec內定義的服務，以保證在公共網上數據通信的保密性、完整性和認證。目前，IPSec已有實際應用。

在WLAN環境中部署IPSec時，IPSec放置在用于無線接入的PC上，為用戶建立IPSec通道，以便將流量傳送到有線網。過濾器用于防止無線流量到達VPN網關和/以外的目的地。IPSec提供IP流量的保密、認證和防重播功能。保密功能通過加密實現，加密利用3DES技術，即用三個密鑰對數據進行三次加密。雖然IPSec主要用于實現數據保密性，但擴展以后也可以用于用戶認證和授權，并作為IPSec過程的一部分。

2．EAP/802.1X

EAP/802.1X則注重提供集中認證和動態密鑰分發。在思科、微軟及其它機構向IEEE共同提交的建議中，提出了使用802.1X和可擴展認證協議（EAP）的端到端框架。這個建議的兩個主要組件是：

· EAP，允許使用無線客戶機適配器，可以支持不同的認證類型，因而能與不同的后端服務器通信，如遠程接入撥入用戶服務（RADIUS）。

· IEEE 802.1X，基于端口的網絡訪問控制的標準。

如果實施了這些措施，當用戶執行網絡登錄以后，與AP相關的無線終端才能接入網絡。當用戶在網絡登錄對話框中輸入用戶名和密碼或者等價信息時，客戶機和RADIUS服務器將執行相互認證。然后，RADIUS服務器和客戶機將獲得一個專用WEP密鑰，而且用戶密碼和操作密鑰不會以原始形式在無線網絡上傳輸。

與WEP相比，LEAP具有兩個優點，第一是相互認證特性，這種方案能有效地消除假冒接入點和對RADIUS服務器發起的“中間人攻擊”。第二是集中管理和分發WEP使用的密鑰。

3．WEP改進

WEP密鑰散列

在對WEP發起攻擊時，必須使用相同密鑰的多個薄弱IV，因此，為每個包配備不同的密鑰可消除這種威脅。對IV和WEP密鑰進行散列，以便產生唯一的包密鑰（稱為臨時密鑰），然后與IV組合在一起，這種方法能防止黑客利用薄弱IV獲取基礎WEP密鑰。

消息完整性檢查

WEP的另一個問題是容易遭受重播攻擊，消息完整性檢查（MIC）能防止WEP幀被損害。MIC基于種子值、源MAC和負載，包含在WEP加密的負載中，使用散列算法獲取最終值。

【相關文章】

• 如何降低WLAN安全風險
  

• 你的WLAN安全嗎 保護WLAN中的數據
  

• 無線局域網的安全防護