WPA 简介 wpa _知识分享

文章插图
WPA全名为Wi-Fi Protected Access ，有WPA和WPA2两个标准，是一种保护无线网路（Wi-Fi）安全的系统。它是应研究者在前一代的有线等效加密（WEP）系统中找到的几个严重的弱点而产生的。WPA实作了IEEE 802.11i标准的大部分，是在802.11i完备之前替代WEP的过渡方案。WPA的设计可以用在所有的无线网卡上，但未必能用在之一代的无线接取器上。WPA2具备完整的标准体系，但其不能被应用在某些旧型的网卡上。WPA和WPA2这两个标准都提供了不错的保全能力，但也都存在自己的问题：
WPA或WPA2一定要启动并且被选来代替WEP才能生效，但是在某些旧设备的安装指引或默认配置中，WEP标准是默认选项。
在使用家中和小型办公室最可能选用的“个人”（Personal）模式时，为了保全的完整性，所需的密语一定要比过去用户所设定的六到八个字元的密码还长。
历史WPA是由Wi-Fi联盟（英语：The Wi-Fi Alliance）这个业界团体创建的，他们拥有Wi-Fi这个名词的商标，并且会检验要使用Wi-Fi这个名词的设备以核发证书。
对WPA标准的实际运用检验从2003年4月开始，并于2003年11月变成强制性。完整的802.11i标准是在2004年6月通过的。

文章插图
在WPA的设计中要用到一个802.1X认证服务器来分发不同的密钥给各个终端用户；不过它也可以用在较不保险的“预共享密钥模式”（pre-shared key（PSK）），这是让同一无线路由器底下的每个用户都使用同一把密钥。Wi-Fi联盟把这个使用pre-shared key的版本叫做“WPA-个人版”或“WPA2-个人版”（WPA-Personal or WPA2-Personal），用802.1X认证的版本叫做“WPA-企业版”或“WPA2-企业版”（WPA-Enterprise or WPA2-Enterprise）。
WPA的资料是以一把128位元的钥匙和一个48位元的初向量（IV）的RC4 stream cipher来加密。WPA超越WEP的主要改进就是在使用中可以动态改变密钥的“临时密钥完整性协定”（Temporal Key Integrity Protocol ， TKIP），加上更长的初向量，这可以击败知名的针对WEP的密钥截取攻击（英语：related-key attack）。
除了认证跟加密外，WPA对于所载资料的完整性也提供了巨大的改进。WEP所使用的CRC（循环冗余校验）先天就不安全，在不知道WEP密钥的情况下，要篡改所载资料和对应的CRC是可能的，而WPA使用了名为“Michael”的更安全的讯息认证码（在WPA中叫做讯息完整性查核（英语：Message Integrity Check），MIC）。进一步地， WPA使用的MIC包含了帧计数器，以避免WEP的另一个弱点——重放攻击（Replay attack）的利用。
有两个理由使得WPA被定位为到达较安全的802.11保全之前的过渡步骤：

制定802.11i的工作比原先预期的久了很多，在大家越来越关心无线安全的同时，该标准的制定花费了四年才完成；
它包含了与WEP相容的802.11i子 ***，即使是最早的802.11b介面卡也能用。

许多已出货的无线网路介面卡都有WPA韧体更新；在2003年之前售出的802.11 无线接取器（无线路由器、无线网卡等）一般而言则必须要淘汰和更换。
借由加长密钥和初向量、减少和密钥相关的封包个数、再加上安全讯息验证系统，WPA使得侵入无线区域网路变得困难许多。Michael演算法是WPA设计者在大多数旧的网路卡也能使用的条件下找到的最强的演算法，然而它可能会受到伪造封包攻击。为了降低这个风险， WPA网路每当侦测到一个企图的攻击行为时就会关闭30秒钟。

文章插图
WPA2WPA2是经由Wi-Fi联盟验证过的IEEE 802.11i标准的认证形式。WPA2实现了802.11i的强制性元素，特别是Michael演算法由公认彻底安全的CCMP讯息认证码所取代、而RC4也被AES取代。微软Windows XP对WPA2的正式支援于2005年5月1日推出，但网路卡的驱动程式可能要更新。苹果电脑在所有配备了AirPort Extreme的麦金塔、AirPort Extreme基地台和AirPort Express上都支援WPA2 ，所需的韧体升级已包含在2005年7月14日释出的AirPort 4.2中。