Wi-Fi安全协议简史，从无到WPA3

由WI-FI的不断发展，我们即将都会用上新的802.11ax协议和比较安全稳定的WI-FI安全协议WPA3。在我们到底能弄明白WPA3究竟能带来哪些好处之前，有必要对之前WI-FI无线协议历史有个历史回顾，忆苦思甜才能真正知道有多甜，吃水不忘挖井人，只有知道前辈们为了WI-FI安全所做的那些努力我们才能知道任何一个系统安全保障是多么的不易。本文虫虫就给大家讲讲Wi-Fi协议发展简史以及关键的历史点。

蛮荒时代

在上世纪90年代中后期，互联网伊始，通过任何一个机器都可以"嗅探"任何其他给定机器的流量，即使在有线网络上也是如此。当时的以太网主要是通过集线器而不是交换机相连，任何稍微懂点互联网协议的人都可以随时通过网络抓包浏览网络流量中传输的内容，从底层的网络包到应用层电子邮件的内容都一览无遗。

在世纪交替之际(2000年附近)，有线以太网已经从集线器(甚至是旧的同轴电缆网)转到了交换机。集线器会将收到的每个数据包转发给连接到它的每台机器，，所以基于此的网络嗅探非常简单。相比之下，交换机只会将数据包转发到它们所指定的MAC地址，因此当计算机B想要将数据包发送到路由器A时，交换机不会向计算机C上的用户提供网络包。这一点点的微妙变化使有线网络比以前更加值得信赖。当1997年发布最初的802.11 Wi-Fi标准时，包括WEP-无线加密协议，它提供了与时下用户期望的有线网络具有相同的安全性期望，所以他的名字也是源于此。

WEP——原始的无线加密协议

WEP的原始版本需要一个10位数字或者26位的十六进制预共享密钥，比如0A3FBE839A类似的数字。由于十六进制位数可用字符有限制，只能0-9和A-F字母，所以和日常使用的可读字符比较差异很大，非常不易于阅读和使用，很容易出现故障。比如你使用一个个不在0-F范围的字母，就会报错。和大家预期的一样，WEP很快就被抛弃不用。尽管要求用户有效和准确地分享10或26位十六进制数字似乎非常不合理，但是在1997年确实是这样用的。

D-Link的DI-514 802.11b是WEP路由器的一个例子。它是一个非常完美的路由器。

后续版本的WEP提供了对客户端和路由器都一致方式，自动将任意长度的人类可读密码hash散列化到10或26位十六进制代码。因此，尽管WEP的底层仍使用原始的40位或104位数字进行处理，但是至少不用人们使用阅读和分享这些难记的数字串。从数字到密码的转变开始，使得WEP使用量开始攀升。

虽然人们实际使用中WEP还挺好，但这个早期的安全协议仍然有很多问题。一方面，它故意使用了很弱的RC4加密，尽管可以手动设置加强的加密算法，仍然容易被同一网络的其他机器嗅探。由于所有流量都使用相同的PSK进行加密和解密，所以任何人都可以轻松截取你的流量，并且解密。

这还不是最可怕的，可怕的是WAP密码可以很容易被破解，基于Aircrack-Ng 破解套件可以在几分钟内就能破解任何的WEP网络。

WPA——WI-FI访问保护

WPA的最初实现采用了802.11g WI-FI标准，该标准对WEP做了巨大地改进。 WPA从一开始就被设计为接受人性化的密码，但其改进远远不止于此。

WPA引入了TKIP，即Temporal Key Integrity Protocol临时密钥完整性协议。 TKIP主要两个主要用途。首先，它为每个每个发送的数据包创建一个新的128位密钥。这可以防止WEP网络在几分钟被攻破的窘境。TKIP还提供了比WEP简单循环冗余校验(CRC，Cyclic Redundancy Check)强得多的消息认证码。CRC通常可用于低可信度的数据验证，以减轻网络线路噪声的影响，但它有个天然缺陷，无法有效抵御针对性地攻击。

TKIP还使得不会自动将你的流量暴露给其他新加入Wi-Fi网络的人。WEP的静态预共享密钥意味任何人都可以完全清楚地接收其他人的流量。但是TKIP为每个传输的数据包使用了一个新的短暂密钥，所以其他人并不能使用这个密钥。连接到公共Wi-Fi网络的人，虽然大家都知道密码，但是各自用的数据加密密钥都不一样，你就无法直接浏览别人传输的网络包的内容。

但是TKIP也有其问题，并在2008年首次遭遇了中间人攻击(MITM，Man In The Middle)。安全研人员Martin Beck和Erik Tews发现了一种利用802.11e QoS功能解密WPA/TKIP网络中短数据包的方法，该攻击方法也叫"Beck-Tews攻击"。攻击过程只需要12-15分钟，但这并不是最糟糕的，当时还相对有很少的网络实际上实施了802.11e。

2009年，安全研究人员 Toshihiro Ohigashi和Masakatu Morii表了名为《有关Beck-Tews攻击的新变种》的论文，该论文披露了详细的攻击细节，该攻击可以攻击任何WPA/TKIP网络。

WPA2——弃用TKIP，换上AES-CCMP

2004年，针对WEP和TKIP的已知的问题，电气和电子工程师协会(IEEE)创建了新的802.11无线网络标准802.11i扩展。拥有Wi-Fi商标的行业监管机构Wi-Fi Alliance则基于802.11i扩展宣实现了WPA2。该版本的改进是用AES-CCMP代替TKIP用于非企业认证(企业通常使用RADIUS来为每个用于单独分配密码，这两个密码，可以避免大多数身份验证攻击问题)。

有一些些802.11g路由器支持AES，但是真正大量的使用是从802.11n路由器开始的，比如上图中的 Linksys WRT310n。

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!