從2000年底開始，人們逐漸發現無線LAN標準中的WEP（有線對等加密）安全技術存在隱患。同時，不僅推算WEP加密密鑰的算法已經公開，而且采用該算法的軟件也可免費獲得。破解WEP、無線LAN通信內容被監聽的危險就在我們身邊！

　　但是，多數用戶可在無線LAN網絡中使用的安全技術只有WEP。多數情況下，用戶都是明知WEP存在安全隱患，但仍然只能繼續使用。

　　最近，人們終于看到了解決這一問題的曙光。因為2003年6月底以后，替代WEP的最新安全標準“WPA（Wi-Fi保護訪問）”已進入產品領域。負責無線LAN產品兼容性認證的非營利團體Wi-Fi聯盟的方針是：2003年9月以后必須采用WPA。今后，WPA必將成為無線LAN安全技術的主流。

　　此次筆者通過升級日本Linksys的無線LAN路由器“WRT54G”和無線LAN卡“WPC54G”的固件及驅動程序，實際運行了WPA，對其易用性進行了測試。
加密方式為TKip和AES



圖1：WPA規定的主要內容

　　在介紹有關其易用性的情況之前，筆者先對WPA簡單地加以介紹。WPA是Wi-Fi聯盟為了消除WEP的缺點而自2003年4月開始認證程序的安全規格。

　　WPA規定的項目大體分為2個（見圖1）。一是對用戶進行認證，然后為終端發布加密密鑰。另一個是加密方式，不是存在安全隱患的WEP，而是另行規定了全新的加密方式。

圖1

WPA（Wi-Fi保護訪問）
認證·密鑰發布方式
IEEE802.1x
認證服務器和接入點相配合，對每個用戶都要對其接入的終端進行認證。

PRe-SharedKey（預置共享密鑰）
通過與使用同一接入點的所有終端共享與接入點相同的密鑰進行認證。認證后向終端發布各不相同的密鑰。

加密方式

TKIP
此加密方式消除了已知的WEP缺點。可通過升級采用WEP的無線LAN產品的固件/驅動程序來支持。

AES（計劃添加到2004年制定的WPAv2中）
美國政府制定的DES加密方式的后續通用加密方式。雖然加密強度得到了提高，但由于處理負荷增加了，因此現有產品難以支持。

　　關于認證·密鑰發布方式，對面向企業用戶的產品規定，必須采用能為每個用戶進行認證和密鑰發布的“IEEE802.1x”協議（無線LAN卡所有產品必須支持該協議）。不過，為了使用801.1x，除接入點的支持以外，還必須預備用于保存用戶治理信息的認證服務器（RADIUS服務器）。這一點對于人數不多的企業和家庭來講負擔較重。因此還專門面向家庭和SOHO預備了預置共享（Pre-Shared）模式。這種模式是指像WEP一樣預先在終端和接入點中只注冊一個密碼，與該接入點通信的終端共享同一個密碼進行認證，再向終端發布密鑰。

　　加密方式采用TKIP（臨時密鑰完整性協議）。TKIP是WEP的改進版。在盡可能使用WEP算法的同時，又消除了WEP已知的缺點。之所以使用WEP算法，是為了能夠只需對現有WEP產品進行升級就可使用這種加密方式（絕大多數無線LAN芯片均配備了處理WEP算法的電路）。

　　另外，盡管目前在WPA中尚未確定，但是將來還預備在WPA中添加一種稱為AES（高級加密標準）的新的加密方式。這種方式不能使用原來的算法，處理負荷較高，因此最好進行硬件處理。盡管部分無線LAN芯片配備了AES電路，但大多沒有芯片。按照Wi-Fi聯盟的計劃，從2004年第4季度開始將必須采用AES。據該團體的文件稱，將來預備廢除WEP和TKIP，而統一采用AES。

終端還必須對設置工具進行升級

　　下面就來看看WPA的實際運行情況。首先讓我們從預備工作開始。日本Linksys的接入點只需從該公司的Web站點下載固件并安裝，即可支持WPA。



圖2：接入點的設置畫面和訪問時終端顯示的畫面

　　而無線LAN卡假如只是安裝新的驅動程序，并不能支持WPA。還必須升級設置加密方式和密碼的實用程序。

　　對于Windows98/Me/2000等OS，日本Linksys預備通過升級專用實用程序來支持WPA（提供日期尚未確定）。而WindowsXP方面，微軟已經提供了用于使OS標準實用程序支持WPA的升級程序組件，可以通過安裝這種升級組件支持新的加密方式和認證方式（請參考：http://support.microsoft.com/?kbid=815485）。

圖2

接入點方面：
認證·密鑰發布方式的設置類型：可以選擇PSK（預置共享密鑰）和IEEE802.1x
加密方式的設置類型：可以從WEP、TKIP和AES中選擇

終端方面：
用戶只要輸入密碼（網絡密鑰），利用接入點中預先設置的方法認證后，即可進行加密通信

TKIP速度降低3成，AES速度不變

　　經過上述預備，從接入點的治理畫面（用Web瀏覽器顯示）來看，加密方式過去只能選擇WEP，而現在還可選擇TKIP和AES（見圖2左）。其中，AES像剛才所說的那樣目前不包括在WPA中，但是“由于日本Linksys采用的美國Broadcom生產的無線LAN芯片中已經配備了AES處理電路，因此此次可以使用AES加密方式”（日本Linksys產品銷售部經理山田泰志）。另外，新設了認證·密鑰發布選擇類型，可以選擇PSK和802.1x方式。



照片1：在終端上明確地進行WPA設置的畫面

　　比如，在接入點設置畫面中，認證·密鑰發布方式和加密方式分別選擇Pre-Shared（設置畫面上為WPA-PSK）和TKIP。由終端進行首次訪問時，就會出現如圖2右所示的畫面。在這里輸入接入點中預先設置的共享密鑰（網絡密鑰），就可使用無線LAN。以后，由于這個認證信息會保留在個人電腦中，因此即便不再輸入共享密鑰，終端也可根據所保留的信息自動連接。加密方式改成AES，運行情況仍然一樣。

　　還可像照片1所示的那樣，在終端上預先設置加密方式和認證方式。當所設置的內容與接入點的設置不同時，就會認證失敗。不過，此后只要打開如圖2右所示的畫面，輸入正確的密鑰即可連接。此后會始終保留最后一次連接成功的設置。

　　另外，筆者還把使用TKIP和AES時的實際通信速度與WEP進行了比較。其結果如圖3所示。除TKIP降低約30以外，與不加密時相比基本差不多。使用TKIP時速度下降的原因估計是因為WEP和AES幾乎能夠用專用電路進行所有處理，而TKIP則利用軟件進行大部分的處理。



圖3：通信速度因加密方式而不同

在測試過程中，使用Netperf，對數據從連接無線LAN端口的個人電腦向無線LAN終端之間的傳輸速度進行了測定。