WPA 全名為 Wi-Fi Protected Access,有WPA 和 WPA2兩個標準,是一種保護無線電腦網路(Wi-Fi)安全的系統,它是應研究者在前一代的系統有線等效加密(WEP)中找到的幾個嚴重的弱點而產生的。WPA 實作了 IEEE 802.11i 標準的大部分,是在 802.11i 完備之前替代 WEP 的過渡方案。WPA 的設計可以用在所有的無線網卡上,但未必能用在第一代的無線取用點上。WPA2 實作了完整的標準,但不能用在某些古老的網卡上。這兩個都提供優良的保全能力,但也都有兩個明顯的問題:
WPA或WPA2 一定要啟動並且被選來代替 WEP 才有用,但是大部分的安裝指引都把 WEP 列為第一選擇。
在使用家中和小型辦公室最可能選用的“個人”模式時,為了保全的完整性,所需的密語一定要比已經教用戶設定的六到八個字元的密碼還長。
英文縮寫: WPA (Wi-Fi Protected Access)
中文譯名: Wi-Fi網路安全存取
分 類: 移動與無線
解 釋: WPA是一種基於標準的可互操作的WLAN安全性增強解決方案,可大大增強現有以及未來無線區域網路系統的數據保護和訪問控制水平。WPA源於正在制定中的IEEE802.11i標準並將與之保持前向兼容。部署適當的話,WPA可保證WLAN用戶的數據受到保護,並且只有授權的網路用戶才可以訪問WLAN網路。
由於WEP業已證明的不安全性,在802.11i協定完善前,採用WPA為用戶提供一個臨時性的解決方案。該標準的數據加密採用TKIP協定(Temporary Key Integrity Protocol),認證有兩種模式可供選擇,一種是使用802.1x協定進行認證;一種是稱為預先共享密鑰PSK(Pre-Shared Key)模式。
歷史
WPA是由Wi-Fi 聯盟(The Wi-Fi Alliance)這個業界團體建立的,他們擁有 Wi-Fi 這個名詞的商標,並且會檢驗要使用Wi-Fi這個名詞的設備以核發證書。
對WPA實作的檢驗在2003年4月開始,於2003年11月變成強制性。完整的 802.11i 標準是在2004年6月通過的。
在WPA的設計中要用到一個 802.1X 認證伺服器來散布不同的鑰匙給各個用戶;不過它也可以用在較不保險的 "pre-shared key" (PSK) 模式,讓每個用戶都用同一個密語。Wi-Fi聯盟把這個使用pre-shared key的版本叫做WPA個人版或WPA2 個人版,用802.1X認證的版本叫做WPA 企業版或WPA2 企業版。
WPA 的資料是以一把 128 位元的鑰匙和一個 48 位元的初向量 (IV) 的 RC4 stream cipher 來加密。WPA 超越 WEP 的主要改進就是在使用中可以動態改變鑰匙的“臨時鑰匙完整性協定”(Temporal Key Integrity Protocol,TKIP),加上更長的初向量,這可以擊敗知名的針對 WEP 的金鑰擷取攻擊。
除了認證跟加密外,WPA 對於所載資料的完整性也提供了巨大的改進。WEP 所使用的 CRC(循環冗餘校驗)先天就不安全,在不知道 WEP 鑰匙的情況下,要篡改所載資料和對應的 CRC 是可能的,而 WPA 使用了稱為 "Michael" 的更安全的訊息認證碼(在 WPA 中叫做訊息完整性查核,MIC)。進一步地,WPA 使用的 MIC 包含了幀計數器,以避免 WEP 的另一個弱點-replay attack(回放攻擊)-的利用。
有兩個理由使得 WPA 被定位為到達較安全的 802.11 保全之前的過渡步驟:
1. 制定 802.11i 的工作比原先預期的久了很多,在大家越來越擔心無線安全性之時竟然花了四年之久;
2. 它包含了與 WEP 相容的 802.11i 子集合,即使是最早的 802.11b 接口卡也能用。
許多已出貨的無線網路接口卡都有 WPA 固件更新;在 2003年之前售出的 802.11 取用點一般而言則必須要汰換。
藉由增大鑰匙和初向量、減少和鑰匙相關的封包個數、再加上安全訊息驗證系統,WPA 使得侵入無線區域網路路變得困難許多。Michael 算法是 WPA 設計者在大多數舊的網路卡也能使用的條件下找到的最強的算法,然而它可能會受到偽造封包攻擊。為了降低這個風險,WPA 網路每當偵測到一個企圖的攻擊行為時就會關閉 30 秒鐘。
WPA2
WPA2 是經由 Wi-Fi 聯盟驗證過的 IEEE 802.11i 標準的認證形式。WPA2 實現了 802.11i 的強制性元素 [1],特別是 Michael 算法由公認徹底安全的 CCMP 訊息認證碼所取代、而 RC4 也被 AES 取代。微軟 Windows XP 對 WPA2 的正式支援於 2005年5月1日 推出,但網路卡的驅動程式可能要更新。蘋果電腦在所有配備了 AirPort Extreme 的麥金塔、AirPort Extreme 基地台和 AirPort Express 上都支援 WPA2,所需的固件升級已包含在 2005年7月14日釋出的 AirPort 4.2 中。
預共用密鑰模式下的安全性
預共用密鑰模式(pre-shared key,PSK, 又稱為個人模式)是設計給負擔不起 802.1X 驗證伺服器的成本和複雜度的家庭和小型公司網路用的,每一個使用者必須輸入密語來取用網路,而密語可以是 8 到 63 個 ASCII 字元、或是 64 個16進位數字(256位元)。使用者可以自行斟酌要不要把密語存在電腦里以省去重複鍵入的麻煩,但密語一定要存在 Wi-Fi 取用點裡。
安全性是利用 en:PBKDF2 密鑰導出函式(en:key derivation function)來增強的,然而使用者採用的典型的弱密語會被密碼破解攻擊。WPA 和 WPA2 可以用至少 5 個 Diceware 詞或是 14 個完全隨機字母當密語來擊敗密碼破解攻擊,不過若是想要有最大強度的話,應該採用 8 個 Diceware 詞或 22 個隨機字母。密語應該要定期更換,在有人使用網路的權利被撤消、或是設定好要使用網路的裝置遺失或被攻破時,也要立刻更換。
某些消費電子晶片製造商已經有辦法跳過使用者選出弱密語的問題,而自動產生和散布強鑰匙。做法是透過軟體或硬體接口以外部方法把新的 Wi-Fi 接口卡或家電加入網路,包括按鈕(Broadcom SecureEasySetup 和 Buffalo AirStation One-Touch Secure Setup)和透過軟體輸入一個短的挑戰語(Atheros JumpStart)。
WPA 和 WPA-2 企業版中的 EAP 種類
Wi-Fi 聯盟已經發布了在 WPA 及 WPA2 企業版的認證計畫里增加 EAP(可擴充認證協定)的訊息,這是為了確保通過 WPA 企業版認證的產品之間可以互通。先前只有 EAP-TLS(Transport Layer Security)通過 Wi-Fi 聯盟的認證。
目前包含在認證計畫內的 EAP 有下列幾種:
* EAP-TLS(之前就驗證過了)
* EAP-TTLS/MSCHAPv2
* PEAPv0/EAP-MSCHAPv2
* PEAPv1/EAP-GTC
* EAP-SIM
特定廠商開發的 802.1X 用戶端和伺服器也許會支援其他的 EAP 種類,這個認證是為了使流行的 EAP 種類能夠互通;目前在異質網路中之所以未能大量鋪設 802.1X 的主要原因就是互通性的問題。
WPA(With Particular Average)
WPA即水漬險,意為單獨海損賠償,是海洋運輸保險的主要險別之一,它高於平安險(FPA),但低於一切險(All Of Risks)
水漬險的責任範圍除了包括上列“平安險”的各項責任外,還負責被保險貨物由於惡劣氣候、雷電、海嘯、地震、洪水等自然災害所造成的部分損失。
水漬險:自然災害+意外事故,導致貨物被水淹沒,引起貨物的損失。
注意:水浸引起貨物的直接損害保險公司才會賠,間接原因的話一般是不賠償的
