最初的 802.11 标准中引入了两种身份验证机制:开放式和共享式 WEP 密钥身份验证。虽然开放式身份验证实际上“不进行验证”,(只要客户端请求身份验证,接入点都会批准该请求),但过去还是认为 WEP 身份验证能够为链路提供隐私保护,就像使用电缆将 PC 连接到以太网接口中一样。前面已经提到,共享式 WEP 密钥已被证实存在缺陷,因此需要更好的技术代替它。为弥补共享 WEP 密钥的不足,公司首先想到的是尝试伪装 SSID、过滤 MAC 地址之类的方法。其实,这些方法本身也很脆弱。后面您将学到这些技术存在的缺陷。

 
WEP 共享密钥加密的缺陷主要有两点。首先,加密数据所用的算法容易被破解。其次,可扩展性也是个问题。在过去,32 位 WEP 密钥由人工管理,用户需要手动输入这些密钥,经常就会输错密钥,于是纷纷电话求助技术支持部门。
 
在发现 WEP 技术的安全缺陷之后,一度涌现出许多临时性的安全措施。为满足客户更高的安全需求,以 Cisco 为代表的供应商开发了自己的系统,同时也帮助改进并最终推出 802.11i 标准。在制定 802.11i 的过程中,Cisco 提出了 TKIP 加密算法,该算法已经被吸纳为 Wi-Fi 联盟的 WiFi 保护访问 (WPA) 安全方法。
 
如今,大多数企业网络所要遵循的标准都是 802.11i 标准。该标准与 Wi-Fi 联盟的 WPA2 标准类似。WPA2 为企业提供到远程身份验证拨号用户服务 (RADIUS) 数据库的连接。关于 RADIUS,本章后面会加以介绍。
 
对无线 LAN 进行身份验证
 
在开放式网络(例如家庭网络)中,客户端也许只需关联即可获准访问 WLAN 上设备和服务。在安全需求更高的网络中,客户端要获得此类访问权限还需要进行身份验证或登录。此登录过程由可扩展身份验证协议 (EAP) 管理。EAP 是对网络访问进行身份验证的框架。IEEE 开发了 802.11i 标准,规定 WLAN 身份验证和授权必须使用 IEEE 802.1x。
 
企业 WLAN 身份验证过程可归纳如下:
 
802.11 关联过程会在接入点上为每个 WLAN 客户端创建一个虚拟端口。
接入点阻止所有数据帧,但基于 802.1x 的流量除外。
802.1x 帧通过接入点将 EAP 身份验证数据包传输到维护身份验证凭证的服务器。该服务器是运行 RADIUS 协议的身份验证、授权和记账 (AAA) 服务器。
如果 EAP 身份验证成功,AAA 服务器会向接入点发送一条 EAP 成功消息,随后即允许 WLAN 客户端发来的数据流量通过该虚拟端口。
在打开虚拟端口之前,会对 WLAN 客户端和接入点之间的数据链路进行加密以确保其它任何 WLAN 客户端都不能访问该端口,因为该端口是专为已通过身份验证的指定客户端建立的。
在使用 802.11i (WPA2) 或 WPA 之前,有些公司试图通过过滤 MAC 地址和禁止广播 SSID 来保护 WLAN。如今,通过软件可以轻松修改 MAC 地址,因此很容易骗过 MAC 地址过滤技术。这并不是说您不应该使用 MAC 地址过滤技术,而是如果您使用了这种方法,那您还应再采取其它安全措施,例如 WPA2。
 
即使接入点禁止广播 SSID,在客户端和接入点之间来回传送的流量最终也会暴露出 SSID。即使***者并非刻意监控 RF 频段,也可在上述传输过程中嗅探到 SSID,因为它是以纯文本格式发送的。由于找到 SSID 毫不费力,因此有些人会打开 SSID 广播功能。倘或如此,那很可能已在安全策略中记录了组织的这项决策。
 
如果您认为保护 WLAN 的方案无非是 MAC 过滤和关闭 SSID 广播,那您的 WLAN 会很不安全。要确保只有预期的用户才能访问 WLAN,最好的方法是使用基于端口的网络访问控制安全策略,例如 WPA2。
 
加密
 
802.11i 规定了两种企业级加密机制,分别是:TKIP(临时密钥完整性协议)和 AES(高级加密标准 ),这两种加密机制已分别被 Wi-Fi 联盟纳入 WPA 和 WPA 2 认证中 。
 
TKIP 是纳入到 WPA 认证的加密方法。通过解决 802.11 WEP 加密方法初期的种种弊端,TKIP 能够支持传统的 WLAN 设备。它采用 WEP 最初的加密方法。
 
TKIP 主要有两项功能:
 
加密第 2 层负载
在加密数据包中执行消息完整性检查 (MIC)。这有助于确保防止消息被纂改。
 
 
尽管 TKIP 解决了 WEP 所有已知的缺陷,但 WPA2 的 AES 加密仍然是首选的方法,因为它参照应用更广泛的 IT 行业标准和最佳做法(特别是 IEEE 802.11i),将 WLAN 加密标准推到新的高度。
 
AES 包含与 TKIP 相同的功能,但它还利用 MAC 报头的附加数据,让目的主机能够辨别出是否有加密位被纂改。它还在加密的数据报头添加一个序列号。
 
在配置 Linksys 接入点或无线路由器(例如 WRT300N)时,您可能看不到 WPA 或 WPA2,看到的只是各种共享密钥 (PSK)。PSK 的类型如下:
 
带 TKIP 的 PSK 或 PSK2 等同于 WPA
带 AES 的 PSK 或 PSK2 等同于 WPA2
不指定任何加密方法的 PSK2 等同于 WPA2