无线安全协议

 最初的 802.11 标准中引入了两种身份验证机制：开放式和共享式 WEP 密钥身份验证。虽然开放式身份验证实际上“不进行验证”，（只要客户端请求身份验证，接入点都会批准该请求），但过去还是认为 WEP 身份验证能够为链路提供隐私保护，就像使用电缆将 PC 连接到以太网接口中一样。前面已经提到，共享式 WEP 密钥已被证实存在缺陷，因此需要更好的技术代替它。为弥补共享 WEP 密钥的不足，公司首先想到的是尝试伪装 SSID、过滤 MAC 地址之类的方法。其实，这些方法本身也很脆弱。后面您将学到这些技术存在的缺陷。

 

WEP 共享密钥加密的缺陷主要有两点。首先，加密数据所用的算法容易被破解。其次，可扩展性也是个问题。在过去，32 位 WEP 密钥由人工管理，用户需要手动输入这些密钥，经常就会输错密钥，于是纷纷电话求助技术支持部门。

 

在发现 WEP 技术的安全缺陷之后，一度涌现出许多临时性的安全措施。为满足客户更高的安全需求，以 Cisco 为代表的供应商开发了自己的系统，同时也帮助改进并最终推出 802.11i 标准。在制定 802.11i 的过程中，Cisco 提出了 TKIP 加密算法，该算法已经被吸纳为 Wi-Fi 联盟的 WiFi 保护访问 (WPA) 安全方法。

 

如今，大多数企业网络所要遵循的标准都是 802.11i 标准。该标准与 Wi-Fi 联盟的 WPA2 标准类似。WPA2 为企业提供到远程身份验证拨号用户服务 (RADIUS) 数据库的连接。关于 RADIUS，本章后面会加以介绍。

 

对无线 LAN 进行身份验证

 

在开放式网络（例如家庭网络）中，客户端也许只需关联即可获准访问 WLAN 上设备和服务。在安全需求更高的网络中，客户端要获得此类访问权限还需要进行身份验证或登录。此登录过程由可扩展身份验证协议 (EAP) 管理。EAP 是对网络访问进行身份验证的框架。IEEE 开发了 802.11i 标准，规定 WLAN 身份验证和授权必须使用 IEEE 802.1x。

 

企业 WLAN 身份验证过程可归纳如下：

 

802.11 关联过程会在接入点上为每个 WLAN 客户端创建一个虚拟端口。

接入点阻止所有数据帧，但基于 802.1x 的流量除外。

802.1x 帧通过接入点将 EAP 身份验证数据包传输到维护身份验证凭证的服务器。该服务器是运行 RADIUS 协议的身份验证、授权和记账 (AAA) 服务器。

如果 EAP 身份验证成功，AAA 服务器会向接入点发送一条 EAP 成功消息，随后即允许 WLAN 客户端发来的数据流量通过该虚拟端口。

在打开虚拟端口之前，会对 WLAN 客户端和接入点之间的数据链路进行加密以确保其它任何 WLAN 客户端都不能访问该端口，因为该端口是专为已通过身份验证的指定客户端建立的。

在使用 802.11i (WPA2) 或 WPA 之前，有些公司试图通过过滤 MAC 地址和禁止广播 SSID 来保护 WLAN。如今，通过软件可以轻松修改 MAC 地址，因此很容易骗过 MAC 地址过滤技术。这并不是说您不应该使用 MAC 地址过滤技术，而是如果您使用了这种方法，那您还应再采取其它安全措施，例如 WPA2。

 

即使接入点禁止广播 SSID，在客户端和接入点之间来回传送的流量最终也会暴露出 SSID。即使攻击者并非刻意监控 RF 频段，也可在上述传输过程中嗅探到 SSID，因为它是以纯文本格式发送的。由于找到 SSID 毫不费力，因此有些人会打开 SSID 广播功能。倘或如此，那很可能已在安全策略中记录了组织的这项决策。

 

如果您认为保护 WLAN 的方案无非是 MAC 过滤和关闭 SSID 广播，那您的 WLAN 会很不安全。要确保只有预期的用户才能访问 WLAN，最好的方法是使用基于端口的网络访问控制安全策略，例如 WPA2。

 

加密

 

802.11i 规定了两种企业级加密机制，分别是：TKIP（临时密钥完整性协议）和 AES（高级加密标准 ），这两种加密机制已分别被 Wi-Fi 联盟纳入 WPA 和 WPA 2 认证中 。

 

TKIP 是纳入到 WPA 认证的加密方法。通过解决 802.11 WEP 加密方法初期的种种弊端，TKIP 能够支持传统的 WLAN 设备。它采用 WEP 最初的加密方法。

 

TKIP 主要有两项功能：

 

加密第 2 层负载

在加密数据包中执行消息完整性检查 (MIC)。这有助于确保防止消息被纂改。

 

 

尽管 TKIP 解决了 WEP 所有已知的缺陷，但 WPA2 的 AES 加密仍然是首选的方法，因为它参照应用更广泛的 IT 行业标准和最佳做法（特别是 IEEE 802.11i），将 WLAN 加密标准推到新的高度。

 

AES 包含与 TKIP 相同的功能，但它还利用 MAC 报头的附加数据，让目的主机能够辨别出是否有加密位被纂改。它还在加密的数据报头添加一个序列号。

 

在配置 Linksys 接入点或无线路由器（例如 WRT300N）时，您可能看不到 WPA 或 WPA2，看到的只是各种共享密钥 (PSK)。PSK 的类型如下：

 

带 TKIP 的 PSK 或 PSK2 等同于 WPA

带 AES 的 PSK 或 PSK2 等同于 WPA2

不指定任何加密方法的 PSK2 等同于 WPA2