1.3.6 無線安全標準

由于無線網絡借助無線電磁波進行數據傳輸，因此，網絡的接入和數據的傳輸都將變得非常不安全。因此，必須采用相應的安全措施，禁止非授權用戶訪問網絡，并實現數據在傳輸時的加密安全。

1. WEP

在IEEE的802.11b標準成為主流的時代，Wi-Fi在安全方面所依賴的主要是WEP加密，然而這種保護措施已被證明是十分脆弱的。WEP加密技術本身存在著一些脆弱點，使得攻擊者可以輕松破解WEP密鑰。WEP是一種在傳輸節點之間以RC4形式對分組進行加密的技術，使用的加密密鑰包括事先確定的40位通用密鑰，發送方為每個分組所分配的24位密鑰。這個24位的密鑰被稱為初始化向量（IV），該向量未經加密就被包含在分組當中進行傳輸。對于Wi-Fi這樣較小范圍內有較多連接數的無線技術來說，IV通常會在較短的時間內被分配殆盡，也就是說，在網絡中會出現重復的IV。如果攻擊者能夠通過嗅探獲得足夠的通過同一IV加密的數據包，就可以對密鑰進行破解。

2. IEEE 802.1x

IEEE 802.1x標準允許對802.11 無線網絡和有線以太網進行身份驗證和訪問。

當用戶希望通過某個本地局域網（LAN）端口訪問服務時，該端口可以承擔兩個角色中的一個“身份驗證器”或者“被驗證方”。

● 身份驗證器：LAN端口在允許用戶訪問之前強制執行身份驗證。

● 被驗證方：LAN端口請求訪問用戶要訪問的服務。

身份驗證服務器檢查被驗證方的憑據，讓身份驗證方知道被驗證方是否獲得了訪問身份驗證方的服務的授權。

IEEE 802.1x使用標準安全協議來授權用戶訪問網絡資源。用戶身份驗證、授權和記賬是由“遠程驗證撥號用戶服務（RADIUS）”服務器執行的。RADIUS是支持對網絡訪問進行集中式身份驗證、授權和記賬的協議。RADIUS服務器接收和處理由RADIUS客戶端發送的連接請求。

此外，IEEE 802.1x還通過自動生成、分發和管理加密密鑰，利用有線等效保密（WEP）加密來解決許多問題。

3. IEEE 802.11i

IEEE 802.11i主要是將基于端口的訪問控制標準IEEE 802.1x引入了無線領域，并在加密功能中采用了密鑰管理協議TKIP，以將之前無線技術標準中的固定密鑰變更為動態密鑰。相比于靜態密鑰，動態密鑰的破解難度要大得多。所以，盡管802.11i仍舊使用RC4算法進行加密，但是，在密鑰安全性上已經有了很大提高。而由于可以通過EAP（可擴展認證協議）執行身份認證，還可以避免各種惡意欺詐。

4. EAP

EAP（可擴展驗證協議）用于在請求者（無線工作站）和驗證服務器（Microsoft IAS或其他）之間傳輸驗證信息。實際驗證有EAP類型定義和處理。作為驗證者的接入點只是一個允許請求者和驗證服務器之間進行通信的代理。

由于WLAN安全非常必要，EAP驗證類型提供了一種更好地保障WLAN連接的方式，經銷商正在迅速開發和添加EAP驗證類型至他們的WLAN接入點。部分最常部署的EAP驗證類型如下。

● EAP-MD-5（消息摘要）質詢是一種提供基本級別EAP支持的EAP驗證類型。EAP-MD-5通常不建議用于WLAN執行，因為其可能衍生用戶密碼。EAP-MD-5僅提供單向驗證，無法進行無線客戶端和網絡之間的互相驗證。更為重要的是，EAP-MD-5不提供衍生動態、按對話有限對等保密（WEP）密鑰的方法。

● EAP-TLS（傳輸層安全）為客戶端和網絡提供基于證書及相互的驗證。EAP-TLS依賴客戶端和服務器方面的證書進行驗證，可用于動態生成基于用戶和通話的WEP密鑰以保障WLAN客戶端和接入點之間的通信。EAP-TLS的不足之處在于必須由客戶端和服務器端雙方管理證書。對于較大的WLAN安裝，則是比較重的任務。

● EAP-TTLS（隧道傳輸層安全）是由Funk Software and Certicom開發的，作為EAP-TLS的擴展。采用EAP和“隧道傳輸層安全性”（TTLS）。EAP-TTLS將證書和其他安全性方法（如：密碼）組合使用。

● EAP-FAST（通過安全隧道靈活認證）是由Cisco開發的。相互認證是通過PAC（保護訪問資格）而不是使用證書實現的，PAC可以由認證服務器動態管理，既可手動也可自動配備給客戶端。手動配備是通過磁盤或可靠的網絡分發方法配送到客戶端。自動配備是指帶內以無線方式分發。

● LEAP（輕型可擴展驗證協議）是一種EAP驗證類型，主要用于Cisco Aironet WLAN。LEAP使用動態生成的WEP密鑰對數據傳輸進行加密，并支持相互驗證。至于其所有權，Cisco已通過Cisco Compatible Extensions計劃，將LEAP授權給其他制造商許可使用。

● PEAP（受保護的可擴展驗證協議）通過802.11無線網絡提供了一種安全傳輸驗證數據的方法，包括傳統的密碼保護協議。PEAP通過使用PEAP客戶端和驗證服務器之間的“隧道”來實現。PEAP使用服務器單邊證書來驗證無線LAN客戶端，從而簡化了安全無線LAN的執行和管理。Microsoft、Cisco和RSA Security都開發了PEAP。

5. WPA

WPA是推薦的802.11i標準的安全特性的一個子集。Wi-Fi聯盟推出了過渡性的無線安全標準WPA（Wi-Fi Protected Access，Wi-Fi保護訪問），致力于替代舊的WEP安全模式，為Wi-Fi系統提供更高階的安全保護。由于WPA是一種基于軟件層的實現，所以，可以應用于所有的無線標準。WPA具有以下特點。

加密

從加密功能方面來說，WPA采用了與WEP加密相同的基本原理，同時解決了WEP的各種缺陷。TKIP協議提供了全新的密鑰生成和管理框架，通過動態分發密鑰的方式取代了靜態的密鑰分配。WPA通過設備的MAC地址以及分組順序號碼結合主密鑰為每個分組生成不同的加密密鑰，安全性大大高于通過同樣的IV進行分組加密的WEP。即使攻擊者對無線傳輸進行嗅探，也很難正確地猜解出分組的順序，所以無法破解出WPA所使用的密鑰。除此之外，密鑰管理功能的增強帶來了密鑰管理成本的下降，這使得更容易在無線環境中應用高強度的密鑰。WPA提供的加密措施充分彌補了WEP在技術上的弱點，有助于用戶更加有效地應用加密保護自己的無線傳輸。

認證

在之前的無線標準當中，認證始終是非常脆弱的一環，單純的加密即使能夠保證數據不被竊取，也無法防護各種欺詐性攻擊和中間人攻擊。在WPA標準中，認證成為一種強制性的要求，用戶必須提供足夠的證據來證明自己是合法用戶，才能對無線網絡進行訪問。對于已經具有認證服務器（例如RADIUS）的用戶來說，可以采取802.1x與EAP結合的方式來完成認證，例如通過提供密碼等認證所需的憑證向認證服務器進行認證。而對于不具備獨立認證服務器的用戶，WPA同樣提供了一種相對建議的認證方式供用戶使用。這種不需要認證服務器的方法稱為WPA預共享密鑰，通過在每個無線節點預先輸入密鑰即可實現，與舊有的WEP安全模式十分類似。然而由于這個預先輸入的密鑰只用于身份認證過程，而不用于分組加密過程，所以不會像預輸入WEP密鑰那樣造成嚴重的安全問題。

消息完整性校驗

同樣是為了防范攻擊者偽造和篡改數據，WPA還提供了進行完整性校驗的機制。除了延續802.11協議對數據所進行的CRC校驗之外，WPA為每個無線數據分組增加了一個專用的8字節校驗字段。雖然舊的802.11校驗方式也會對每個數據分組執行ICV校驗，但是這種校驗的核心，目的在于保障數據傳輸過程中不會因為各種物理干擾導致錯誤。攻擊者可能通過修改ICV來使其與經過篡改的數據同步，這樣就可以突破ICV校驗。而WPA所提供的消息完整性校驗采用了安全性更高的算法，為惡意篡改增加了很大的難度。

6. WPA2

在WPA推出之后，不少廠商都給予了充分的支持，不過并沒有使WPA成為具有統治性的安全規范。為了提供更好的安全特性，也為了使WPA在市場上獲得更廣的普及，Wi-Fi聯盟又在802.11i標準正式發布之后推出了WPA2。WPA2與WPA最大的不同在于WPA2支持AES加密算法，AES能夠為信息提供128位加密能力。目前很多服務商都在自己的設備中加入了WPA2支持，而且微軟也在Windows XP系統的補丁SP2中集成了對WPA2的支持。然而AES加密算法更像是一柄雙刃劍，應用了AES的WPA2失去了WPA的一項重要優點，那就是加密算法的變更使得與舊設備的兼容變得極其困難。目前大部分設備的處理能力都無法進行128位的加密和解密操作，所以，必須進行升級才能支持WPA2標準。WPA2的全面應用已經不僅僅需要上游的廠商升級設備，更重要的是大量使用舊設備的消費者同樣需要升級他們的無線網卡。這成為了Wi-Fi聯盟推動WPA安全規范新的障礙，當然，這一問題同樣也對802.11i存在影響。

7. WAPI

WAPI是WLAN Authentication and Privacy Infrastructure的英文縮寫，是中國的無線局域網安全標準，由ISO/IEC授權的IEEE Registration Authority審查獲得認可，與IEEE“有線加強等效保密（WEP）”安全協議類似。

中國標準化辦公室決定，2003年12月1日是所有在我國銷售無線網絡設備生產商開始使用“無線局域網鑒別和保密基礎結構（WAPI）”規范的最后期限。截至2004年6月，所有公司和商業性機構都禁止進口、生產和銷售沒有使用中國新安全規范——WAPI的無線網絡設備。