无线安全科普文

链路认证方式

开放系统认证(Open system authentication)

    开放系统认证是缺省使用的认证机制，也是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。

    开放系统认证包括两个步骤：第一步是请求认证，第二步是返回认证结果。如果认证结果为“成功”，那么客户端和AP 就通过双向认证。

共享密钥认证(Shared key authentication)

    共享密钥认证是除开放系统认证以外的另外一种认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。 

共享密钥认证的认证过程为：

1. 客户端先向设备发送认证请求；

2. 无线设备端会随机产生一个Challenge包（即一个字符串）发送给客户端；

3. 客户端会将接收到字符串拷贝到新的消息中，用密钥加密后再发送给无线设备端；

4. 无线设备端接收到该消息后，用密钥将该消息解密，然后对解密后的字符串和最初给客户端的字符串进行比较。如果相同，则说明客户端拥有无线设备端相同的共享密钥，即通过了Shared Key 认证；否则Shared Key 认证失败。 

无线数据保密

    相对于有线网络，无线网络服务(WLAN) 存在着数据安全隐患。在一个区域内的所有的WLAN 设备共享一个传输媒介，任何一个设备可以接收到其他所有设备的数据，这个特性直接威胁到WLAN 接入数据的安全。

明文数据

    该种服务本质上为无安全保护的WLAN 服务，所有的数据报文都没有通过加密处理。

WEP加密

    WEP(Wired Equivalent Privacy，有线等效加密)用来保护无线局域网中的授权用户所交换的数据的机密性，防止这些数据被随机窃听。在实际实现中，已经广泛使用104 位密钥的WEP来代替40位密钥的WEP，104 位密钥的WEP 称为WEP-104。虽然WEP104 在一定程度上提高了WEP 加密的安全性，但是受到RC4 加密算法以及静态配置密钥的限制，WEP加密还是存在比较大的安全隐患。

TKIP加密

    TKIP 是一种加密方法，用于增强pre-RSN 硬件上的WEP 协议的加密的安全性，其加密的安全性远远高于WEP。WEP主要的缺点在于，尽管IV（Initial Vector，初始向量）改变但在所有的帧中使用相同的密钥，而且缺少密钥管理系统，不可靠。TKIP和WEP加密机制都是使用RC4算法，但是相比WEP加密机制，TKIP加密机制可以为WLAN服务提供更加安全的保护。

    首先，TKIP通过增长了算法的IV长度提高了WEP加密的安全性；

    其次，TKIP支持密钥的动态协商，解决了WEP 加密需要静态配置密钥的限制；

    另外，TKIP还支持了MIC认证（Message Integrity Check，信息完整性校验）和Countermeasure功能。

CCMP加密

    Counter mode with CBC-MAC Protocol

    [计数器模式] 搭配 [区块密码锁链－信息真实性检查码]协议

    CCMP加密机制是基于AES（Advanced Encryption Standard，高级加密标准）加密机制的CCM（Counter-Mode/CBC-MAC，区块密码锁链－信息真实性检查码）方法，仅用于RSNA 客户端。CCM 结合CTR（Counter mode，计数器模式）进行机密性校验，同时结合CBC-MAC（区块密码锁链－信息真实性检查码）进行认证和完整性校验。CCM 可以保护了MPDU 数据段和IEEE 802.11首部中被选字段的完整性。CCMP 中所有的AES 处理进程都使用128 位的密钥和128 位的块大小。CCM 中每个会话都需要一个新的临时密钥。对于每个通过给定的临时密钥加密的帧来说，CCM 同样需要确定唯一的随机值（nonce）。CCMP 使用48 位的PN（packet number）来实现这个目的。对于同一个临时密钥，重复使用PN 会使所有的安全保证无效。

无线认证方式

PSK 认证

    PSK 认证需要实现在无线客户端和设备端配置相同的预共享密钥。如果密钥相同， PSK 接入认证成功；如果密钥不同，PSK 接入认证失败。

 802.1X 认证

    802.1X 协议是一种基于端口的网络接入控制协议（port based network access control protocol）。这种认证方式在WLAN 接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问WLAN 中的资源；如果不能通过认证，则无法访问WLAN 中的资源。

密钥协商协议

WPA方式

    WPA(Wi-Fi Protected Access) 是Wi-Fi联盟为了适应市场需求定制的无线安全草案，保证了与未来出现的IEEE802.11i协议向前兼容。WPA密钥协商协议也被称为WPA1，一般与TKIP数据保密算法一起使用。

 RSN方式

    RSN(Robust Secure Network，鲁棒性安全网络)，在IEEE802.11i草案协议里具体定义，在2007年发布的IEEE802.11协议里正式启用。RSN密钥协商协议也被称为WPA2，一般与CCMP数据保密算法一起使用。

    WPA密钥协商方式一般和TKIP数据保密算法一起使用，也可以和CCMP数据保密算法一起使用。同样，RSN密钥协商方式一般和CCMP数据保密算法一起使用，也可以和TKIP数据保密算法一起使用。

工作原理

    因为无线网络的传输媒质主要是无线电波和自由空间，通信双方没有线缆连接，所以在部署无线网络时无线安全功能显得非常重要。无线安全是一个广泛的概念，这里特指基于WEP协议和802.11i协议的无线安全内容。

    无线安全的实现机制从IEEE802.11b协议发布到现在，有了很大的发展。这可以从加密与数据完整性校验协议的发展、认证协议的发展两方面来看。WEP协议是早期的无线安全机制，其设计简单部署方便，不过比较容易被专业的网络黑客破解，所以只适用用于普通的家庭网络。基于PSK认证和TKIP数据保密的第二代无线安全机制，对WEP协议有了较多的改进，通过升级软件的方法不修改任何原有的部署的前提下大大地提高了无线网络的安全性。基于802.1X认证和CCMP数据保密的第三代无线安全机制，以IEEE802.11i草案协议为基础，是目前构建安全可靠无线局域网的一种必选功能。

     如上图所示，基于802.1X认证和CCMP数据保密的无线安全机制，包括两个方面的内容。第一个方面是由服务器统一管理的用户身份认证，这部分内容可以参考IEEE802.1X协议的相关内容；第二个方面是数据加密解密密钥的分发协商，以及数据传输过程的加密解密操作。在这篇配置指南中，重点介绍第二个方面相关功能的配置。