无线网络的各种安全性类型.docx

保护您的无线网络在家庭无线网络中，您可以使用不同的简单安全性措施来保护您的网络和连接您可以： · 启用 Wi-Fi 保护性接入（WPA） · 更改您的密码 · 更改网络名称(SSID) Wi-Fi 保护性接入(WPA) 提供加密以帮助保护您在网络上数据WPA 使用一种加密密钥（称为预配置共享密钥 ）在数据传输之前对其加密您需要在您的家庭或小商业网络上的所有计算机和接入点(AP)上输入相同的密码只有使用相同加密密钥的设备才能访问该网络或解密其他计算机传输的加密数据该密钥自动初始化用于数据加密过程的“时间性密钥完整性协议” (TKIP) 预配置共享密钥WEP 加密提供两种级别的安全性： · 64 位密钥（有时称之为 40 位） · 128 位密钥（也称为 104 位） 为提高安全性，使用 128 位密钥如果使用加密，无线网络上的所有无线设备必须使用相同的密钥 您可以自己创建密钥，并指定密钥的长度（64 位或 128 位）和密钥索引(存储某个特定密钥的位置)密钥长度越长，该密钥就越安全 密钥长度：64 位· 口令短语（64 位）：输入 5 个字母数字字符：0-9、a-z 或 A-Z · 十六进制（64 位）：输入 10 个十六进制字符：0-9、A-F。

密钥长度：128 位· 口令短语（128 位）：输入 13 个字母数字字符：0-9、a-z 或 A-Z · 十六进制（128 位）：输入 26 个十六进制字符：0-9、A-F 在 WEP 数据加密中，一个无线站最多可配置四个密钥（密钥索引值 1、2、3 和 4）当一个接入点 (AP) 或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时，被传输的消息指明用来加密消息正文的密钥索引接收的 AP 或无线站就可检索储存在该密钥索引中的密钥，并用它来解码加密的消息正文开放和共享网络验证IEEE 802.11 支持两类网络验证方法：“开放系统”和“共享密钥”· 当使用开放验证时，任何无线站都可请求验证需要由另一个无线站验证的无线站发出一个验证管理请求，其中包含发送站的身份接收站或者接入点对任何验证请求授权开放验证允许任何设备获得网络访问权如果网络上未启用加密，任何知道该接入点的“服务集标识符”(SSID) 的设备都可接入该网络 · 使用共享密钥验证时，假定每个无线站都已通过一个独立于 802.11 无线网络通讯频道的安全频道接收到了一个秘密共享密钥您可以通过有线以太网连接共享此密钥，也可以通过 USB 闪存盘或 CD 物理共享此密钥。

共享密钥验证要求客户端配置一个静态 WEP 密钥只有当客户端通过了基于挑战的验证后，才允许其接入 WEP有线等同隐私 (WEP) 使用加密来帮助防止未经授权接收无线数据WEP 使用加密密钥在传输数据之前对其加密只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的数据WEP 加密提供两种等级的安全性：64 位密钥（有时称为 40 位）或 128 位密钥（又称为 140 位）为达到强劲安全性，应该使用 128 位密钥如果使用加密，无线网络上的所有无线设备必须使用相同的加密密钥 在 WEP 数据加密中，一个无线站最多可配置四个密钥（密钥索引值 1、2、3 和 4）当一个接入点 (AP) 或无线站传输使用储存在一个特定密钥索引中的密钥所加密的消息时，被传输的消息指明用来加密消息正文的密钥索引接收的 AP 或无线站就可检索储存在该密钥索引中的密钥，并用它来解码加密的消息正文由于 WEP 加密算法易受网络攻击的侵害，您应该考虑采用 WPA-个人或 WPA2-个人安全性WPA-个人 WPA-个人模式针对的是家庭和小型商业环境WPA 个人要求在接入点和客户端上手动配置一个预配置共享密钥 (PSK)。

不需要验证服务器在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码安全性取决于密码的强度和机密性此密码越长，无线网络的安全性越强如果无线接入点或路由器支持“WPA-个人”和“WPA2-个人”，则应当在接入点予以启用并提供一个长而强的密码WPA-个人对 TKIP 和 AES-CCMP 数据加密算法可用WPA2-个人WPA2-个人要求在接入点和客户端上手动配置一个预配置共享密钥 (PSK)不需要验证服务器在这台计算机上以及接入该无线网络的所有无线设备上需使用在接入点输入的相同密码安全性取决于密码的强度和机密性此密码越长，无线网络的安全性越强WPA2 是对 WPA 的改进，它全面实现了 IEEE 802.11i 标准WPA2 对 WPA 向后兼容WPA2-个人对 TKIP 和 AES-CCMP 数据加密算法可用注意：“WPA-个人”和“WPA2-个人”可以协调操作802.1X 验证（企业安全性）本章描述各大公司常用的安全性 概述什么是 Radius？802.1X 验证的工作原理802.1X 功能概述802.1X 验证不受 802.11 验证过程约束802.11 标准为各种验证和密钥管理协议提供一个框架。

802.1X 验证有不同的类型；每一类型提供一种不同的验证途径，但所有类型都应用相同的 802.11 协议和框架于客户端和接入点之间的通讯在多数协议中， 在 802.1X 验证过程完成后，客户端会接收到一个密钥，用于数据加密参阅 802.1X 验证的工作原理了解更多信息在 802.1X 验证中，在客户端和连接到接入点的服务器（例如：“远程验证拨入用户服务（RADIUS）”服务器）之间使用的一种验证方法验证过程使用身份验证（例如不通过无线网络传输的用户密码）大多数 802.1X 类型支持动态的每一用户、每次会话的密钥以加强密钥安全性802.1X 验证通过使用一种称为“可扩展身份验证协议（EAP）”的现有身份验证协议而获益802.1X 无线网络验证有三个主要组件： · 验证方（接入点） · 请求方（客户端软件） · 验证服务器 802.1X 验证安全性引发一个由无线客户端向接入点的授权请求，它将客户端验证到一台符合“可扩展身份验证协议”（EAP）标准的 RADIUS 服务器RADIUS 服务器或者验证用户（通过密码或证书），或者验证系统（通过 MAC 地址）从理论上说，无线客户端要到整个事务完成后才能加入网络。

并非所有的验证方法均使用 RADIUS 服务器WPA-个人和 WPA2-个人使用一个必须在接入点和所有请求访问该网络的设备上输入的共同密码802.1X 使用若干种验证算法以下为一些示例：EAP-TLS、EAP-TTLS、保护性 EAP (PEAP) 和 EAP Cisco“无线轻量级可扩展身份验证协议” (LEAP)这些都是无线客户端向 RADIUS 服务器标识自身的方法Radius 验证使用数据库来核对用户身份RADIUS 由一组针对“验证、授权和会计 (AAA)”的标准组成RADIUS 包括一个在多服务器环境下确认客户端的代理过程IEEE 802.1X 标准提供一个机制，用以控制和验证对基于端口的 802.11 无线和有线以太网的接入基于端口的网络接入控制类似于交换的局域网（LAN）基础架构，后者验证挂接到 LAN 端口的设备并在验证过程失败时防止接入该端口什么是 RADIUS？RADIUS 是“远程验证拨号用户服务”，一种授权、验证和会计 (AAA) 客户端-服务器协议，在 AAA 拨号客户端登录到“网络接入服务器”或从其注销时使用通常，RADIUS 服务器用于因特网服务供应商 (ISP) 来执行 AAA 任务。

AAA 的各阶段叙述如下：· 验证阶段：针对本地数据库校验用户名和密码校验用户身份后，开始授权过程 · 授权阶段：确定是否允许一个请求访问一个资源一个 IP 地址被分配给该拨号客户端 · 会计阶段：收集资源利用的信息，用于趋势分析、审计、会话时间收费或成本分配 802.1X 验证的工作原理以下是对 802.1X 验证工作原理的简明描述1. 客户端向接入点发送“请求接入”消息接入点要求客户端的身份 2. 客户端以其身份数据包回应，该身份数据包被送到验证服务器 3. 验证服务器发送“接受”数据包给接入点 4. 接入点将该客户端端口置于授权的状态，并允许进行数据通信802.1X 功能以下验证方法在 Windows XP 中受支持：· 802.1X 请求方协议支持 · 支持“可扩展身份验证协议”（EAP）- RFC 2284 · 在 Windows XP 中受支持的验证方法： o EAP TLS 身份验证协议 - RFC 2716 和 RFC 2246 o EAP 隧道 TLS（TTLS） o Cisco LEAP o PEAP o EAP-SIM o EAP-FAST o EAP-AKA 网络验证Open（开放）参阅开放验证。

Shared（共享）参阅共享验证 WPA-Personal（WPA - 个人）参阅WPA-个人WPA2-Personal（WPA2 - 个人）参阅WPA2-个人WPA-Enterprise（WPA-企业）企业模式验证针对的是公司和政府部门环境WPA 企业通过 RADIUS 或其他验证服务器来验证网络用户WPA 使用 128 位加密密钥和动态会话密钥来确保无线网络的隐私性和企业安全性选择一种与 802.1X 服务器的验证协议匹配的“身份验证类型” WPA2 Enterprise（WPA2 企业）WPA 企业验证针对的是公司和政府部门环境WPA 企业通过 RADIUS 或其他验证服务器来验证网络用户WPA2 使用 128 位加密密钥和动态会话密钥来确保无线网络的隐私性和企业安全性选择一种与 802.1X 服务器的验证协议匹配的“身份验证类型”企业模式针对的是公司和政府部门环境WPA2 是对 WPA 的改进，它全面实现了 IEEE 802.11i 标准 数据加密AES-CCMP高级加密标准 - Counter CBC-MAC Protocol在 IEEE 802.11i 标准中制订的无线传输隐私保护的新方法。

AES-CCMP 提供了比 TKIP 更强有力的加密方法如果强有力的数据保护至为紧要，请选用 AES-CCMP 加密方法AES-CCMP 对 WPA/WPA2 个人/企业网络验证可用注意：有些安全性解决方案可能不受您计算机上操作系统的支持，并且可能要求额外的软件或硬件以及无线 LAN 基础架构的支持向计算机制造商查询了解详细信息TKIP（时间性密钥完整性协议）TKIP 提供每一数据包密钥混合、消息完整性核实和重新生成密钥机制TKIP 对 WPA/WPA2 个人/企业网络验证可用CKIP参阅 CKIPWEP有线等同隐私 (WEP) 使用加密来帮助防止未经授权接收无线数据WEP 使用加密密钥在传输数据之前对其加密只有使用相同加密密钥的计算机才能访问该网络或解密其他计算机传输的数据企业 WEP 和个人 WEP 不完全相同：前者允许您选择开放网络验证，然后单击启用 802.1X，以从所有客户端验证类型中选择一项在个人 WEP 中则不能选择验证类型验证类型TLS一种典型的验证方法，采用“可扩展身份验证协议”（EAP）和称为“传输层安全性”（TLS）的安全性协议EAP-TLS 使用证书，而证书使用密码。

EAP-TLS 验证支持动态 WEP 密钥管理TLS 协议旨在通过数据加密而保护和验。