无线网络安全的相关技术

无线传输与有线不同，有线的通讯数据直接从发送端到达接收端，而无线网络的数据会在覆盖范围内广泛传播，所有网络中相同设置的AP与客户端都能接收到信息。因此，无线网络更需要有效的安全机制加强数据的私密性、完整性，防范恶意监听与破坏。本期我们就介绍下无线安全的技术。

戳标题查看往期无线科普

无线安全机制

网络接入认证

无线网络中并不应该允许所有客户端都能连接，为了限制有风险的客户端接入，无线网络可以先对客户端进行认证。无线认证的种类比较多，有些认证将信息直接存储在AP或客户端设备上，一些安全性更高的将登陆信息存储在服务器上，其他人无法从客户端等设备上取得账号及密码

无线的安全隐患

数据传输认证

无线网络的通讯是范围内传播的，即使客户端没有接入AP，也能监听到通讯信息。为了保护数据安全，数据传输时应该对每个无线帧加密后再发送，接收端收到数据后再进行认证和解密。同一个AP与不同的客户端通讯使用不同的认证密钥，以此保证不同客户端之间不会出现相互监听的情况；但同时AP也能创建一个“组密钥”来同时向所有客户端发送数据。

无线设备接入

消息完整性检查

消息完整性检查（MIC）是一种检测数据是否被篡改的机制。其实现方法是在传输的数据末尾加上一个基于数据内容的校验码，该校验码与数据内容相对应，如果接收到的数据被篡改，根据接收到的数据计算出的校验码与数据携带的不一致，就能判断数据传输中已经被篡改。

无线安全相关技术

开放式认证与WEP

最初的802.11标准仅规定了两种客户端认证方法：开放式认证和WEP。

开放式认证为客户端提供WLAN的开放接入，仅要求客户端使用802.11认证请求连接AP，不需其它加密，通常被用于公共场合的无线热点。

WEP（无线等效私密性）使用RC4密码算法保证每个无线数据整得私密性，该算法使用一个比特串作为秘钥，可以让无线链路的安全性等效于有线连接。但由于后续人们发现了WEP加密机制的脆弱性，所以逐渐被其他无线安全方法替代。

开放式认证模式

802.1x/EAP

EAP是一种可扩展的协议，并不由任何一种认证方法组成。EAP定义了一组通用功能，实际的认证方法都可以用其认证用户。

对于开放式认证和WEP而言，秘钥等认证只需在AP本地进行即可，但802.1x认证不同，客户端首先通过开放式认证与AP建立关联，在于专用认证服务器进行身份认证。并且802.1x只有通过了EAP方式的认证，客户端才能访问网络。

EAP方式认证

TKIP

TKIP（临时秘钥完整性协议）在传统硬件和底层WEP加密机制的基础上，增加了MIC（一种消息完整性认证算法）、时间戳、发送端MAC地址、TKIP序列计数器、秘钥混合算法等安全功能。

TKIP在802.11i标准发布前是一种有效的安全协议，但目前已经出现专门针对TKIP的攻击手段，所以应当避免继续使用，而且TKIP已经被802.11-2012标准废除了。

CCMP

CCMP（计数器/CBC-MAC）包含两个算法：AES计数器模式加密与用于消息完整性检查的CBC-MAC（密码块链接的消息认证码）。AES是一种开放、可公开访问的加密算法，是目前最安全的一种加密方法。

WPA和WPA2

WPA（WiFi保护接入）有WPA和WPA2两个标准，是一种保护无线网络安全的系统。WPA和WPA2认证都可采用预共享密钥或802.1x（通常我们使用的WPA-PSK就是预共享密钥认证），WPA加密方式采用TKIP而WPA2采用TKIP或 CCMP，目前常用的加密方式是WPA2-PSK/WPA-PSK。

基于不同的部署规模，WPA和WPA2支持两种认证模式：

1.个人模式：使用预共享密钥来认证WLAN上的客户端

2.企业模式：必须使用802.1x基于EAP的认证方法来认证客户端。

WPA2加密方式

私有协议

除了上述的几种通用的加密协议来提高安全性之外，还有一些非通用的方法增加通讯的私密性，如软件上使用私有协议。使用私有协议的设备只有AP与Client端都支持同一种私有协议才能相互通讯连接，不支持协议的Client端无法接入AP。由于通用设备无法正常接入私有协议设备，所以私有协议设备一般也不需要再设置加密。常见的无线私有协议有西门子的IFeatures。

西门子IPCF协议开启界面

AC控制器

目前为了管理无线网络并增加安全性，会使用无线控制器。无线控制器相当于之前提到的认证服务器（支持EAP, EAP-TLS, EAP-MS-CHAP, PEAP等认证服务），具有黑白名单功能，可以选择允许/不允许接入的IP地址，绑定设备的IP与MAC地址，处理接入设备的身份认证，阻止风险设备的连入。

无线控制器