|
|
|
|
|
可以对各个无线接入点(AP)设置不同的SSID(Service Set Identifier),当然,也可以禁用SSID广播。
|
|
|
|
|
|
在无线路由器中维护一组允许访问的MAC地址列表,用于实现物理地址过滤功能。
|
|
|
|
|
|
有线等效保密(Wired Equivalent Privacy, WEP)使用RC4协议进行加密,并使用CRC-32校验保证数据的正确性。最初的WEP标准使用24位的初始向量,加上40位的字符串,构成64位的WEP密钥。后来美国政府放宽了出口密钥长度的限制,允许使用104位的字符串,加上24位的初始向量,构成128位的WEP密钥。
|
|
|
|
|
|
Wi-Fi联盟的厂商们以802.11i草案的一个子集为蓝图制定了称为WPA(Wi-Fi Protected Access)的安全认证方案。在WPA的设计中包含了认证、加密和数据完整性校验3个组成部分。
|
|
|
|
首先是WPA使用了802.1x协议对用户的MAC地址进行认证;其次是WEP增大了密钥和初始向量的长度,以及128位的密钥和48位的初始向量(IV)用于RC4加密。WPA还采用了可以动态改变密钥的临时密钥完整性协议(Temporary Key Integrity Protocol, TKIP),通过更频繁地变换密钥来降低安全风险。
|
|
|
|
|
|
IEEE 802.11i标准包含以下3个方面的安全部件。
|
|
|
|
.临时密钥完整性协议(TKIP)是一个短期的解决方案,仍然使用RC4加密方法,但是弥补了WEP的安全缺陷。
|
|
|
|
.重新制定了新的加密协议,称为CBC-MAC协议的计时器模式(Counter Mode with CBC-MAC Protocol, CCMP)。这是基于高级加密标准(Advanced Encryption Standard, AES)的加密方法。
|
|
|
|
.采用802.1x进行身份认证。如果认证通过,则AP为无线工作站打开一个逻辑端口。
|
|
|
|
可扩展的认证协议(Extensible Authentication Protocol, EAP)是一种专门用于认证的传输协议。常用的认证机制有EAP-MD5、Lightweight EAP(LEAP)、EAP-TLS。
|
|
|
|
802.11i还提供了一种任选的加密方案WRAP(Wireless Robust Authentication Protocol),实现了一种动态密钥交换和管理体制。对于小型办公室和家庭应用,可以使用预共享密钥(Pre-Shared Key, PSK)的方案,这样就可以省去802.1x认证和密钥交换过程了。
|
|
|
