与使用缆线连接的网络相比,无线网络中的数据更容易被截获,无线网络更容易受到攻击,所以各标准都包括了身份验证和加密方法。 IEEE 802.11 标准最初的版本在术语 WEP(有线等效隐私)下对这些方法进行了描述。 但是,WEP 经证明是不安全的(请参见第 17.7.2 节 “安全性”),因此 WLAN 行业(组织名为 Wi-Fi 联盟)制订了一个名为 WPA 的扩展,用以弥补 WEP 的缺陷。 后来的 IEEE 802.11i 标准(也称为 WPA2,因为 WPA 基于 802.11i 的草案版本)包括 WPA 和其他一些身份验证和加密方法。
为了确保只有经过授权的工作站才能连接,受管网络中使用了多种身份验证机制:
开放系统是不要求身份验证的系统。 任何工作站都可以加入网络。 不过,可以使用 WEP 加密(请参见 第 17.4 节 “加密”)。
在此过程中,使用 WEP 密钥进行身份验证。但不建议采用此过程,因为它使 WEP 密钥容易受到攻击。 攻击者所要做的一切就是侦听工作站和访问点之间的通讯足够长时间。在身份验证过程中,双方将交换相同的信息,一次使用的是加密形式,一次使用的是未加密形式。 这使得可以使用适当的工具来重构建密钥。 由于方法使用 WEP 密钥来进行身份验证和加密,因此不能提高网络的安全性。 具有正确 WEP 密钥的工作站可以进行身份验证、加密和解密。不具有密钥的工作站无法解密接收到的包。 因此,无论它是否必须对本身进行身份验证都不能进行通讯。
WPA-PSK(PSK 代表"预共享密钥")的工作方式与共享密钥过程类似。 所有参与工作站和访问点需要相同的密钥。 该密钥长度为 256 位,通常以密码短语形式输入。此系统不需要像 WPA-EAP 那样的复杂密钥管理,并且更适合个人使用。 因此,有时将 WPA-PSK 称为 WPA"家庭"。
实际上,WPA-EAP(扩展身份验证协议)不是一个身份验证系统,而是一个传输身份验证信息的协议。 WPA-EAP 用于保护企业中的无线网络。 在个人网络中,很少使用 WPA-EAP。 因此,WPA-EAP 有时称为 WPA"企业"。
WPA-EAP 需要 Radius 服务器来验证用户。 EAP 提供了连接和身份验证服务器的三种不同方式:TLS (Transport Layer Security)、TTLS (Tunneled Transport Layer Security) 和 PEAP (Protected Extensible Authentication Protocol)。在 nutshell 中,这些选项的作用如下所示:
TLS 身份验证依赖于服务器和客户端的证书互换。 首先,服务器为客户机(客户机会评估服务器)提供其证书。 如果证书被认为有效,则接下来客户机会对服务器提供其证书。 当 TLS 是安全的,它要求在网络中具有运转的认证管理基础结构。 此基础结构在专用网络中很少见。
TTLS 和 PEAP 都是两个阶段的协议。 在第一个阶段,将建立安全连接,在第二个阶段,将交换客户端身份验证数据。在需要认证管理的情况下,它们所需的认证管理费用比 TLS 要少得多。