;;; 802.11i／WPA2
2004年6月，IEEE終于通過了802.11i協(xié)議 。Wi-Fi聯(lián)盟則把其802.11i實(shí)現(xiàn)取名WPA2，通常這二者被認(rèn)為是同一件事 。
相對(duì)于已出臺(tái)的WPA，802.11i使用的的加密協(xié)議是AES（AdvancedEncryptionStandard）而非TKIP 。AES被認(rèn)為是一個(gè)更強(qiáng)的加密系統(tǒng)，它一般需要專門的硬件支持 。今天的Wi-Fi產(chǎn)品應(yīng)該都已支持AES加密 。
在安全性的其它方面，802.11i也象WPA一樣提供很全面甚至更強(qiáng)的支持 。在認(rèn)證發(fā)面，802.1X的體系結(jié)構(gòu)被采用 。在密鑰使用上，802.11i有一整套密鑰等級(jí)劃分和密鑰動(dòng)態(tài)產(chǎn)生及更新機(jī)制 。802.11i對(duì)重傳攻擊的防范，信息校驗(yàn)等自然也都考慮的非常全面 。總而言之，802.11i是一整套非常全面，同時(shí)也非常復(fù)雜的安全協(xié)議系統(tǒng)，代表了當(dāng)前Wi-Fi安全的最高級(jí)支持 。由于其復(fù)雜性，細(xì)節(jié)不可能在本文中一一介紹 。下面只就其中
采用的802.1X認(rèn)證體系結(jié)構(gòu)作一個(gè)簡(jiǎn)單介紹 。
802.1X
802.1X是IEEE關(guān)于局域網(wǎng)絡(luò)訪問控制的標(biāo)準(zhǔn)，它是一個(gè)基于端口概念的標(biāo)準(zhǔn) 。它可以用來決定是否給予一個(gè)用戶訪問一個(gè)網(wǎng)路端口的權(quán)限 。這里”端口”是指邏輯上的端口.具體到Wi-Fi中,一個(gè)客戶端與AP的連接（association)就可視為一個(gè)端口 。
802.1X是一個(gè)標(biāo)準(zhǔn)，它使用的主要協(xié)議則是基于一個(gè)IETF定義的叫EAP的協(xié)議 。EAP是”可擴(kuò)展認(rèn)證協(xié)議”的意思（ExtensibleAuthentication
Protocol） 。顧名思義，EAP是一個(gè)可擴(kuò)展的協(xié)議框架 。具體的EAP協(xié)議則可以有很多種，例如EAP-TLS,EAP-TTLS,PEAP等等 。EAP最初并非為局域網(wǎng)（LAN）設(shè)計(jì)，所以EAP在局域網(wǎng)上的實(shí)現(xiàn)有一個(gè)自己的名字：EAPOL，
是EAPoverLAN的意思 。EAPOL就是802.1X的核心部分 。
802.1X和EAP都并非為Wi-Fi而設(shè)計(jì)，但卻在Wi-Fi上找到了廣泛的應(yīng)用 。在802.1X的典型體系結(jié)構(gòu)中,有以下三個(gè)參與信息交互的角色：
英文中分別叫Supplicant,Authenticator和Authentication Server 。
所謂Supplicant就是認(rèn)證的客戶端，在Wi-Fi中通常就是要求連接的無線客戶端上的認(rèn)證軟件 。AuthenticationServer就是認(rèn)證服務(wù)器 。在Wi-Fi中，通常是AP來充當(dāng)Authenticator的角色 。當(dāng)進(jìn)行802.1X／EAP認(rèn)證時(shí)，在客戶端和AP間運(yùn)行的就是EAPOL協(xié)議，而在AP和認(rèn)證服務(wù)器之間運(yùn)行的通常是一個(gè)叫RADIUS（RemoteAuthenticationDialIn User
Service） 。其實(shí)802.1X并不指定AP和認(rèn)證服務(wù)器之間運(yùn)行什么協(xié)議，RADIUS只是一個(gè)事實(shí)上的標(biāo)準(zhǔn)，絕大部分的應(yīng)用都是用的RADIUS協(xié)議 。同樣原因，通常的認(rèn)證服務(wù)器就是一個(gè)RADIUS服務(wù)器 。
一個(gè)典型的802.1X認(rèn)證過程通常是這樣的：
無線客戶端向AP發(fā)一個(gè)EAPOL-Start的包提出認(rèn)證請(qǐng)求，AP收到后會(huì)向無線客戶端作出回應(yīng)（EAPRequest/Identity包），之后兩者之間就會(huì)開始更多的EAP交互 。但在這個(gè)過程中AP基本上是一個(gè)透明的轉(zhuǎn)發(fā)者 。它把從
無線客戶端收到的EAP包，翻譯并封裝成RADIUS包轉(zhuǎn)發(fā)給RADIUS服務(wù)器 。RADIUS服務(wù)器回的包同樣也會(huì)被翻譯回EAP的包送給客戶端 。整個(gè)交互完成后，AP會(huì)最終從RADIUS學(xué)到認(rèn)證是否成功，從而決定是否給予無線客戶端以訪問權(quán)限 。
關(guān)于802.1X的模式，可以用下圖說明：
PSK
PSK是Pre-SharedKey的縮寫，即預(yù)共享的密鑰 。WPA和802.11i／WPA2都支持一個(gè)PSK的模式 。簡(jiǎn)單的說，PSK模式是一個(gè)簡(jiǎn)化的WPA／802.11i，是一個(gè)沒有802.1X部分的WPA或802.11i 。
802.1X在WPA和802.11i的應(yīng)用中，除了認(rèn)證之外，還提供一個(gè)作用，它會(huì)讓客戶端和認(rèn)證服務(wù)器之間產(chǎn)生一個(gè)叫PMK（PairwiseMasterKey）的密鑰 。PMK是WPA／802.11i密鑰層級(jí)里的最頂層，是所有其它密鑰產(chǎn)生的基礎(chǔ)，極其重要 。
但在PSK模式里，由于沒有802.1X的參與,PMK則是象WEP的密鑰一樣預(yù)裝，但跟WEP不同的是，所有最終用于加密及其它一些功能的密鑰仍是動(dòng)態(tài)產(chǎn)生的 。而且，PSK模式也包含WPA和802.11i中除了802.1X以外的所有其它功能 。所以PSK模式雖然沒有完整的WPA和802.11i／WPA2模式那么全面，仍是一個(gè)很強(qiáng)的安全方案 。

推薦閱讀

• 

  對(duì)M639市場(chǎng)價(jià)格和前景的估計(jì)
• 

  理想L7配置性能介紹 理想汽車2023款最新款價(jià)格
• 

  虎皮蘭打蔫還有救嗎
• 

  乒乓球的型號(hào)有哪些
• 

  幼貓能不能驅(qū)蟲 幼貓能不能驅(qū)蟲藥
• 

  領(lǐng)帶的由來
• 

  湖南自貿(mào)區(qū)長(zhǎng)沙片區(qū)院校輸送和企業(yè)吸納畢業(yè)生獎(jiǎng)勵(lì)申報(bào)流程
• 

  現(xiàn)成的丸子怎么做湯
• 

  win10系統(tǒng)顯示器縮放比例設(shè)置方法 電腦屏幕怎么縮小比例
• 

  菲斯塔軸距多長(zhǎng)
• 

  公路邊的芒果可以吃嗎
• 

  辛集招聘，辛集哪些地方招工
• 

  死神有什么網(wǎng)頁游戲,火影和死神的網(wǎng)頁游戲手機(jī)版
• 

  人妖犯了罪，該關(guān)進(jìn)男監(jiān)獄還是女監(jiān)獄
• 

  52歲的斯琴格日樂無夫無子 斯琴格日樂老公
• 

  木頭上油用什么油，木頭表面打磨用什么工具好

• 包裹透視是什么意思？亞馬遜包裹透視用法及功能一覽
• RFID技術(shù)及電磁兼容研究
• GSM移動(dòng)通信中切換及常見問題解決方案
• win7系統(tǒng)中設(shè)備以及打印機(jī)打不開具體原因以及解決方法
• 無線Mesh網(wǎng)絡(luò)
• 無線辦公網(wǎng)絡(luò)
• 苗木露地扦插死亡原因及對(duì)策
• 移動(dòng)MPLS及其關(guān)鍵技術(shù)
• 孫權(quán)勸學(xué)注解 孫權(quán)勸學(xué)譯文及注釋
• 3G網(wǎng)絡(luò)設(shè)計(jì)新思路及應(yīng)用