Proxim和Wi-Fi保護(hù)接入

Wi-Fi保護(hù)接入(WPA)是被Wi-Fi聯(lián)盟接受的可用于現(xiàn)有WLAN客戶硬件的一種WLAN中間過(guò)渡安全性解決方案。Proxim可以在客戶端和接入點(diǎn)產(chǎn)品中支持WPA。

WPA是一種基于標(biāo)準(zhǔn)的可互操作的WLAN安全性增強(qiáng)解決方案，可大大增強(qiáng)現(xiàn)有以及未來(lái)無(wú)線局域網(wǎng)系統(tǒng)的數(shù)據(jù)保護(hù)和訪問(wèn)控制水平。WPA源于正在制定中的IEEE802.11i標(biāo)準(zhǔn)并將與之保持前向兼容。部署適當(dāng)?shù)脑�，WPA可保證WLAN用戶的數(shù)據(jù)受到保護(hù)，并且只有授權(quán)的網(wǎng)絡(luò)用戶才可以訪問(wèn)WLAN網(wǎng)絡(luò)。

1.利用TKIP增強(qiáng)數(shù)據(jù)加密

為加強(qiáng)數(shù)據(jù)加密，WPA采用了臨時(shí)密鑰完整性協(xié)議(TKIP)。TKIP提供了重要的數(shù)據(jù)加密增強(qiáng)功能，包括每數(shù)據(jù)包密鑰混合功能，稱為Michael的消息完整性檢查功能、具有序列規(guī)則的擴(kuò)展初始化向量功能以及密鑰重生成機(jī)制。通過(guò)這些增強(qiáng)，TKIP解決了所有已知的WEP安全漏洞。

2.通過(guò)802.1x和EAP實(shí)現(xiàn)企業(yè)級(jí)用戶認(rèn)證

WEP(有線對(duì)等保密協(xié)議)是一種加密方法，并非一種用戶認(rèn)證機(jī)制。WPA用戶認(rèn)證是利用802.1x和可擴(kuò)展認(rèn)證協(xié)議(EAP)實(shí)現(xiàn)的。這些技術(shù)結(jié)合起來(lái)為加強(qiáng)用戶認(rèn)證提供了一種框架。這一框架采用了中央認(rèn)證服務(wù)器，在服務(wù)器上進(jìn)行雙向認(rèn)證從而保證無(wú)線用戶不會(huì)意外加入一個(gè)安全性不好的網(wǎng)絡(luò)。

3.WPA與IEEE802.11i對(duì)比

與WPA將與目前正在開(kāi)發(fā)的IEEE802.11i安全標(biāo)準(zhǔn)前向兼容。WPA是目前正在制定過(guò)程中的802.11i標(biāo)準(zhǔn)草案的子集，采用了802.11i標(biāo)準(zhǔn)草案中現(xiàn)在已可推向市場(chǎng)的一些技術(shù)，如802.1x和TKIP。WPA未包括的802.11i草案中的主要部分是安全I(xiàn)BSS(Ad-Hoc模式)、安全快速切換(對(duì)特定的802.11VoIP電話)以及增強(qiáng)加密協(xié)議，如AES-CCMP。這些功能要么是目前還不適合推向市場(chǎng)，要么是需要硬件升級(jí)才能實(shí)現(xiàn)。

Proxim公司ORiNOCO可以在客戶端和接入點(diǎn)產(chǎn)品中支持WPA。要在ORiNOCO客戶端支持WPA，需要一個(gè)WPA驅(qū)動(dòng)程序和一個(gè)WPA補(bǔ)充程序(Supplicant)。Proxim公司可以提供用于ORiNOCO客戶端的WPA驅(qū)動(dòng)程序。根據(jù)所用的操作系統(tǒng)，補(bǔ)充程序可從微軟公司、Proxim公司或第三方公司(如Funk或Meetinghouse)獲得。f要使ORiNOCO接入點(diǎn)支持WPA，射頻硬件必須滿足一定的最低要求。

當(dāng)一個(gè)WPA客戶試圖訪問(wèn)一個(gè)非WPA接入點(diǎn)時(shí)，會(huì)發(fā)生什么?

一個(gè)WPA客戶不會(huì)試圖連接到一個(gè)非WPA接入點(diǎn)。

當(dāng)配置為僅工作在WPA模式(WPAonly)的客戶搜索接入點(diǎn)時(shí)，它只會(huì)搜索Beacon或ProbeResponse響應(yīng)中包括WPA信息單元(IE)的接入點(diǎn)。當(dāng)WPA客戶收到的Beacons或ProbeResponse中沒(méi)有WPA IE時(shí)，客戶端知道對(duì)應(yīng)的接入點(diǎn)不支持WPA，因此不會(huì)試圖與該接入點(diǎn)相關(guān)聯(lián)。同時(shí)，當(dāng)一個(gè)非WPA客戶試圖連接到一個(gè)WPA保護(hù)網(wǎng)絡(luò)和/或接入點(diǎn)時(shí)，一個(gè)WPA接入點(diǎn)將會(huì)拒絕來(lái)自非WPA客戶的連接嘗試。當(dāng)一個(gè)非WPA客戶試圖關(guān)聯(lián)到一個(gè)工作在WPA only模式的AP時(shí)，客戶的關(guān)聯(lián)請(qǐng)求幀將不包括WPA IE。工作在WPA only模式的接入點(diǎn)認(rèn)識(shí)到該客戶是非WPA客戶，因?yàn)槿鄙賅PA IE，因此會(huì)拒絕其關(guān)聯(lián)請(qǐng)求。

混合模式(同時(shí)支持WPA和非WPA客戶)提供的網(wǎng)絡(luò)安全性不會(huì)好于非WPA網(wǎng)絡(luò)的安全性，因此不鼓勵(lì)使用這一模式。