【文章內容簡介】 和 TKIP。WPA 與 IEEE 的關系如 下 圖所示。 WPA 與 IEEE 的關系 WPA 采用了 和 TKIP 來實現 WLAN 的訪問控制、密鑰管理與數據加密。 是一種基于端口的訪問控制標準。 TKIP 雖然與 WEP 同樣都是基于 RC4 加密算法，但卻引入了 4 個新算法： ? 擴展的 48 位初始化向量（ IV）和 IV 順序規(guī)則（ IV Sequencing Rules） 。 ? 每包密鑰構建機制（ perpacket key construction） 。 ? Michael（ Message Integrity Code， MIC）消息完整性代碼 。 ? 密鑰重新獲取和分發(fā)機制。 WPA 系統(tǒng)在工作的時候，先由 AP 向外公布自身對 WPA 的支持，在 Beacons、Probe Response 等報文中使用新定義的 WPA 信息元素（ Information Element），這些信息元素中包含了 AP 的安全配置信息（包括加密算法和安全配置等信息）。STA 根據收到的信息選擇相應的安全配置，并將所選擇的安全配置表示在其發(fā)出的 Association Request 和 ReAssociation Request 報文中。 WPA 通過這種方式來實現 STA 與 AP 之間的加密算法以及密鑰管理方式的協商。 在 STA 以 WPA 模式與 AP 建立關聯之后，如果網絡中有 RADIUS 服務器作為認證服務器，那么 STA 就使用 方式進行認證；如果網絡中沒有 RADIUS， STA與 AP 就會采用預共享密鑰（ PSK， PreShared Key）的方式。 在 WPA 中， AP 支持 WPA 和 WEP 無線客戶端的混合接入。在 STA 與 AP 建立關聯時， AP 可以根據 STA 的 Association Request 中是否帶有 WPA 信息元素來確定哪些客戶端支持使用 WPA。但是在混合接入的時候，所有 WPA 客戶端所使用的加密算法都得使用 WEP，這就降低了無線局域網的整體安全性。 盡管 WPA 在安全性方面相較 WEP 有了很大的改善和加 強， 但 WPA 只是一個臨時的過渡性方案 ，在 WPA2（ ） 中將會全面采用 AES 加密機制 機制。 4 .企業(yè) /校園無線網安全解決方案 無線網安全 性現狀 分析企業(yè)對無線網絡的需求特征，安全因素被放在了首位，因安全方面的擔心而不愿采用 WiFi，是目前很多企業(yè)存在的現象。實際上，目前 大多數企業(yè)或校園 無線網絡提供的安全性如何？能否滿足企業(yè) 或校園 的需求呢？ 由于歷史原因，大多數企業(yè)或校園的 無線局域網主要是依靠 WEP 方式對數據進行加密，數據加密后的微波信號即使被人截獲，也不易破解，從而保證客戶傳輸的數據 安全性。但是 WEP 存在著不理想的地方：一是密鑰共享。由于每個人都知道密鑰，則密鑰很容易泄漏 不易管理 。二是 弱密鑰缺陷，導致 WEP 不能很好地抵御密碼學破解攻擊。 其次，如果 AP 不做任何安全設定，則任何一個符合 WiFi 的網卡都可以 接入 網絡 ，所以大多數 無線局域網的 用戶接入 安全保障是采用 MAC 地址 控制。但是這種接入控制方法 對于大型企業(yè) 或校園無線網 ，會存在 管理麻煩、擴展能力受限制等 問題 。另外， 黑客 還 可能會使用 MAC 欺騙技術 入侵網絡 。 所以對于企業(yè)或校園無線網絡系統(tǒng)，如果不從整體上進行規(guī)劃和設計，只孤立地采用單一的某項 安全技術是無法滿足企業(yè)或校園的高安全性的要求的。反而會造成無線網絡不安全的印象，導致不能充分利用無線網絡所能提供的諸多特性和優(yōu)點來進行資源共享和提高工作效率。下面就將介紹根據企業(yè)或校園無線網絡應用的需求和要達到的目標，整體規(guī)劃設計的一套適用于企業(yè)及校園的無線安全解決方案。 解決方案概述 為了解決企業(yè)無線應用的首要難題 —— 安全性，該解決方案采用了 WPA 安全架構的設計。同時，為了向企業(yè)外部來訪的用戶提供無線接入的靈活性和方便性，該方案還應用了基于英特爾架構的無線網絡控制器（ WNC）和支持多 SSID 的 AP（ Cisco 1100/1230），使企業(yè)無線網絡在保證企業(yè)信息安全的前提下，對多種接入認證方式提供了必要的支持。為了使無線網絡系統(tǒng)能滿足企業(yè)或校園在功能性、靈活性和可擴展性方面的眾多需求，中采用 Ocamar WNC（昂科無線網絡控制器）作為無線網絡管理和控制設備。昂科 WNC 除了實現了 AC 設備應該具備的接入控制、身份認證等功能，還能夠向企業(yè)提供策略路由、流量控制、無線設備管理、用戶管理和計費等極具價值的功能，這使其成為對企業(yè)和校園無線應用架構起關鍵作用的設備。 上海交通大學無線網案例 下面以上海交通大學 校園 無線網項目為例，具體地闡述典型的企業(yè)及校園無線解決方案： 上海交通大學是我國歷史最悠久的高等學府之一。近年來，隨著學校教學規(guī)模逐步擴大，除擁有古色古香的百年徐家匯老校區(qū)外，還有現代化閔行新校區(qū)以及法華鎮(zhèn)路校區(qū)、上中校區(qū)、七寶校區(qū)等五個位于上海不同位置的校區(qū)。 由于存在不同地點的校區(qū)，交大的教員和學生不得不在不同的校區(qū)來回，同時教學場所也經常在各校區(qū)之間變換。這讓校園網絡出現了難題 : 如何在不大幅度提高成本的情況下，校園網絡覆蓋五個不同位置的校區(qū)？ 如何在校園的各個教學場所之間，提供無縫的網絡連接，完成教學任務？ 如何連接五個不同位置的校區(qū)，同時又提供足夠的安全特性，保證安全通暢的網絡連接？ 如何充分利用現有的資源，幫助教員和學生利用現代互聯網技術，提高教學效率和學習效率？ 針對學校面臨的以上難題，對無線網絡解決方案的要求確定如下： 1. 無線網絡信號覆蓋五個不同位置的校區(qū)； 2. 提供無縫的互聯網 IP連接特性，保持教學網絡在校園之間無縫漫游； 3. 保障無線網絡安全性，對用戶和資源訪問權限進行管理； 4. 對不同的無線用戶提供不同的接入認證方式，并對其應用合適的路由策略； 5. 普及基于無線連接的筆記本電腦，充分提高教學和學習效率。 為讓網絡應用的價值最大化， 從而為 上海交通大學五個分散的校區(qū)內構建一個統(tǒng)一的、易接入、穩(wěn)定安全的校園無線網絡環(huán)境。針對解決方案的要求，經過多次比較和反復技術論證，決定為上海交通大學無線網絡采用以下的解決方案： 1. 全面采用基于英特爾公司迅馳移動技術的筆記本電腦作為無線終端，提高教與學的效率和移動便利，同時保證高速的互聯網接入； 2. 采用符合 標準及通過 WiFi 認證的無線網絡產品，核心安全架構采用 WPA 標準； 3. 采用具有多 SSID 和 VLAN 特性的 Cisco Airo 1200 系列 AP 進行基