【文章內(nèi)容簡介】 和 TKIP。WPA 與 IEEE 的關系如 下 圖所示。 WPA 與 IEEE 的關系 WPA 采用了 和 TKIP 來實現(xiàn) WLAN 的訪問控制、密鑰管理與數(shù)據(jù)加密。 是一種基于端口的訪問控制標準。 TKIP 雖然與 WEP 同樣都是基于 RC4 加密算法，但卻引入了 4 個新算法： ? 擴展的 48 位初始化向量（ IV）和 IV 順序規(guī)則（ IV Sequencing Rules） 。 ? 每包密鑰構建機制（ perpacket key construction） 。 ? Michael（ Message Integrity Code， MIC）消息完整性代碼 。 ? 密鑰重新獲取和分發(fā)機制。 WPA 系統(tǒng)在工作的時候，先由 AP 向外公布自身對 WPA 的支持，在 Beacons、Probe Response 等報文中使用新定義的 WPA 信息元素（ Information Element），這些信息元素中包含了 AP 的安全配置信息（包括加密算法和安全配置等信息）。STA 根據(jù)收到的信息選擇相應的安全配置，并將所選擇的安全配置表示在其發(fā)出的 Association Request 和 ReAssociation Request 報文中。 WPA 通過這種方式來實現(xiàn) STA 與 AP 之間的加密算法以及密鑰管理方式的協(xié)商。 在 STA 以 WPA 模式與 AP 建立關聯(lián)之后，如果網(wǎng)絡中有 RADIUS 服務器作為認證服務器，那么 STA 就使用 方式進行認證；如果網(wǎng)絡中沒有 RADIUS， STA與 AP 就會采用預共享密鑰（ PSK， PreShared Key）的方式。 在 WPA 中， AP 支持 WPA 和 WEP 無線客戶端的混合接入。在 STA 與 AP 建立關聯(lián)時， AP 可以根據(jù) STA 的 Association Request 中是否帶有 WPA 信息元素來確定哪些客戶端支持使用 WPA。但是在混合接入的時候，所有 WPA 客戶端所使用的加密算法都得使用 WEP，這就降低了無線局域網(wǎng)的整體安全性。 盡管 WPA 在安全性方面相較 WEP 有了很大的改善和加 強， 但 WPA 只是一個臨時的過渡性方案 ，在 WPA2（ ） 中將會全面采用 AES 加密機制 機制。 4 .企業(yè) /校園無線網(wǎng)安全解決方案 無線網(wǎng)安全 性現(xiàn)狀 分析企業(yè)對無線網(wǎng)絡的需求特征，安全因素被放在了首位，因安全方面的擔心而不愿采用 WiFi，是目前很多企業(yè)存在的現(xiàn)象。實際上，目前 大多數(shù)企業(yè)或校園 無線網(wǎng)絡提供的安全性如何？能否滿足企業(yè) 或校園 的需求呢？ 由于歷史原因，大多數(shù)企業(yè)或校園的 無線局域網(wǎng)主要是依靠 WEP 方式對數(shù)據(jù)進行加密，數(shù)據(jù)加密后的微波信號即使被人截獲，也不易破解，從而保證客戶傳輸?shù)臄?shù)據(jù) 安全性。但是 WEP 存在著不理想的地方：一是密鑰共享。由于每個人都知道密鑰，則密鑰很容易泄漏 不易管理 。二是 弱密鑰缺陷，導致 WEP 不能很好地抵御密碼學破解攻擊。 其次，如果 AP 不做任何安全設定，則任何一個符合 WiFi 的網(wǎng)卡都可以 接入 網(wǎng)絡 ，所以大多數(shù) 無線局域網(wǎng)的 用戶接入 安全保障是采用 MAC 地址 控制。但是這種接入控制方法 對于大型企業(yè) 或校園無線網(wǎng) ，會存在 管理麻煩、擴展能力受限制等 問題 。另外， 黑客 還 可能會使用 MAC 欺騙技術 入侵網(wǎng)絡 。 所以對于企業(yè)或校園無線網(wǎng)絡系統(tǒng)，如果不從整體上進行規(guī)劃和設計，只孤立地采用單一的某項 安全技術是無法滿足企業(yè)或校園的高安全性的要求的。反而會造成無線網(wǎng)絡不安全的印象，導致不能充分利用無線網(wǎng)絡所能提供的諸多特性和優(yōu)點來進行資源共享和提高工作效率。下面就將介紹根據(jù)企業(yè)或校園無線網(wǎng)絡應用的需求和要達到的目標，整體規(guī)劃設計的一套適用于企業(yè)及校園的無線安全解決方案。 解決方案概述 為了解決企業(yè)無線應用的首要難題 —— 安全性，該解決方案采用了 WPA 安全架構的設計。同時，為了向企業(yè)外部來訪的用戶提供無線接入的靈活性和方便性，該方案還應用了基于英特爾架構的無線網(wǎng)絡控制器（ WNC）和支持多 SSID 的 AP（ Cisco 1100/1230），使企業(yè)無線網(wǎng)絡在保證企業(yè)信息安全的前提下，對多種接入認證方式提供了必要的支持。為了使無線網(wǎng)絡系統(tǒng)能滿足企業(yè)或校園在功能性、靈活性和可擴展性方面的眾多需求，中采用 Ocamar WNC（昂科無線網(wǎng)絡控制器）作為無線網(wǎng)絡管理和控制設備。昂科 WNC 除了實現(xiàn)了 AC 設備應該具備的接入控制、身份認證等功能，還能夠向企業(yè)提供策略路由、流量控制、無線設備管理、用戶管理和計費等極具價值的功能，這使其成為對企業(yè)和校園無線應用架構起關鍵作用的設備。 上海交通大學無線網(wǎng)案例 下面以上海交通大學 校園 無線網(wǎng)項目為例，具體地闡述典型的企業(yè)及校園無線解決方案： 上海交通大學是我國歷史最悠久的高等學府之一。近年來，隨著學校教學規(guī)模逐步擴大，除擁有古色古香的百年徐家匯老校區(qū)外，還有現(xiàn)代化閔行新校區(qū)以及法華鎮(zhèn)路校區(qū)、上中校區(qū)、七寶校區(qū)等五個位于上海不同位置的校區(qū)。 由于存在不同地點的校區(qū)，交大的教員和學生不得不在不同的校區(qū)來回，同時教學場所也經(jīng)常在各校區(qū)之間變換。這讓校園網(wǎng)絡出現(xiàn)了難題 : 如何在不大幅度提高成本的情況下，校園網(wǎng)絡覆蓋五個不同位置的校區(qū)？ 如何在校園的各個教學場所之間，提供無縫的網(wǎng)絡連接，完成教學任務？ 如何連接五個不同位置的校區(qū)，同時又提供足夠的安全特性，保證安全通暢的網(wǎng)絡連接？ 如何充分利用現(xiàn)有的資源，幫助教員和學生利用現(xiàn)代互聯(lián)網(wǎng)技術，提高教學效率和學習效率？ 針對學校面臨的以上難題，對無線網(wǎng)絡解決方案的要求確定如下： 1. 無線網(wǎng)絡信號覆蓋五個不同位置的校區(qū)； 2. 提供無縫的互聯(lián)網(wǎng) IP連接特性，保持教學網(wǎng)絡在校園之間無縫漫游； 3. 保障無線網(wǎng)絡安全性，對用戶和資源訪問權限進行管理； 4. 對不同的無線用戶提供不同的接入認證方式，并對其應用合適的路由策略； 5. 普及基于無線連接的筆記本電腦，充分提高教學和學習效率。 為讓網(wǎng)絡應用的價值最大化， 從而為 上海交通大學五個分散的校區(qū)內(nèi)構建一個統(tǒng)一的、易接入、穩(wěn)定安全的校園無線網(wǎng)絡環(huán)境。針對解決方案的要求，經(jīng)過多次比較和反復技術論證，決定為上海交通大學無線網(wǎng)絡采用以下的解決方案： 1. 全面采用基于英特爾公司迅馳移動技術的筆記本電腦作為無線終端，提高教與學的效率和移動便利，同時保證高速的互聯(lián)網(wǎng)接入； 2. 采用符合 標準及通過 WiFi 認證的無線網(wǎng)絡產(chǎn)品，核心安全架構采用 WPA 標準； 3. 采用具有多 SSID 和 VLAN 特性的 Cisco Airo 1200 系列 AP 進行基