鏈路認證方式

開放系統認證(Open system authentication)

    開放系統認證是缺省使用的認證機制，也是最簡單的認證算法，即不認證。如果認證類型設置為開放系統認證，則所有請求認證的客戶端都會通過認證。

    開放系統認證包括兩個步驟：第一步是請求認證，第二步是返回認證結果。如果認證結果為“成功”，那么客戶端和AP 就通過雙向認證。

共享密鑰認證(Shared key authentication)

    共享密鑰認證是除開放系統認證以外的另外一種認證機制。共享密鑰認證需要客戶端和設備端配置相同的共享密鑰。 

共享密鑰認證的認證過程為：

1. 客戶端先向設備發送認證請求；

2. 無線設備端會隨機產生一個Challenge包（即一個字符串）發送給客戶端；

3. 客戶端會將接收到字符串拷貝到新的消息中，用密鑰加密后再發送給無線設備端；

4. 無線設備端接收到該消息后，用密鑰將該消息解密，然后對解密后的字符串和最初給客戶端的字符串進行比較。如果相同，則說明客戶端擁有無線設備端相同的共享密鑰，即通過了Shared Key 認證；否則Shared Key 認證失敗。 

無線數據保密

    相對于有線網絡，無線網絡服務(WLAN) 存在著數據安全隱患。在一個區域內的所有的WLAN 設備共享一個傳輸媒介，任何一個設備可以接收到其他所有設備的數據，這個特性直接威脅到WLAN 接入數據的安全。

明文數據

    該種服務本質上為無安全保護的WLAN 服務，所有的數據報文都沒有通過加密處理。

WEP加密

    WEP(Wired Equivalent Privacy，有線等效加密)用來保護無線局域網中的授權用戶所交換的數據的機密性，防止這些數據被隨機竊聽。在實際實現中，已經廣泛使用104 位密鑰的WEP來代替40位密鑰的WEP，104 位密鑰的WEP 稱為WEP-104。雖然WEP104 在一定程度上提高了WEP 加密的安全性，但是受到RC4 加密算法以及靜態配置密鑰的限制，WEP加密還是存在比較大的安全隱患。

TKIP加密

    TKIP 是一種加密方法，用于增強pre-RSN 硬件上的WEP 協議的加密的安全性，其加密的安全性遠遠高于WEP。WEP主要的缺點在于，盡管IV（Initial Vector，初始向量）改變但在所有的幀中使用相同的密鑰，而且缺少密鑰管理系統，不可靠。TKIP和WEP加密機制都是使用RC4算法，但是相比WEP加密機制，TKIP加密機制可以為WLAN服務提供更加安全的保護。

    首先，TKIP通過增長了算法的IV長度提高了WEP加密的安全性；

    其次，TKIP支持密鑰的動態協商，解決了WEP 加密需要靜態配置密鑰的限制；

    另外，TKIP還支持了MIC認證（Message Integrity Check，信息完整性校驗）和Countermeasure功能。

CCMP加密

    Counter mode with CBC-MAC Protocol

    [計數器模式] 搭配 [區塊密碼鎖鏈－信息真實性檢查碼]協議

    CCMP加密機制是基于AES（Advanced Encryption Standard，高級加密標準）加密機制的CCM（Counter-Mode/CBC-MAC，區塊密碼鎖鏈－信息真實性檢查碼）方法，僅用于RSNA 客戶端。CCM 結合CTR（Counter mode，計數器模式）進行機密性校驗，同時結合CBC-MAC（區塊密碼鎖鏈－信息真實性檢查碼）進行認證和完整性校驗。CCM 可以保護了MPDU 數據段和IEEE 802.11首部中被選字段的完整性。CCMP 中所有的AES 處理進程都使用128 位的密鑰和128 位的塊大小。CCM 中每個會話都需要一個新的臨時密鑰。對于每個通過給定的臨時密鑰加密的幀來說，CCM 同樣需要確定唯一的隨機值（nonce）。CCMP 使用48 位的PN（packet number）來實現這個目的。對于同一個臨時密鑰，重復使用PN 會使所有的安全保證無效。

無線認證方式

PSK 認證

    PSK 認證需要實現在無線客戶端和設備端配置相同的預共享密鑰。如果密鑰相同， PSK 接入認證成功；如果密鑰不同，PSK 接入認證失敗。

 802.1X 認證

    802.1X 協議是一種基于端口的網絡接入控制協議（port based network access control protocol）。這種認證方式在WLAN 接入設備的端口這一級對所接入的用戶設備進行認證和控制。連接在端口上的用戶設備如果能通過認證，就可以訪問WLAN 中的資源；如果不能通過認證，則無法訪問WLAN 中的資源。

密鑰協商協議

WPA方式

    WPA(Wi-Fi Protected Access) 是Wi-Fi聯盟為了適應市場需求定制的無線安全草案，保證了與未來出現的IEEE802.11i協議向前兼容。WPA密鑰協商協議也被稱為WPA1，一般與TKIP數據保密算法一起使用。

 RSN方式

    RSN(Robust Secure Network，魯棒性安全網絡)，在IEEE802.11i草案協議里具體定義，在2007年發布的IEEE802.11協議里正式啟用。RSN密鑰協商協議也被稱為WPA2，一般與CCMP數據保密算法一起使用。

    WPA密鑰協商方式一般和TKIP數據保密算法一起使用，也可以和CCMP數據保密算法一起使用。同樣，RSN密鑰協商方式一般和CCMP數據保密算法一起使用，也可以和TKIP數據保密算法一起使用。

工作原理

    因為無線網絡的傳輸媒質主要是無線電波和自由空間，通信雙方沒有線纜連接，所以在部署無線網絡時無線安全功能顯得非常重要。無線安全是一個廣泛的概念，這里特指基于WEP協議和802.11i協議的無線安全內容。

    無線安全的實現機制從IEEE802.11b協議發布到現在，有了很大的發展。這可以從加密與數據完整性校驗協議的發展、認證協議的發展兩方面來看。WEP協議是早期的無線安全機制，其設計簡單部署方便，不過比較容易被專業的網絡黑客破解，所以只適用用于普通的家庭網絡。基于PSK認證和TKIP數據保密的第二代無線安全機制，對WEP協議有了較多的改進，通過升級軟件的方法不修改任何原有的部署的前提下大大地提高了無線網絡的安全性。基于802.1X認證和CCMP數據保密的第三代無線安全機制，以IEEE802.11i草案協議為基礎，是目前構建安全可靠無線局域網的一種必選功能。

     如上圖所示，基于802.1X認證和CCMP數據保密的無線安全機制，包括兩個方面的內容。第一個方面是由服務器統一管理的用戶身份認證，這部分內容可以參考IEEE802.1X協議的相關內容；第二個方面是數據加密解密密鑰的分發協商，以及數據傳輸過程的加密解密操作。在這篇配置指南中，重點介紹第二個方面相關功能的配置。