Wi-fi安全

2024年2月18日发(作者：)

Wi-Fi安全状况

Wi-Fi CERTIFIED™ WPA2®为家庭、企业和移动设备

提供先进安全性

®

Wi-Fi Alliance®

2009年9月

以下文件及文中所包含关于Wi-Fi Alliance项目和预期推出时间的信息有可能随时修正或撤销，恕不通知。本文按现状提供，不保证无瑕疵。WI-FI ALLIANCE不对本文及本文所包含之信息的有用性、质量、适当性、真实性、准确性或完整性作出声明或保证。

执行摘要

Wi-Fi是世界上应用最广、最值得信赖的技术之一，拥有强大的全球公认品牌。用户看重其可靠性能、简单性和广泛的适用性。在工作场所、家里、公共热点，Wi-Fi无处不在。用户可用笔记本电脑、手机、相机、游戏机及越来越多的其他消费电子设备接入Wi-Fi网络。

Wi-Fi Alliance通过其Wi-Fi CERTIFIED™项目，致力于推动无线局域网（WLAN）设备和网络互操作性的运用与技术创新。Wi-Fi CERTIFIED设备可带来即开即用的多厂商互操作性及出色的性能。

企业、家庭和移动用户知道，Wi-Fi还提供尖端、标准先进的网络安全性。Wi-Fi

CERTIFIED设备满足了基本的企业网络和应用的安全需求，使住宅用户能够保护自己的网络。

自2000年项目推出以来，安全已成为Wi-Fi Alliance工作的核心。有线等效保密（WEP）是第一代解决方案。2003年，Wi-Fi Alliance推出了Wi-Fi保护接入（Wi-Fi Protected Access/WPA）作为临时安全解决方案，以满足对日益增长的安全机制的市场需求，同时美国电气电子工程师学会（IEEE）802.11i修正版正在制定中。WPA通过提供双向鉴权和更强大的加密功能，弥补了WEP的不足。

WPA2是新一代Wi-Fi安全技术。它建立在两项核心协议的基础之上：(1) 美国及其他国家政府用来保护机密信息、企业用来保护WLAN的加密协议——高级加密标准（AES）；(2) 企业网络中广泛用来提供强大的鉴权和精密网络接入控制功能的标准——IEEE 802.1X。WPA2基于IEEE

802.11i，提供128位AES加密。它还通过预共享密钥（PSK；个人模式下）和IEEE 802.1X /

EAP（企业模式下）提供双向鉴权。2004年，Wi-Fi Alliance推出了WPA2认证。2006年，WPA2认证成为针对所有提交认证的Wi-Fi CERTIFIED设备的强制性要求。此外，2007年，Wi-Fi

Alliance推出了Wi-Fi保护设置项目，以简化和鼓励WPA2在住宅网络中的激活。

通过WPA2，Wi-Fi技术走向了成熟，使其能够为所有Wi-Fi用户提供跨越不同设备外型、厂商和地域的绝佳尖端安全性。Wi-Fi Alliance致力于拓展现有的认证项目，创造新的认证项目，从而推动有益于用户的新型安全解决方案的运用。

®Wi-Fi安全大事记

2000年，Wi-Fi Alliance认证项目启动，包括对WEP的支持

在预期 IEEE 802.11i修正版通过的情况下，WPA认证作为临时解决方案，于2003年推出

采用AES加密并支持EAP的WPA2于2004年推出，并于2006年成为强制性要求

Wi-Fi保护设置（ Wi-Fi Protected Setup™）作为可选认证项目，于2007年推出，以简化受到安全保护的家庭和小型办公网络的设置和扩建

2009年，Wi-Fi Alliance将所支持的可扩展认证协议（EAP）类型增加到7个，增加了EAP鉴权和密钥协议（ EAP-AKA）及EAP-通过安全隧道灵活鉴权（ EAP-FAST）

引言

Wi-Fi无处不在。约三分之一拥有宽带互联网接入的美国家庭拥有Wi-Fi网络。预计到2009年年底，Wi-Fi芯片组的出货量将达到20亿；到2013年，预计这一数字将达到70亿，这将是移动和消费电子设备领域最高的增长率之一。

自2000年3月推出其认证项目以来，Wi-Fi Alliance一直致力于促进该技术的运用、互操作性和发展。Wi-Fi Alliance拥有300多家会员和数千款认证产品，Wi-Fi

Alliance已经成为包括服务供应商、芯片组和设备厂商以及软件开发商在内的整个Wi-Fi生态系统的推动力。

21 目录

执行摘要

引言

Wi-Fi安全的发展

WPA2技术概述

WPA2企业版和WPA2个人版

采用IEEE 802.1X / EAP的鉴权

采用AES的CCMP加密

Wi-Fi保护设置

Wi-Fi CERTIFIED Makes It Wi-Fi

Wi-Fi安全现状

Wi-Fi CERTIFIED产品接受过严格的测试，以确保即开即用的互操作性和出色的用户体验。消费者和企业用户信赖Wi-Fi CERTIFIED品牌，知道它始终致力于为包括笔记本电脑、手机及其他移动和消费电子设备在内的各种设备提供即开即用的互操作性、可靠的性能和最佳用户体验。

市场成功不仅仅取决于用户体验和互操作性。迅速增长的家庭、企业和Wi-Fi移动用户需要的不仅是可互操作、可靠、简单易用的高性能设备和接入点。他们还需要一定的安全技术来保护他们在商务、个人和移动运用中的数据和控制网络接入。放心和信任是出色用户体验的关键要素。

所有环境（住宅、企业和移动环境）都需要高度保护。Wi-Fi被用于在各种情境下发送保密和私人信息。企业用户用Wi-Fi来与同事、合作伙伴及客户交换高度敏感的信息。家庭及移动用户常用Wi-Fi来与家人朋友分享私人信息。除数据以外，各种环境下的客户正越来越多地使用Wi-Fi语音。

Wi-Fi设备与网络保护功能已成为Wi-Fi CERTIFIED测试项目推出以来的支柱。自2006年年初以来，WPA2安全支持已成为对所有Wi-Fi CERTIFIED设备的强制性要求。Wi-Fi Alliance在促进WPA2成为所有主要厂商支持的全球公认的成熟标准的过程中发挥了主导作用。

Wi-Fi Alliance使用标准机制，通过简单易用、推动安全最佳实践运用的安全接口工具，为Wi-Fi用户提供最高水平的安全性。同时，Wi-Fi Alliance认识到有必要推出多种解决方案，以满足不同使

12 来源：Parks Associates

来源：ABI Research

用情况和设备的安全要求。因此，Wi-Fi认证项目具有使Wi-Fi CERTIFIED设备满足不同类型网络（从受到高度控制的企业环境到比较灵活的家庭网络）要求以及在不同的设备外型设计下操作的灵活性。

本文对Wi-Fi安全状况进行评估，内容涉及认证项目的发展，以提供更加先进、简单易用的工具，以及Wi-Fi CERTIFIED设备所支持的密钥功能。在文章的最后，德州大学达拉斯分校的案例分析说明如何通过WPA2保护校园Wi-Fi网络。

Wi-Fi安全的发展

Wi-Fi技术发展迅速，以适应日新月异的市场和技术形势。全球对WPA和WPA2等先进的安全机制的运用进一步加强了世界范围内对Wi-Fi CERTIFIED设备的信赖（表1）。

1997年9月

2000年4月

2001年5月

2003年4月

IEEE 802.11标准获批，包括WEP

Wi-Fi CERTIFIED项目推出，支持WEP

IEEE 802.11i工作组成立

WPA推出，包括

• IEEE 802.1X鉴权

• 支持临时密钥完整性协议（TKIP）加密

• 支持EAP传输层安全（EAP-TLS）

2003年9月

2004年6月

2004年9月

WPA成为针对所有Wi-Fi CERTIFIED设备的强制性要求

IEEE 802.11i修正版获批

WPA2推出，包括：

• IEEE 802.1X鉴权

• 支持AES加密

• 支持EAP-TLS

2005年4月 增加对四种EAP类型的支持：

• EAP隧道TLS微软挑战握手认证协议第2版（EAP-TTLS/MSCHAPv2）

• 保护EAP第0版（PEAPv0）/EAP-MSCHAPv2

• 保护EAP第1版（PEAPv1）/ EAP通用令牌卡（EAP-GTC）

• EAP用户识别模块（EAP-SIM）

2006年3月

2007年1月

2007年11月

2009年5月

WPA2成为针对所有Wi-Fi CERTIFIED设备的强制性要求

Wi-Fi保护设置项目推出

IEEE 802.11w工作组成立

新增对EAP-AKA和EAP-FAST的支持

表1 Wi-Fi安全大事记

接入控制和加密技术进步以及平行的标准化工作（尤其是IEEE 802.11i（媒体接入控制[MAC]层安全增强））和IEEE 802.11w（保护管理框架）工作组的工作）实现了Wi-Fi安全的发展。

随着Wi-Fi运用的增长而突出的新应用和使用情况促使新型安全机制问世。几年前，Wi-Fi在住宅和企业网络中的迅速普及增加了WEP审查，其局限性很快被察觉。此外，Wi-Fi作为家庭主要接入技术的出现、公共热点的日益普及以及传送敏感和关键任务数据的企业网络的部署提高了对Wi-Fi的安全审查要求。

作为第一代安全解决方案，WEP由于在重要大小（最初为40位，后来扩展到104位）上的局限性以及缺乏重播侦测功能而容易受到攻击。因此，用户不得不通过使用虚拟专用网（VPN）、IEEE 802.1X或专有解决方案对WEP加以补充，以满足他们的安全需求。

到2003年，Wi-Fi Alliance已改用包括IEEE 802.11i修正版子集的WPA。WPA是在预期 IEEE

802.11i修正版通过的情况下，为弥补WEP的不足而设计的第二代临时解决方案；IEEE 802.11i修正版随后被并入IEEE 802.11-2007标准中，对Wi-Fi安全机制做出了规定（表2）。WPA用TKIP进行数据加密。WPA鉴权由IEEE 802.1X利用EAP为企业用户提供，由PSK为住宅和个人用户提供。

2004年，在IEEE 802.11i修正版获批的同时，Wi-Fi Alliance推出了WPA2。起初，它是一项可选认证，但于2006年成为取代WPA、针对提交认证的所有新设备的强制性要求。虽然建立在WPA功能的基础之上，但WPA2引入了更强大的加密功能，增加了使用AES分组密码的CCMP协议。2006年以来接受测试的所有Wi-Fi CERTIFIED设备都支持WPA2，为Wi-Fi用户提供最先进的标准安全机制。WPA2迅速成为Wi-Fi设备运用最广、最值得信赖的安全框架。

主要加密机制

WEP

手动密钥分配，使用Rivest密码法4（RC4）流密码的共享密钥

WPA WPA2

基于RC4流密码的使用128位AES分组TKIP

密码的计数器模式密码块链信息认证码协议（CCMP）

密码哈希函数

有

有

数据完整性

密钥管理

重播侦测

线性哈希函数

无

无

表2 WEP、WPA和WPA2之比较

WPA2技术概述

厂商和用户对WPA2的广泛认可和信赖源于四个关键因素：

双向鉴权：WPA2用IEEE 802.1X（WPA2企业版）和PSK（WPA2个人版）提供双向鉴权。在单向鉴权的情况下，客户端设备发送证书，如果被批准接入，客户端设备就会连上网络。双向鉴权要求客户端设备在建立连接之前验证网络证书，以防用户连上未经授权的接入点。

强加密：AES被规定为联邦信息处理标准（FIPS Publication 197），是最早公开的加密机制，符合美国政府保护敏感机密信息的要求。迄今为止，AES已证明在面对由于AES的广泛运用而引发的大量已公布之攻击时极富弹性。当通过WPA2网络传输的数据用采用AES的CCMP算法进行加密后，就受到目前最先进的标准数据加密方法的保护。全球企业网络中所使用的很多协议和应用都要求支持AES。

可互操作性：WPA2是基于标准的解决方案，得到2006年以来接受测试的所有Wi-Fi

CERTIFIED设备的支持。无论何种设备品牌，WPA2都可在接入点和客户端设备支持WPA2的任何会话中被激活。这大大提升了WPA2的可用性，使网络运营商和用户相信，他们的网络、设备和数据流处处受到保护。

使用简便：WPA2不但是保护Wi-Fi用户的强大工具，而且容易激活。2007年，Wi-Fi

Alliance推出了独立认证项目——Wi-Fi保护设置，以简化WPA2的配置，加速其在住宅网络中的运用。

3

3 保密信息可使用128位AES；机密信息要求使用192或256位AES。

WPA2企业版和WPA2个人版

根据网络要求，WPA2有两种运行模式——企业模式和个人模式（表3）。对WPA2个人版的支持是对所有Wi-Fi CERTIFIED客户端设备和接入点的强制性要求。对WPA2企业版的支持是非强制性要求，但是对在大型网络中工作的设备是建议性要求。具体的安全要求决定了在网络中使用哪一种模式。

住宅和小型办公网络一般使用WPA2个人版，因为它除了Wi-Fi CERTIFIED接入点和设备以外无需任何设备。在WPA2个人版中，密钥来自网络服务区标识符（SSID）和用户输入的密码。必须选择强大的密码，以充分利用WPA2的保护。较长、复杂、任意的密码是良好安全性的关键，而且应经常修改。

采用IEEE 802.1X鉴权、授权和记账（AAA）服务器的企业网络可得益于WPA2企业版所提供的更加复杂的功能，包括监控和管理流量、规定用户特定鉴权级别以及提供游客接入的能力。WPA2企业版还通过共享现有的用户数据库，允许无线接入与整体网络接入控制进行整合。

WPA2企业版

每位用户分配到独一无二的证书

WPA2个人版

使用PSK、不受管理的鉴权模式允许使用一般由该网络用户共享的手动输入的密码

需要支持EAP、带有鉴权数据库的IEEE

802.1X AAA服务器

每一个会话的数据安全密钥是独一无二的 每一个会话的数据安全密钥是独一无二的

无需鉴权服务器

表3 WPA2企业版和WPA2个人版

采用IEEE 802.1X / EAP的鉴权

WPA2企业版使用支持EAP的EEE 802.1X框架进行鉴权（表4）。对多种EAP类型的支持使企业能够针对自己的运行环境选择最适当的鉴权技术。就网络而言，在接入点、IEEE 802.1X AAA服务器中必须实现对一种或多种EAP类型的支持。客户端设备和网络（即接入点和服务器）都必须支持相同的EAP方法，以完成鉴权过程。

WPA2企业版支持全球用于在企业环境中提供安全鉴权的多种EAP方法。WPA2具有在新的EAP类型出现后支持这些新类型的灵活性。随着市场需求的增长，Wi-Fi Alliance不断增加对新的EAP类型的支持，以便为用户提供最适合他们的设备、应用和网络的鉴权技术。

对Wi-Fi网络所支持的EAP类型的选择取决于设备外型设计、网络托管的应用、所使用的操作系统以及网络拥有者的具体安全要求，包括用户名和密码、令牌、认证及PSK。

Wi-Fi Alliance认证项目目前支持的EAP方法有：

EAP-TLS：使用数字鉴权证书的互联网工程工作组（IETF）全球标准协议。

EAP-TTLS/MSCHAPv2：在TLS记录内安全建立客户密码鉴权隧道。

PEAPv0/EAP-MSCHAPv2：使用基于密码的鉴权

PEAPv1/EAP-GTC：使用不断修改的鉴权令牌值

EAP-FAST：用TLS安全建立任何鉴权证书隧道（如密码或令牌）

EAP-SIM：基于使用全球移动通信系统（GSM）网络的手机和其他设备中所安装的SIM

EAP-AKA：使用通用移动通信系统（UMTS）用户识别模块（USIM）进行鉴权

1. 客户端设备联合接入点，将其身份信息发送给鉴权服务器

2. 鉴权服务器收到客户身份信息后，向客户端设备发送证书

3. 客户端设备将该服务器识别为授权服务器，并提交用户证书进行验证

4. 客户端设备和鉴权服务器生成成对主密钥（PMK）和成对临时密钥（PTK）

5. 鉴权在客户端设备与接入点之间通过四路交接完成

6. AES加密密钥来自PTK，以对客户端设备与接入点之间交换的数据进行加密

表4 WPA2企业版和WPA2个人版

采用AES的CCMP加密

IEEE 802.11i和WPA2要求使用CCMP加密协议，该加密协议使用AES为加密和完整性保护采用相同的密钥。AES是采用多种密钥长度和块大小的分组密码。IEEE 802.11i和WPA2要求使用带128位密钥和128位块的AES。AES加密密钥来自使用四路交接的PTK，基于IEEE 802.11i密钥管理协议。

在WPA2中纳入AES，为Wi-Fi用户带来经过最广泛测试、运用最广的加密标准之一。如今，AES被用于多种数据传输技术，并经过了密码学家们的严格审查。

1. 客户端设备联合接入点。客户端设备和接入点核实它们拥有相同的PSK

2. 鉴权在客户端设备与接入点之间通过四路交接完成

3. 在四路交接中，PSK被用于在客户端设备和接入点生成PTK。

4. PTK包括用于保护客户端设备与接入点之间所交换的数据的AES密钥

Wi-Fi保护设置

Wi-Fi保护设置作为可选认证项目，于2007年推出，以简化家庭和小型办公网络中WPA2的配置和激活（图1）。到2009年8月，已有700多款产品通过了Wi-Fi保护设置认证。虽然2006以来接受测试的所有Wi-Fi CERTIFIED设备都支持WPA2，但WPA2必须经过配置和激活，设备用户才能从中受益。如果需要的话，Wi-Fi保护设置允许住宅和小型企业用户跳过详细的WPA2配置步骤，而且他们也不必手动输入PSK，就能利用WPA2保护自己的网络。

通过Wi-Fi保护设置，用户在设置WPA2方面拥有多重选择：

个人识别号码（PIN）：用户输入数码。针对接入点和客户端设备的强制性要求。

按钮配置（PBC）：用户在接入点和相关客户端设备上按下按钮。针对接入点的强制性要求，针对客户端设备的非强制性要求。

近场通信（NFC）令牌：使用NFC令牌，或使接入点与客户端接触。非强制性要求。

图1 Wi-Fi保护设置标识帮助用户鉴别设备是否支持Wi-Fi保护设置

Wi-Fi Alliance计划扩大2010年测试的Wi-Fi保护设置认证，以纳入ad-hoc模式。

Wi-Fi CERTIFIED Makes It Wi-Fi

选择Wi-Fi CERTIFIED的优势

图2：Wi-Fi设备的外包装上带有Wi-Fi CERTIFIED标志，方便用户选择

自2000年以来，Wi-Fi Alliance认证项目在建立无线局域网设备之间的可互操作性方面，发挥了积极主要作用，实现了卓越的用户体验，扩展了Wi-Fi功能，提升了Wi-Fi性能。

图3 Wi-Fi 可互操作性证书列出了每个设备或接入点所支持的特性

Wi-Fi Alliance的这些努力有助于扩大Wi-Fi的应用范围，确保Wi-Fi CERTIFIED产品成为全球知名和值得信赖的品牌。在选择新的设备或接入点时，用户会有意识的寻找Wi-Fi CERTIFIED标志。因为这一标志让他们相信，他们购买的产品能与任何其他厂商生产的Wi-Fi CERTIFIED的设备兼容。全球Wi-Fi设备制造商将他们的产品发送到Wi-Fi Alliance授权测试实验室（ATL）进行认证。

迄今为止，已有近6000多种产品完成认证，其中支持WPA2的逾半数。IEEE 802.11n标准认证计划是非常成功的，支持这一标准的产品超过了600个。增长最快的是移动电话，已经有超过375个型号的移动电话完成了Wi-Fi CERTIFIED认证。

图4 网站上的Wi-Fi CERTIFIED产品数据库

Wi-Fi认证项目满足了不同设备对于外形的需求、给供应商以多种选择，从而满足市场需求（图

3）。有些Wi-Fi认证项目因为涉及最基本的Wi-Fi功能，所以必须通过验证，除此之外的其他项目则是可选的。

目前依然在进行中的Wi-Fi认证项目（星号表示可选项目）包括：

可互操作性及标准规则： IEEE 802.11a, IEEE 802.11b, IEEE 802.11g和IEEE 802.11n*

安全 ：WPA2 个人版，支持EAP的WPA2 企业版*，Wi-Fi Protected Setup*

语音Wi-Fi： Voice Personal*

借助服务质量(QoS)的应用支持 Wi-Fi多媒体 *（WMM）

TM®

用于移动设备的节电项目： WMM Power Save*

Wi-Fi和蜂窝融合： 融合无线组无线电频率（CWG-RF）概要*

Wi-Fi安全现状

有了WPA2，Wi-Fi CERTIFIED设备可为全球各地的企业、家庭及移动用户使用的各种设备提供先进的安全工具。所有的新设备和新接入点都支持WPA2，越来越多的Wi-Fi用户开始习惯天天使用WPA2功能。

如今，Wi-Fi已成为许多企业的默认网络接入技术。许多企业的内部IT政策规定，必须使用WPA2协议，因为WPA2已获得广泛认可，可以保护网络以及通过Wi-Fi无线连接传输的机密信息。随着Wi-Fi技术在不同应用和多种类型的设备上使用越来越普遍，Wi-Fi网络的安全日益成为企业整体安全策略中不可或缺的一部分。IEEE 802.1X及AES等多接点技术的采用，使得Wi-Fi与企业IT基础设施之间的结合更加紧密。在美国德克萨斯大学达拉斯分校进行的案例研究表明，WPA2可以在不增加网络复杂性的基础上融入已有的网络设施，确保无线局域网的安全。

而在家庭网络中， 用户可应用Wi-Fi Protected Setup搭建新网络，添加设备到现有网络，激活WPA2。越来越多的Wi-Fi用户开始意识到使用网络连接技术时安全的重要性，他们希望无需惊动公司的IT人员或花费较多时间学习复杂的安全机制就可以实现强大的数据保护。在家庭网络中，启用WPA2通常只需要几分钟，用户也只需要输入一个足够复杂的密码。与安装防火墙、使用VPN，或安装防病毒软件相似，启用WPA2已经成为连接家庭及公共热点中保护用户数据不可缺少的安全措施。

Wi-Fi Alliance将继续推动安全方面的技术革新，并致力于将未来技术进步纳入到Wi-Fi

CERTIFIED项目中来。现有的Wi-Fi技术已经相当成熟，可从WPA2技术的革新中充分获益。自2006年以来，所有经过Wi-Fi CERTIFIED认证的设备（超过3000种）都必须支持WPA2。WPA2已成为一个全球标准，在企业及家庭网络中得到了广泛应用。WPA2有助于保护住宅、企业及热点网络免受来自黑客的诸如中间人攻击、虚假验证、虚假答复、密码冲突、防护能力低的密码、虚假包，以及病毒攻击等类型的威胁。WPA2为Wi-Fi CERTIFIED设备用户提供了可靠的安全保障， 并提升了Wi-Fi使用的可靠性、信任度和安全性。

案例分析：德州大学达拉斯分校

应用WPA2为覆盖全校的Wi-Fi网络提供保障

德州大学（UT）达拉斯分校约有15000名学生及2500名教师及工作人员，分布在三个校区的29栋楼里面。德州大学达拉斯分校拥有独特的传统，该校的建立要归功于德州仪器的创立者，他们在60年代初发现本地区面临科学及工程技术的匮乏，因此成立了一个研究中心，以吸引全国范围内最优秀的科技人才。这个早期的人才中心最终在1969年成立为大学，并成为德州大学系统的一部分。今天，德州大学达拉斯分校已拥有7个有学位授予权点的学院，开设的科系超过125个。对于大学的研究任务以及学生的生活质量来说，Wi-Fi网络都是至关重要的。

该大学使用无线局域网的历史已久，最初部署的是专用接入点（未使用Wi-Fi技术），之后将网络升级到802.11b标准，而后再次升级为802.11a/g标准。通过最近的升级，学校形成一个包含450个双无线接入点的网络，接入点和用户由五个网络控制器管理。学生将这一网络看做一种设施，用来接入国际互联网，进行在线测试，以及进行互联网语音通话(VoIP)。在无线局域网之上，该网络接入了多个更广的网络。通过北德州Gigapop(一个科研院所互助协会），该网络连接到Internet2教育科研网。此外该网络还通过德州大学电信系统办公室连接到另外一个商业网络。仅无线网络的平均吞吐量就超过50Mbps。

相对于有线以太网，无线网络对于安全的要求更高。因此，该校需要的是一个具有极好加密特性，又不会带来额外管理负担的网络系统。“我们正在寻找一个统一而安全的网络，不想增加工作人员来管理网络。”该校软件系统专家Bruce Nunn介绍说：“因为目前还没有专人负责无线网络安全，所以我们需要的网络系统，应尽可能多的重用现有的有线基础设施，特别是与验证相关的设施。”

学校最终选择了Meru系统，该系统支持WPA2企业版，可满足学校需求。WPA2可与远程认证拨号用户服务（RADIUS）验证系统互用，方便无线网络连接学校的轻量目录访问协议（LDAP）数据库。用户使用IEEE 802.1X进行身份验证，会自动获得一个加密性好的AES密钥。加密对用户和IT部门是完全透明的，而身份验证使用的是与有线网络相同的客户端和服务器端软件。

学校使用无线网络之后，出现了许多新的应用。其中之一便是来宾访问。来宾访问也带来了具体的安全问题。来宾不属于内部用户，因此不能通过RADIUS数据库验证，同时依然需要保证网络的安全。Nunn表示：“有了WPA2，访客可使用单独的SSID进行安全访问。他们无需进行IEEE

802.1X认证，但必须接受强制网络门户的网络使用政策，而且只能访问互联网。”

案例分析：Sharp HealthCare

保护多设备环境下的敏感病患数据

拥有1.1万名员工的综合区域卫生医疗系统Sharp HealthCare为美国圣迭戈县300多万居民提供各种卫生医疗设施与服务。为提高医疗质量，Sharp部署了Wi-Fi网络，覆盖7家医院和40家诊所，面积逾50平方英里。Sharp HealthCare无线环境的建立起初受三个因素驱动：

1. 移动小车上电子病历（EMR）系统的部署，用于获取病患收治数据、病史和化验结果

2. 新型创新移动应用，如配备Wi-Fi的静脉注射（IV）泵，远程保护患者用药

3. 从医院工作人员在医院各处医治患者时偏爱使用的手持装置的高效率中受益

WLAN必须支持同时保护无线连接、数据、核心网络和用户的多层安全解决方案。《健康保险携带和责任法》（HIPAA）中规定的美国政府患者保密新标准要求医院须保护患者病历及其它数据的无线传输。

Sharp与Aruba合作，采用了带AES的WPA2以及IEEE 802.1X和PEAP。Sharp HealthCare网络管理员Randy van Sickle表示：“对于卫生医疗提供者来说，保护患者数据，至关重要。对于Sharp HealthCare来说，WPA2是显而易见的选择。WPA2提供最佳安全性，且不会造成性能负担。”

Wi-Fi网络支持不同安全等级的多种应用，包括免费提供患者接入。为防止病毒和潜在的网络误用，连接开放有线端口的访客在通过强制门户接入网络之前，会被要求进行鉴权。然后根据接入政策，鉴权用户可访问某些资源，而非鉴权用户则仅限于接入互联网。一个SSID可支持唯一用户组，各用户组有不同的鉴权要求以及接入控制。为简化配置管理，多个VLAN可对应一个SSID，但用不同的政策规定各用户组的接入特权。

作为WLAN技术的早期采用者，Sharp支持很多Wi-Fi客户端，从笔记本电脑到极其精密的医疗设备，等等。这些设备不但包括笔记本电脑，还包括1200种无线静脉输注泵、药房使用的无线打印机、手持扫描仪、可对无法移动的患者进行x光扫描的移动放射装置以及与手持设备相连以便监控的训练机等。最近，Sharp启动了一项试验，通过中心站无线监控患者心率，并实时更新病历。

向WPA2的过渡平稳顺利，对用户透明，但需要与一些厂商进行协调。一开始，Sharp就将所有接入点升级到了WPA2。到2010年，Sharp预计将使所有无线设备都支持WPA2。在新设备支持WPA2的同时，Sharp还须继续支持已经投入使用的老设备。van Sickle补充道：“WPA2是基于标准的解决方案，这个事实至关重要，因为在医疗设备厂商也在相同时间向WPA2过渡的过程中，这使Sharp容易与他们进行软件升级协调。”

缩略语

3G

AAA

AES

ATL

CCMP

CWG-RF

EAP

EAP-AKA

EAP-FAST

EAP-GTC

EAP-SIM

EAP-TLS

EAP-TTLS

FIPS

GSM

IEEE

IETF

LDAP

MAC

MSCHAPv2

第三代网络标准

NFC

鉴权、授权和记账

PBC

高级加密标准

PEAP

授权测试实验室

PIN

密码块链信息认证码协议

PMK

融合无线组无线电频率

PSK

可扩展认证协议

PTK

EAP认证和密钥协议

RADIUS

EAP-通过安全隧道灵活鉴权

RC4

EAP -通用令牌卡

SIM

EAP -用户识别模块

SSID

EAP -传输层安全

TKIP

EAP -隧道TLS

UMTS

联邦信息处理标准

VoIP

全球移动通信系统

VPN

美国电气和电子工程师协会

WLAN

互联网工程任务组

WMM

®

轻量级目录访问协议

WPA

®

媒体访问控制[层]

WPA2

®

微软质询握手身份验证协议版本2

© 2009 Wi-Fi Alliance. 版权所有

近场通信

按钮配置

受保护的EAP

个人识别号码

成对主密钥

预共享密钥

成对瞬时密钥

远程认证拨号用户服务

Rivest密码法4

用户识别模块

服务区标识符

临时密钥完整性协议

通用移动通信系统

互联网语音协议

虚拟专用网

无线局域网

Wi-Fi多媒体™

Wi-Fi受保护访问

®

Wi-Fi受保护访问2

®

17 of 18

关于Wi - Fi Alliance

Wi-Fi Alliance是一家国际非营利性行业协会，拥有数百家成员公司，共同致力于推动无线局域网（WLAN）的增长。Wi-Fi Alliance在技术开发、市场建设以及管理项目方面的不懈努力，促进了Wi-Fi在全球的应用。

Wi-Fi CERTIFIED™项目始于2000年3月。该项目提供的可互操作性和质量标准得到广泛认可，可帮助Wi-Fi产品实现最佳用户体验。迄今为止，已经有超过6000种产品获得了Wi-Fi

CERTIFIED™指定认证标志，有力地拓展了Wi-Fi产品和服务在各个新兴和成熟市场的应用范围。

欲了解更多Wi-Fi安全及Wi-Fi Alliance认证项目的信息及下载白皮书，请访问

© 2009年 Wi - Fi Alliance

版权所有。Wi - Fi ®、Wi - Fi Alliance®、WMM ®和Wi

- Fi Protected Access（WPA/WPA2）®、Wi - Fi CERTIFIED标志、Wi - Fi标志以及Wi - Fi Zone标志均为Wi-Fi Alliance注册商标； Wi-Fi CERTIFIED™和 Wi-Fi Protected Setup™、Wi - Fi Multimedia™及Wi - Fi Alliance标志均为Wi-Fi Alliance商标

© 2009 Wi-Fi Alliance. 版权所有

18 of 18