wep協議加密示意圖

Ⅰ 無線網路加密協議WEP和WAP/WAP2有什麼不同

區別如下：

一、WPA 全名為 Wi-Fi Protected Access,有WPA 和 WPA2兩個標准，是一種保護無線電腦網路（Wi-Fi）安全的系統，它是應研究者在前一代的系統有線等效加密（WEP）中找到的幾個嚴重的弱點而產生 的。WPA 實作了 IEEE 802.11i 標準的大部分，是在 802.11i 完備之前替代 WEP 的過渡方案。WPA 的設計可以用在所有的無線網卡上，但未必能用在第一代的無線取用點上。WPA2 實作了完整的標准，但不能用在某些古老的網卡上。這兩個都提供優良的保全能力，但也都有兩個明顯的問題：

1. WPA或WPA2 一定要啟動並且被選來代替 WEP 才有用，但是大部分的安裝指引都把 WEP 列為第一選擇。
   

2. 在使用家中和小型辦公室最可能選用的"個人"模式時，為了保全的完整性，所需的密語一定要比已經教用戶設定的六到八個字元的密碼還長。

二、WEP:有線等效加密（Wired Equivalent Privacy），又稱無線加密協議（Wireless Encryption Protocol），簡稱WEP,是個保護無線網路（Wi-Fi）信息安全的體制。因為無線網路是用無線電把訊息傳播出去，它特別容易被竊聽。WEP 的設計是要提供和傳統有線的區域網路相當的機密性，而依此命名的。不過密碼分析學家已經找出 WEP 好幾個弱點，因此在2003年被 Wi-Fi Protected Access （WPA） 淘汰，又在2004年由完整的 IEEE 802.11i 標准（又稱為 WPA2）所取代。

Ⅱ 解決有分！wep,wpa這些都是什麼附圖

WEP WPA/WPA2 WPA-PSK/WPA2-PSK的相互關系 在無線區域網中，移動終端和AP採用靜態WEP加密，AP和它所聯系的所有移動終端都使用相同的加密密鑰，這便帶來如下問題：一旦其中一個用戶的密鑰泄漏，其他用戶的密鑰也無法保密了。為了改善WEP的這些安全性缺陷，Wi-Fi聯盟提出一種新的方法——WPA，用以改善網路的安全性。WPA的出現給用戶暫時提供了一個完整的認證機制。 在802.11中有一個對數據基於共享密鑰的加密機制，稱為「有線對等保密WEP」(Wired Equivalent Privacy)的技術, WEP/WEP2是一種基於RC4演算法的40bit、128bit、256bit加密技術。移動終端和AP採用靜態WEP加密。AP和它所聯系的所有移動終端都使用相同的加密密鑰，因此帶來如下問題： 一旦其中一個用戶的密鑰泄漏，其他用戶的密鑰也無法保密了。 為了改善WEP的這些安全性缺陷，0rVzxUQSXeZ,$fP@Wi -Fi聯盟提出一種新的方法——WPA，用以改善網路的安全性。WPA的出現給用戶提供了一個完整的認證機制，AP根據用戶的認證結果決定是否允許其接入無線網路中；認證成功後可以根據多種方式（傳輸數據包的多少、用戶接入網路的時間等）動態地改變每個接入用戶的加密密鑰。另外，對用戶在無線中傳輸的數據包進行MIC編碼，確保用戶數據不會被其他用戶更改。作為802.11i標準的子集，WPA的核心就是IEEE802.1x和TKIP（Temporal Key Integrity Protocol）。 圖1所示為WEP到WPA的轉變內容。 三大部分組成WPA WPA系統一般由三部分構成，即用戶認證、密鑰管理、數據完整性保證。 1．認證 WEP是數據加密演算法，它不完全等同於用戶的認證機制，WPA用戶認證是使用802.1x和擴展認證協議(Extensible Authentication Protocol，EAP)來實現的。 WPA考慮到不同的用戶和不同的應用安全需要，例如：企業用戶需要很高的安全保護（企業級），否則可能會泄露非常重要的商業機密；而家庭用戶往往只是使用網路來瀏覽 Internet、收發E-mail、列印和共享文件，這些用戶對安全的要求相對較低。為了滿足不同安全要求用戶的需要，WPA中規定了兩種應用模式。 ● 企業模式：通過使用認證伺服器和復雜的安全認證機制，來保護無線網路通信安全。 ● 家庭模式（包括小型辦公室）：在AP（或者無線路由器）以及連接無線網路的無線終端上輸入共享密鑰，以保護無線鏈路的通信安全。 根據這兩種不同的應用模式，WPA的認證也分別有兩種不同的方式。對於大型企業的應用，常採用「802.1x+ EAP」的方式，用戶提供認證所需的憑證。但對於一些中小型的企業網路或者家庭用戶，WPA也提供一種簡化的模式，它不需要專門的認證伺服器。這種模式叫做「WPA預共享密鑰(WPA-PSK)」，它僅要求在每個WLAN節點(AP、無線路由器、網卡等)預先輸入一個密鑰即可實現。 這個密鑰僅僅用於認證過程，而不用於傳輸數據的加密。數據加密的密鑰是在認證成功後動態生成，系統將保證「一戶一密」，不存在像WEP那樣全網共享一個加密密鑰的情形，因此大大地提高了系統的安全性。 2．加密 WPA使用RC4進行數據加密，國G件(]Kg件cC8;f@pX\)59up9u8b["1ho用臨時密鑰完整性協議（TKIP）進行密鑰管理和更新。TKIP通過由認證伺服器動態生成分發的密鑰來取代單個靜態密鑰、把密鑰首部長度從24位增加到48位等方法增強安全性。而且，m'q\^`&T3件:eYTKIP利用了802.1x/EAP構架。認證伺服器在接受了用戶身份後，使用802.1x產生一個惟一的主密鑰處理會話。 然後，TKIP把這個密鑰通過安全通道分發到AP和客戶端，並建立起一個密鑰構架和管理系統，使用主密鑰為用戶會話動態產生一個惟一的數據加密密鑰，來加密每一個無線通信數據報文。TKIP的密鑰構架使WEP單一的靜態密鑰變成了500萬億個可用密鑰。雖然WPA採用的還是和WEP一樣的RC4加密演算法，但其動態密鑰的特性很難被攻破。 3．保持數據完整性 TKIP在每一個明文消息末端都包含了一個信息完整性編碼（MIC），?s0t"網中c無Xw$r件u"來確保信息不會被「哄騙」。MIC是為了防止攻擊者從中間截獲數據報文、篡改後重發而設置的。除了和802.11一樣繼續保留對每個數據分段(MPDU)進行CRC校驗外，WPA為802.11的每個數據分組(MSDU)都增加了一個8個位元組的消息完整性校驗值，這和802.11對每個數據分段(MPDU) 進行ICV校驗的目的不同。 ICV的目的是為了保證數據在傳輸途中不會因為雜訊等物理因素導致報文出錯，因此採用相對簡單高效的CRC演算法，但是黑客可以通過修改ICV值來使之和被篡改過的報文相吻合，可以說沒有任何安全的功能。 而WPA中的MIC則是為了防止黑客的篡改而定製的，它採用Michael演算法，具有很高的安全特性。當MIC發生錯誤時，數據很可能已經被篡改，系統很可能正在受到攻擊。此時，WPA會採取一系列的對策，比如立刻更換組密鑰、暫停活動60秒等，來阻止黑客的攻擊。 WPA如何進行安全認證 WPA是如何對無線區域網進行安全認證的呢？ ● 客戶端STA(Supplicant)利用WLAN無線模塊關聯一個無線接入點（AP/Authenticator）； ● 在客戶端通過身份認證之前，AP對該STA的數據埠是關閉的，只允許STA的EAP認證消息通過，所以STA在通過認證之前是無法訪問網路的； ● 客戶端STA利用EAP（如MD5/TLS/MSCHAP2等）協議，wnee]*=_q%AD_通過AP的非受控埠向認證伺服器提交身份憑證，認證伺服器負責對STA進行身份驗證； ● 如果STA未通過認證，客戶端將一直被阻止訪問網路；如果認證成功，則認證伺服器（Authentication Server）通知AP向該STA打開受控埠，N,}ox^15_IFF繼續以下流程； ● 身份認證伺服器利用TKIP協議自動將主配對密鑰分發給AP和客戶端STA，主配對密鑰基於每用戶、每個802.1x的認證進程是惟一的； ● STA與AP再利用主配對密鑰動態生成基於每數據包惟一的數據加密密鑰； ● 利用該密鑰對STA與AP之間的數據流進行加密，f育d絡cl@,I.zn就好象在兩者之間建立了一條加密隧道，保證了空中數據傳輸的高安全性； STA與AP之間的數據傳輸還可以利用MIC進行消息完整性檢查，從而有效抵禦消息篡改攻擊。 WPA存在的問題 WPA只是在802.11i正式推出之前的Wi-Fi企業聯盟的安全標准，!垠網;2yA0lgu[業B*!:8 由於它仍然是採用比較薄弱的RC4加密演算法，所以黑客只要監聽到足夠的數據包，藉助強大的計算設備，即使在TKIP的保護下，同樣可能破解網路。因此，WPA是無線區域網安全領域的一個過客。 今年6月，IEEE標准委員會終於通過了期待已久的最新無線區域網安全標准—802.11i，該標准通過使用CCM （Counter-Mode/CBC-MAC）認證方式和AES（Advanced Encryption Standard）加密演算法，更進一步加強了無線區域網的安全和對用戶信息的保護。

Ⅲ WEP是什麼

WEP協議

說明：全稱Wired Equivalent Protocol（有線等效協議），是為了保證802.11b協議數據傳輸的安全性而推出的安全協議，該協議可以通過對傳輸的數據進行加密，這樣可以保證無線區域網中數據傳輸的安全性。目前，在市場上一般的無線網路產品支持64/128甚至256位WEP加密，未來還會慢慢普及WEP的改進版本——WEP2。

應用：在無線區域網中，要使用WEP協議，如果使用了無線AP首先要啟用WEP功能，並記下密鑰，然後在每個無線客戶端啟用WEP，並輸入該密鑰，這樣就可以保證安全連接。在無線客戶端啟用的方法如下： 比如在Windows XP中，首先，右鍵單擊任務欄無線網路連接圖標，選擇「查看可用的無線連接」，在打開的窗口中單擊「高級」按鈕；接著，在打開的屬性窗口中選擇「無線網路配置」選項卡，在「首選網路」中選擇搜索到的無線網路連接，單擊「屬性」按鈕。然後，在打開的屬性窗口中選中「數據加密（WEP啟用）」（如圖），去掉「自動為我提供此密鑰」，在「網路密鑰」中輸入在無線AP中創建的一個密鑰。最後，連續單擊兩次「確定」按鈕即可。

這是路由器的加密方法，WEP相對來說沒有WAP的加密方法精密，WEP的加密比較容易破解，WAP的加密不容易破解。請及時採納O(∩_∩)O謝謝

Ⅳ WEP wpa/wpa2 wpa-psk/wpa2-psk 三種加密方式有何區別，細節講一下

加密程度不同，也就是安全性不同，三個安全性的排序為：WEP<WPA<WPA。

Ⅳ 無線路由器中 WEP wpa wpa2 這三種加密方式有什麼區別

區別：

1、加密技術

WEP：RC4的RSA數據加密技術

WPA：RC4的RSA數據加密技術

WPA2：AES加密演算法

2、安全性

WEP：使用一個靜態的密鑰來加密所有的通信，那麼如果網管人員想更新密鑰，就得親自訪問每台主機

WPA：與之前WEP的靜態密鑰不同，WPA需要不斷的轉換密鑰。WPA採用有效的密鑰分發機制

WPA2：實現了802.11i的強制性元素，特別是Michael演算法被公認徹底安全的CCMP(計數器模式密碼塊鏈消息完整碼協議)訊息認證碼所取代

(5)wep協議加密示意圖擴展閱讀

無線網路中已存在好幾種加密技術，由於安全性能的不同，無線設備的不同技術支持，支持的加密技術也不同， 一般常見的有：WEP、WPA/WPA2、WPA-PSK/WPA2-PSK

在802.11i頒布之後，Wi-Fi聯盟推出了WPA2，它支持AES(高級加密演算法)，因此它需要新的硬體支持，它使用CCMP(計數器模式密碼塊鏈消息完整碼協議)。

在WPA/WPA2中，PTK的生成依賴PMK，而PMK獲的有兩種方式，一個是PSK的形式就是預共享密鑰，在這種方式中PMK=PSK，而另一種方式中，需要認證伺服器和站點進行協商來產生PMK。

Ⅵ WEP加密是什麼意思WEP是什麼意思

WEP（有線等效加密）

盡管從名字上看似乎是一個針對有線網路的安全選項，其實並不是這樣。WEP標准在無線網路的早期已經創建，目標是成為無線區域網WLAN的必要的安全防護層，但是WEP的表現無疑令人非常失望。它的根源在於設計上存在缺陷。

在使用WEP的系統中，在無線網路中傳輸的數據是使用一個隨機產生的密鑰來加密的。但是，WEP用來產生這些密鑰的方法很快就被發現具有可預測性，這樣對於潛在的入侵者來說，就可以很容易的截取和破解這些密鑰。即使是一個中等技術水平的無線黑客也可以在兩到三分鍾內迅速的破解WEP加密。

IEEE 802.11的動態有線等效保密(WEP)模式是二十世紀九十年代後期設計的，當時功能強大的加密技術作為有效的武器受到美國嚴格的出口限制。由於害怕強大的加密演算法被破解，無線網路產品是被被禁止出口的。然而，僅僅兩年以後，動態有線等效保密模式就被發現存在嚴重的缺點。但是二十世紀九十年代的錯誤不應該被當著無線網路安全或者IEEE 802.11標准本身，無線網路產業不能等待電氣電子工程師協會修訂標准，因此他們推出了動態密鑰完整性協議TKIP(動態有線等效保密的補丁版本)。

盡管WEP已經被證明是過時且低效的，但是今天在許多現代的無線訪問點和路由器中，它依然被支持。不僅如此，它依然是被個人或公司所使用的最多的加密方法之一。如果你正在使用WEP加密，如果你對你的網路的安全性非常重視的話，那麼以後盡可能的不要再使用WEP，因為那真的不是很安全。

WPA-PSK（TKIP）

無線網路最初採用的安全機制是WEP(有線等效私密)，但是後來發現WEP是很不安全的，802.11組織開始著手制定新的安全標准，也就是後來的802.11i協議。但是標準的制定到最後的發布需要較長的時間，而且考慮到消費者不會因為為了網路的安全性而放棄原來的無線設備，因此Wi-Fi聯盟在標准推出之前，在802.11i草案的基礎上，制定了一種稱為WPA(Wi-Fi Procted Access)的安全機制，它使用TKIP(臨時密鑰完整性協議)，它使用的加密演算法還是WEP中使用的加密演算法RC4，所以不需要修改原來無線設備的硬體，WPA針對WEP中存在的問題：IV過短、密鑰管理過於簡單、對消息完整性沒有有效的保護，通過軟體升級的方法提高網路的安全性。

WPA的出現給用戶提供了一個完整的認證機制，AP根據用戶的認證結果決定是否允許其接入無線網路中；認證成功後可以根據多種方式（傳輸數據包的多少、用戶接入網路的時間等）動態地改變每個接入用戶的加密密鑰。另外，對用戶在無線中傳輸的數據包進行MIC編碼，確保用戶數據不會被其他用戶更改。作為802.11i標準的子集，WPA的核心就是IEEE802.1x和TKIP（Temporal Key Integrity Protocol）。

WPA考慮到不同的用戶和不同的應用安全需要，例如：企業用戶需要很高的安全保護（企業級），否則可能會泄露非常重要的商業機密；而家庭用戶往往只是使用網路來瀏覽 Internet、收發E-mail、列印和共享文件，這些用戶對安全的要求相對較低。為了滿足不同安全要求用戶的需要，WPA中規定了兩種應用模式：企業模式，家庭模式（包括小型辦公室）。

根據這兩種不同的應用模式，WPA的認證也分別有兩種不同的方式。對於大型企業的應用，常採用「802.1x+ EAP」的方式，用戶提供認證所需的憑證。但對於一些中小型的企業網路或者家庭用戶，WPA也提供一種簡化的模式，它不需要專門的認證伺服器。這種模式叫做「WPA預共享密鑰(WPA-PSK)」，它僅要求在每個WLAN節點(AP、無線路由器、網卡等)預先輸入一個密鑰即可實現。

這個密鑰僅僅用於認證過程，而不用於傳輸數據的加密。數據加密的密鑰是在認證成功後動態生成，系統將保證「一戶一密」，不存在像WEP那樣全網共享一個加密密鑰的情形，因此大大地提高了系統的安全性。

WPA2-PSK（AES）

在802.11i頒布之後，Wi-Fi聯盟推出了WPA2，它支持AES(高級加密演算法)，因此它需要新的硬體支持，它使用CCMP(計數器模式密碼塊鏈消息完整碼協議)。在WPA/WPA2中，PTK的生成依賴PMK，而PMK獲的有兩種方式，一個是PSK的形式就是預共享密鑰，在這種方式中PMK=PSK，而另一種方式中，需要認證伺服器和站點進行協商來產生PMK。

IEEE 802.11所制定的是技術性標准,Wi-Fi聯盟所制定的是商業化標准,而Wi-Fi所制定的商業化標准基本上也都符合IEEE所制定的技術性標准。WPA(Wi-Fi Protected Access)事實上就是由Wi-Fi聯盟所制定的安全性標准,這個商業化標准存在的目的就是為了要支持IEEE 802.11i這個以技術為導向的安全性標准。而WPA2其實就是WPA的第二個版本。WPA之所以會出現兩個版本的原因就在於Wi-Fi聯盟的商業化運作。

我們知道802.11i這個任務小組成立的目的就是為了打造一個更安全的無線區域網,所以在加密項目里規范了兩個新的安全加密協定–TKIP與CCMP(有些無線網路設備中會以AES、AES-CCMP的字眼來取代CCMP)。其中TKIP雖然針對WEP的弱點作了重大的改良,但保留了RC4演演算法和基本架構,言下之意,TKIP亦存在著RC4本身所隱含的弱點。因而802.11i再打造一個全新、安全性更強、更適合應用在無線區域網環境的加密協定-CCMP。所以在CCMP就緒之前,TKIP就已經完成了。

但是要等到CCMP完成,再發布完整的IEEE 802.11i標准,可能尚需一段時日,而Wi-Fi聯盟為了要使得新的安全性標准能夠盡快被布署,以消弭使用者對無線區域網安全性的疑慮,進而讓無線區域網的市場可以迅速擴展開來,因而使用已經完成TKIP的IEEE 802.11i第三版草案(IEEE 802.11i draft 3)為基準,制定了WPA。而於IEEE完成並公布IEEE 802.11i無線區域網安全標准後,Wi-Fi聯盟也隨即公布了WPA第2版(WPA2)。

WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(選擇性項目)/TKIP

WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(選擇性項目)/TKIP/CCMP

還有最後一種加密模式就是WPA-PSK（TKIP）+WPA2-PSK（AES），這是目前無線路由里最高的加密模式，目前這種加密模式因為兼容性的問題，還沒有被很多用戶所使用。目前最廣為使用的就是WPA-PSK（TKIP）和WPA2-PSK（AES）兩種加密模式。相信在經過加密之後的無線網路，一定能夠讓我們的用戶安心放心的上網沖浪。

Ⅶ 無線網路協議的WEP協議

WEP協議全稱Wired Equivalent Protocol（有線等效協議）,是為了保證802.11b協議數據傳輸的安全性而推出的安全協議,該協議可以通過對傳輸的數據進行加密,這樣可以保證無線區域網中數據傳輸的安全性.目前,在市場上一般的無線網路產品支持64/128甚至256位WEP加密,未來還會慢慢普及WEP的改進版本——WEP2.
應用:在無線區域網中,要使用WEP協議,如果使用了無線AP首先要啟用WEP功能,並記下密鑰,然後在每個無線客戶端啟用WEP,並輸入該密鑰,這樣就可以保證安全連接.在無線客戶端啟用的方法如下:比如在Windows XP中,首先,右鍵單擊任務欄無線網路連接圖標,選擇查看可用的無線連接,在打開的窗口中單擊高級按鈕;接著,在打開的屬性窗口中選擇無線網路配置選項卡,在首選網路中選擇搜索到的無線網路連接,單擊屬性按鈕.然後,在打開的屬性窗口中選中數據加密（WEP啟用）（如圖）,去掉自動為我提供此密鑰,在網路密鑰中輸入在無線AP中創建的一個密鑰.最後,連續單擊兩次確定按鈕即可.

Ⅷ 高分求解tp-link的問題

無線網安全與防範實用手冊
(《天極網》特約作者 高飛)

如今，基於IEEE 802.11a/b/g的無線區域網(WLAN)和CDMA/GPRS/WAP的無線電話網路已被廣泛應用。不過，在無線網路發展的同時，它的安全問題也慢慢顯現出來。本文將分析無線網路中存在的安全問題，並提出相應的防範措施，最大程度保證無線網路的使用安全。
一、無線網路的安全機制
雖然無線網路存在眾多的安全隱患、安全漏洞，但其本身還是採取了眾多安全機制，例如，WLAN使用的WEP加密、WPA加密、IEEE 802.1x驗證等，以及未來將要應用和可能應用的IEEE 802.11i標准、WPAI等。下面，我們將著重介紹基於無線區域網的安全機制。
1.傳統安全機制——SSID、MAC
傳統意義上，無線區域網使用的安全機制主要包括SSID和MAC兩種：
(1)SSID機制
SSID(Service Set Identifier)即服務設置標識，也稱ESSID，表示的是無線AP(Access Point)或無線路由器的標識字元，無線客戶端只有輸入正確的SSID值(一般最多有32個字元組成，例如，wireless)才能訪問該無線AP或無線路由器。通過SSID技術可以區分不同的無線區域網。它相當於一個簡單的口令，保證無線區域網的安全。
(2)MAC機制
MAC(Media Access Control)即媒體訪問控制，一般稱為物理地址過濾。因為每一個無線網卡都有唯一的物理地址，通過MAC技術可以在無線區域網中為無線AP或無線路由器設置一個許可接入的用戶的MAC地址列表，如果接入的無線網卡的MAC地址不在該列表中，無線AP或無線路由器將拒絕其接入，以實現物理地址過濾，並保證無線區域網的安全。在無線區域網中，MAC地址過濾屬於硬體認證，而不是用戶認證。
2.老當益壯——IEEE 802.11中的安全技術
隨著無線區域網IEEE 802.11b/g標準的風行，IEEE 802.11系列標准採用的安全技術也慢慢被大家所熟知，其中主要包括用戶認證、加密等幾種技術。
(1)用戶認證技術
在無線網路環境中，要保證網路的安全，必須對用戶的身份進行驗證。在IEEE 802.11系列標准中，對用戶進行認證的技術包括3種：
開放系統認證(Open System Authentication)。該認證是IEEE 802.11默認認證，允許任何用戶接入到無線網路中去，實際上根本沒有提供對數據的保護。
封閉系統認證(Closed System Authentication)。該認證與開放系統認證相反，通過網路設置可以保證無線網路的安全，例如，關閉SSID廣播等。
共享密鑰認證(Shared Key Authentication)。該認證是基於WEP的共享密鑰認證，它事先假定一個站點通過一個獨立於802.11網路的安全信道，已經接收到目標站點的一個WEP加密的認證幀，然後該站點將該幀通過WEP加密向目標站點發送。目標站點在接收到之後，利用相同的WEP密鑰進行解密，然後進行認證。
(2)加密技術
在IEEE 802.11b/g標准中，主要使用的加密技術就是WEP。WEP(Wired Equivalent Protocol，有線等效協議)屬於IEEE 802.11b標準的一個部分，它是一種對稱加密，加密和解密的密鑰以及演算法相同，採用RC4加密演算法，24位初始化向量。通過WEP加密可以保證在無線網路環境中傳輸的數據的安全性，以防止第三者竊取數據內容。
提示：RC4是1987年提出的加密演算法，作為一種分組密碼體系，被廣泛使用於計算機保密通信領域。

從網路上更新此圖片

WEP加密示意

理論上，WEP協議標准只建議進行40位加密。不過，目前市場上的無線區域網產品一般都支持64/128位WEP加密，部分產品支持256位WEP加密。
3.新一代安全標准——IEEE 802.11i
為了彌補無線區域網自身存在的缺陷，在2004年6月24日，IEEE標准委員會正式批准了新一代的Wi-Fi安全標准——IEEE 802.11i。IEEE 802.11i標准規定使用了IEEE 802.1x認證和密鑰管理方式，在數據加密方面，定義了TKIP、CCMP和WRAP三種加密機制。
(1)IEEE 802.1x標准
IEEE 802.1x是基於埠的網路訪問控制的標准，它可以提供對IEEE 802.11無線網路和對有線區域網驗證的網路訪問許可權。例如，當無線客戶端(要求安裝IEEE 802.1x客戶端軟體)與無線AP連接後，無線AP會使用標準的安全協議(例如，Radius等)對無線客戶端進行認證，通過認證後將打開邏輯埠，允許使用AP的服務，例如，共享上網。如果驗證沒有通過，將不允許享受AP服務。
目前，Windows 2000/XP等操作系統都已經提供了IEEE 802.1x的客戶端功能。
(2)TKIP技術
TKIP(Temporal Key Integrity Protocol，臨時密鑰完整性協議)是一種過渡的加密技術，與WEP一樣，採用RC4加密演算法。不同的是，TKIP將WEP密鑰的長度從40位加長到128位，初始化向量(Initialization Vector，IV)的長度從24位加長到48位，這樣就提高了密碼破解難度。
(3)CCMP技術
CCMP(Counter-Mode/CBC-MAC Protocol，計數模式/密碼塊鏈接消息鑒別編碼協議)是基於AES(Advanced Encryption Standard，高級加密標准)加密演算法和CCM(Counter-Mode/CBC-MAC，計數模式/密碼塊鏈接消息鑒別編碼)認證方式的一種加密技術，具有分組序號的初始向量，採用128位加密演算法，使得WLAN的安全程度大大提高。
(4)WRAP技術
WRAP(Wireless Robust Authenticated Protocol，無線鑒別協議)是基於AES加密演算法和OCB(Offset Codebook，偏移電報密碼本)認證方式的一種可選的加密機制，和CCMP一樣採用128位加密演算法。
(5)WPA、WPA2協議
WPA(Wi-Fi Protected Access，Wi-Fi保護訪問)是一種基於標準的可互操作的無線區域網安全性協議，可以保證無線區域網數據的安全，只有授權用戶才可以訪問該網路。其核心使用IEEE 802.1x和TKIP來實現對無線區域網的訪問控制、密鑰管理與數據加密。

從網路上更新此圖片

WPA加密示意

WPA與WEP一樣採用基於RC4加密演算法，不過它引入了擴展的48位初始化向量和順序規則、每包密鑰構建機制、Michael消息完整性代碼、密鑰重新獲取和分發機制等新演算法。
為了進一步提高無線區域網的安全性，Wi-Fi聯盟還進行了WPA2的認證，WPA2認證的目的在於支持IEEE 802.11i標准，以此代替WEP、IEEE 802.11標準的其他安全功能、WPA產品尚不包括的安全功能。該認證引入了AES加密演算法，首次將128位高級加密標准應用於無線區域網，同時也支持RC4加密演算法。目前，包括有3Com、思科等公司的產品提供了對WPA2的支持。
4.國產WLAN安全標准——WAPI
除了國際上的IEEE 802.11i和WPA安全標准外，我國在2003年5月也發布了無線區域網國家標准GB15629.11，該標准中提出了全新的WAPI安全機制。WAPI即WLAN Authentic
ation and Privacy Infrastructure，WLAN鑒別與保密基礎架構。
WAPI由WAI和WPI兩個部分組成：WAI(WLAN Authenti
-cation Infrastructure，WLAN鑒別基礎架構)可以實現對用戶身份的鑒別，採用公開密鑰體制，利用證書來對無線區域網中的用戶進行驗證；WPI(WLAN Privacy Infrastructure，WLAN保密基礎架構)可以採用對稱密碼演算法實現對MAC層MSDU進行加、解密操作，以保證傳輸數據的安全。
但是，WAPI標准不能與Wi-Fi聯盟制訂的主流WEP及WPA兼容，該標准自發布以來就被爭議所包圍。目前，WAPI標准還處在與美國的IEEE 802.11i標準的調解階段，未來兩種針對無線區域網的安全標准可能會「合並」，但是談判之路較曲折。
二、信號干擾與設備擺放
眾所周知，無線區域網信號的傳輸介質是空氣，所以無線信號很容易受到大氣噪音、環境和其他發射設備的信號干擾，尤其是附近的無線網路設備、無線電波設備的干擾，例如，家用微波爐、無繩電話等。那麼，在使用無線區域網時具體會受到那些信號干擾呢？我們該如何避免呢？
1.信號干擾
無線區域網所受到的信號干擾主要表現在兩個方面：
(1)附近設備干擾
目前，我們使用的無線區域網採用的是ISM(工業、科學、醫學)無線頻段，其中常用的IEEE 802.11b/g標准使用的是2.4GHz工作頻率(IEEE 802.11a標准使用5.8GHz工作頻率)，與微波爐、藍牙設備、無繩電話等設備使用相同工作頻率。
因此，在使用無線區域網時容易受到這些無線設備的射頻干擾，例如，在靠近無線網路設備的地方使用微波爐，使用的是S段(頻率為2.4～2.5GHz)，那麼無線區域網的信號將受到嚴重干擾，而出現信號延遲、信號時斷時續或者乾脆中斷等情況。
除了微波爐外，無繩電話、藍牙手機、復印機、防盜裝置、等離子燈泡等也會產生干擾。
(2)同類設備干擾
同類設備的干擾主要來自於附近，例如，同樓層、相鄰建築物的無線AP或無線路由器的干擾。
隨著，無線區域網的發展，目前很多家庭、公司等都安裝了無線基站，如果在無線信號覆蓋范圍內的無線AP或無線路由器使用相同的信道，例如，一個是IEEE 802.11b無線網路(使用6信道)、另一個是IEEE 802.11g無線網路(同樣使用6信道)，那麼可能會產生網路速度下降、信號不穩定等情況。
2.設備擺放
為了避免無線電波、網路設備對無線區域網的信號干擾，以及為了獲得更好的無線網路信號。在擺放無線AP或無線路由器、調整無線網卡天線方向以及無線天線時需遵循如下原則：
(1)居中原則
在無線區域網中，無線AP或無線路由器處在各無線客戶端居中的位置是獲得最佳信號覆蓋效果的位置。即以無線AP或無線路由器為中心，進行無線信號的發射。例如，在家居中，建議將無線AP或無線路由器放置在幾個房間的交匯口處，最好是高處，並將無線網卡的天線調整到最佳位置。這樣，還可以避免無線信號的「死角」。
(2)避讓原則
前文中我們介紹了，微波爐、無繩電話、藍牙手機等設備會對無線區域網的信號產生干擾，那麼在擺放無線AP或無線路由器時一定要注意避開這些設備。例如，5米范圍內避免有微波爐、無繩電話等。
另外，室內的牆壁、門(尤其是金屬門)、金屬障礙物等，對無線信號的影響非常大。因為無線區域網採用的是無線微波頻段，微波是近乎直線的傳播，繞射能力非常弱(也就是我們常說的「穿牆」能力)，因此在障礙物後面的無線接收設備只能接收到微弱的信號。
因此，在放置無線設備時，要盡量避免無線接收設備之間的障礙物。另外，在放置無線AP或無線路由器時，最好放置在天花板、牆壁等高處，這樣便於信號向下輻射，減少障礙物的阻攔。
(3)可視原則
在擺放無線網路設備時，無線AP(或無線路由器)與無線客戶端之間最好可見，而且盡量少地穿越牆壁、障礙物以及其他無線設備，這樣可以保證獲得最強的信號。
3.信道沖突對策
前文中我們介紹了，如果相鄰的或同樓層的無線區域網使用了相同或相近的信道，那麼在無線AP覆蓋范圍內可能會出現信道沖突。
我們知道，IEEE 802.11b/g標准規定工作頻率在2.4～2.4835GHz，傳輸速率分別為11Mbps、54Mbps，這些頻率又被分成11或13個信道。IEEE 802.11b/g標准只支持3個不重疊的傳輸信道，只有信道1、6、11或13是不沖突的。不過，使用信道3的設備會干擾信道1和信道6的設備，使用信道9的設備會干擾信道6和信道13的設備。
提示：IEEE 802.11a標准工作頻率為5GHz，有12個不重疊的傳輸信道，傳輸速率范圍為6～54Mbps，不過，IEEE 802.11a標准與IEEE 802.11b/g標准不兼容。
要解決信道沖突的問題，可以手工來修改信道值，以避免信道沖突。以TP-LINK TL-WR245 1.0無線路由器為例(下面的所有操作均以該產品為例)，具體的設置步驟如下：
首先，使用網頁瀏覽器輸入無線路由器管理頁面的地址，例如，192.168.1.1，輸入用戶名(默認為空)和密碼(默認為admin)。在打開的管理頁面右側的頁面中可以看到「頻道」設置選項，可以將其修改成1、6、11或13。最後單擊「應用」按鈕即可。
三、非法接入與防範措施
由於無線區域網自身的特點，它的無線信號很容易被發現。入侵者只需要給電腦安裝無線網卡以及無線天線就可以搜索到附近的無線區域網，獲取SSID、信道、是否加密等信息，例如，常用的Windows XP就可以自動搜索附近的無線網路。很多家用無線區域網一般不會進行相應的安全設置，很容易接入他人的無線網路。如果被非法入侵者利用，將會對搜索到的網路發起攻擊。
為了避免來自附近的非法入侵，我們可採取如下防範措施：
1.更改管理密碼
不管是無線AP、無線路由器還是其他可管理的網路設備，在出廠時都預設了管理密碼和用戶名，例如，用戶名為「admin」或空等，管理密碼為「admin」、「administrator」等，這些密碼都可以在產品說明書中找到。為了防止非法入侵者使用預設的用戶名和密碼登錄，建議更改無線AP或無線路由器的管理密碼。
首先，打開管理頁面，輸入預設的用戶名和密碼。在打開的管理頁面左側單擊「管理設置」區域中的「設備管理」選項。然後在右側的窗口中，在「管理員密碼」框中輸入新密碼和確認密碼(建議使用至少8位的密碼並夾雜特殊字元)。最後單擊「應用」按鈕即可。
技巧：如果忘記了無線AP或無線路由器的管理密碼，可以使用鉛筆等工具頂住設備面板上的「Reset」按鈕大約5秒鍾，這樣將恢復設備的默認用戶名、密碼設置。
2.更改SSID值
通常情況下 ，無線AP和無線路由器在出廠時為了使用方便，預設狀態為開放系統認證，也就是說任何使用者只要安裝了無線網卡就可以搜索到附近的無線網路並建立連接。而且，各廠家給無線AP和無線路由器都預設了SSID值。例如，Cisco的產品為「tsunami」、TP-Link的為「Wireless」、D-Link的為「Default」、Linksys的為「linksys」等。
為了防止他人連接你的無線網路，建議修改預設的SSID值。打開無線路由器的管理頁面，在左側單擊「基本設置」選項，然後在右側頁面的「SSID」區域中更改名稱。例如「officewlan」。最後單擊「應用」按鈕即可。
3.關閉SSID廣播
除了更改SSID值以外，建議將無線網路的認證方式改為不廣播SSID的封閉系統認證方式。
打開無線路由器的管理頁面，同樣是在「基本設置」頁面中，在「SSID廣播」中選擇「禁止」選項，單擊「應用」按鈕即可。這樣，無線網路覆蓋范圍內的用戶都不能看到該網路的SSID值，從而提高無線網路的安全性。
4.更改無線AP的IP地址
通常，在無線AP和無線路由器的產品說明書中會標明LAN口的IP地址，這也是管理頁面的地址，例如，TP-LINK TL-WR245 1.0無線路由器默認的IP地址為192.168.1.1，子網掩碼為255.255.255.0。為了防止其他用戶使用該IP地址登錄管理頁面，可以事先打開管理頁面，在「基本設置」頁面的LAN口IP地址區域修改IP地址。
5.啟用IEEE 802.1x驗證
IEEE 802.1x認證作為彌補WEP部分缺陷的過渡性安全機制，得到了Windows XP的支持。所以，如果使用的是Windows XP系統，同時無線AP(無線路由器)和無線網卡支持IEEE 802.1x，可以打開無線網卡的屬性窗口，單擊「身份驗證」選項卡，選中「啟用使用IEEE 802.1x的網路訪問控制」選項，單擊「確定」按鈕即可。
四、MAC地址欺騙和會話攔截
通常情況下，IEEE 802.11系列的無線區域網對數據幀是不進行認證操作的。雖然它提供了MAC(介質訪問控制)，但是因為它不能防止欺騙所以常常被忽略。這樣給無線區域網的安全帶來不利的影響，下面我們將介紹入侵者進行MAC地址欺騙和會話攔截的手段，並給出相應的防範措施。
1.欺騙、攔截手段
因為無線區域網不對數據幀進行認證操作，這樣，入侵者可以通過欺騙幀去重新定向數據流，攪亂ARP緩存表(表裡的IP地址與MAC地址是一一對應的)。入侵者可以輕易獲得網路中站點的MAC地址，例如，通過Network Stumbler軟體就可以獲取信號接收范圍內無線網路中的無線網卡的MAC地址，而且可以通過MAC地址修改工具來將本機的MAC地址改為無線區域網合法的MAC地址，或者通過修改注冊表來修改MAC地址。
除了MAC地址欺騙手段外，入侵者還可以攔截會話幀來發現無線AP中存在的認證漏洞，通過監測AP發出的廣播幀發現AP的存在。可是，由於IEEE 802.11無線網路並沒有要求AP必須證明自己是一個AP，所以入侵者可能會冒充一個AP進入網路，然後進一步獲取認證身份信息。
2.防範措施
在IEEE 802.11i標准沒有廣泛應用之前，我們只有藉助於一些常規的手段來防範這些攻擊。例如，設置MAC地址訪問控制、並定期進行更新，關閉DHCP伺服器等。
(1)MAC地址過濾
每一塊無線網卡在出廠之前都設定了MAC地址，該地址跟IP地址一樣是唯一的，一般是無法更改的。在無線區域網中，無線AP或無線路由器內部可以建立一張MAC地址控製表，只有在控製表中列出的MAC地址才是合法可以連接的無線網卡，否則會拒絕連接到該無線網路。具體設置方法如下：

從網路上更新此圖片

MAC地址過濾示意

打開管理頁面，在左側單擊「無線設置」，在右側的「終端MAC過濾」區域選中「允許」選項，單擊「應用」按鈕啟用MAC地址過濾功能。然後回到該頁面單擊「終端MAC過濾」區域下方的「有效MAC地址表」按鈕，打開的窗口會顯示有效的MAC地址，選中這些地址，單擊「更新過濾列表」按鈕，在打開的窗口中可以添加其他的MAC地址，添加到該過濾列表中的MAC地址對應的計算機將不能連接到該無線網路。

從網路上更新此圖片

MAC地址過濾設置

此外，除了MAC地址過濾功能外，有的無線AP或無線路由器提供了MAC地址訪問控制功能，通過該功能可以控制訪問Internet的計算機。在下面的內容中我們將介紹這方面的內容。
提示：MAC地址過濾功能一般適用於規模不大的無線網路，對於規模比較大的企業來說，所組建的無線網路包括多個無線AP，無線客戶端並可以進行漫遊，就需要通過Radius(遠程驗證撥入用戶服務)伺服器來提供更加復雜的過濾功能。
(2)關閉DHCP伺服器
在無線區域網中，通過DHCP伺服器可以自動給網路內部的計算機分配IP地址，如果是非法入侵者同樣可以分配到合法的IP地址，而且可以獲得網關地址、伺服器名稱等信息，這樣給網路安全帶來了不利的影響。
所以，對於規模不大的網路，可以考慮使用靜態的IP地址配置，關閉無線AP或無線路由器的DHCP伺服器。關閉的方法比較簡單：以無線路由器為例，打開的管理頁面，在左側的頁面中單擊「DHCP設置」，在右側頁面的「DHCP伺服器」中，將「起始IP地址」設為「禁止」，單擊「應用」按鈕即可。
五、流量監聽與數據加密
1.流量監聽
因為IEEE 802.11無線網路自身的特點，容易被暴露在大庭廣眾之下，任何無線網路分析儀都可以不受任何阻礙地截獲未經加密的無線網路流量，例如，AiroPeek NX、Airomp等。AiroPeek NX可以利用WildPackets的WLAN分析技術來進行如延時和流量分析、主機圖和會話圖以及幾十種常見的故障診斷等，可以對無線網路進行精確的全面的分析。
除了無線網路分析軟體外，還有的無線網路掃描工具也可以進行流量的監聽，例如，Network Stumbler，該軟體不僅可以搜索到無線網卡附近的所有無線網路，還可以顯示包括MAC地址、速度、頻道、是否加密、信號、連接類型等信息，通過這些信息，入侵者可以很容易地進行非法接入並試圖進行攻擊。
2.WEP加密
為了防止入侵者通過對監聽的無線網路流量分析來進行攻擊，網路的加密還是必須的。目前，無線網路常見的加密方式就是WEP。
(1)無線AP端
要啟用WEP加密，首先需要在無線AP或無線路由器端開啟該功能，並設置密鑰。
以無線路由器為例，打開管理頁面，單擊左側的「基本設置」，然後在右側的「WEP」區域選擇「開啟」選項，並單擊右邊的「WEP密鑰設置」按鈕，在打開的窗口中可以選擇創建64位或128位的密鑰，例如，選擇64bit，輸入密碼短語(由字元和數字組成)，單擊「創建」按鈕將自動創建4組密鑰(128位只能創建一組密碼)，記下其中的一組密鑰。單擊兩次「應用」按鈕使無線路由器的WEP密鑰生效。
(2)無線客戶端
在系統中打開「無線網路連接屬性」對話框，單擊「無線網路配置」選項卡，在「首選網路」中選擇設置加密的無線網路名稱，單擊「屬性」按鈕。接著在打開的對話框中選中「數據加密(WEP啟用)」選項，取消「自動為我提供此密鑰」選項，在「網路密鑰」框中輸入在無線路由器中創建的一組密鑰。連續單擊「確定」按鈕即可。
提示：如果在無線客戶端沒有設置WEP密鑰，那麼在連接加密的無線網路時，將無法連接，有的系統可能會提示輸入網路密鑰，例如，Windows XP。
3.WPA/WPA2加密
(1)破解WEP基本原理
雖然通過WEP加密可以保護無線網路的安全，但就目前來說，WEP加密因為採用的24位的初始化向量，而且採用對稱加密原理，所以WEP本身容易被破解。
早期WEP非常容易被Airsnort、WEPcrack等工具解密。如今，要破解WEP，入侵者一般採用多個工具組合進行破解，例如，使用Kismet掃描整個區域的WLAN，並收集SSID、頻道、MAC地址等信息；使用Airomp來對目標WLAN進行掃描並捕獲數據包；使用Void11可以從目標AP中驗證某台計算機，並強制這個客戶端計算機重新連接到目標AP，並申請一個ARP請求；使用Aireplay可以接受這些ARP請求，並回送到目標AP，以一個合法的客戶端身份來截獲這個ARP請求；最後，使用Aircrack接受Airomp生成的捕獲文件並從中提取WEP密鑰。
(2)啟用WPA/WPA2加密
在安全性方面，WPA/WPA2要強於WEP，在Windows XP中就提供了對WPA的支持(不支持WPA2)，不過這需要獲取WPA客戶端。而在Windows XP SP2中提供了對WPA/WPA2的支持，並不需要獲取WPA客戶端。下面以Windows XP SP2為例，介紹如何啟用WPA/WPA2加密。
首先，打開「無線網路連接屬性」對話框，單擊「無線網路配置」選項卡。接著在「首選網路」選項組中選擇要加密的網路名稱，單擊「屬性」按鈕。然後在打開的對話框中，在「網路驗證」選項組中選擇WPA(WPA適用於企業網路，WPA-PSK適用於個人網路)，在「數據加密」選項組中選擇加密方式，例如，AES或TKIP。
提示：WPA2的設置與WPA相同，不過無線網路使用的必須是支持WPA2的無線AP、無線網卡以及Windows XP SP2系統。
六、網路攻擊與訪問控制
除了非法入侵、MAC地址欺騙、流量監聽外，無線區域網與傳統的有線區域網一樣，如果連接到Internet，也會遇到網路病毒、拒絕服務(DoS)的攻擊。針對這些網路攻擊，我們可以採取設置防火牆、設置訪問控制等措施。
1.啟用防火牆
因為Windows XP SP2在安全性方面做了很大的改進，而且提供對WLAN強大的支持，所以下面介紹在Windows XP SP2系統中啟用防火牆：
首先，打開「無線網路連接屬性」對話框，單擊「高級」選項卡，在「Windows防火牆」選項組中單擊「設置」按鈕打開「Windows防火牆」對話框，在「常規」選項卡中選擇「啟用」選項。
為了保證無線網路的安全，可以在「例外」選項卡中添加允許訪問網路的例外程序和服務，例如，QQ、MSN Messenger等。單擊「添加程序」按鈕還可以添加其他需要訪問網路的程序。單擊「添加埠」按鈕可以添加要訪問網路的埠號，例如，FTP服務的21埠。在「高級」選項卡中，為了保證無線網路連接的安全，建議選中「無線網路連接」選項。
最後，單擊「確定」按鈕即可啟用無線網路的防火牆。
2.網路訪問控制
通常情況下，無線AP或無線路由器都提供了網路訪問控制功能，常見的包括有IP訪問控制、URL訪問控制和MAC訪問控制。
(1)IP訪問控制
通過IP訪問控制可以對網路內部計算機服務埠發送的協議數據包進行過濾，來控制區域網內部計算機對網路服務的使用許可權。例如，要禁止無線區域網內部192.168.1.101～192.168.1.110的所有計算機使用QQ、FTP，可以進行如下設置：
以無線路由器為例，打開管理頁面，在左側單擊「訪問控制」，在右側的頁面中單擊「IP訪問設置」，在協議中選擇「UDP」，輸入192.168.1.101～192.168.1.110，在埠范圍中分別輸入4000、8000(設置QQ訪問控制)；然後在協議中選擇TCP，輸入192.168.1.101～192.168.1.110，在埠范圍分別輸入21、21(設置FTP訪問控制)。單擊「應用」按鈕即可。

從網路上更新此圖片

訪問控制設置

(2)URL訪問控制
通過URL訪問控制功能可以限制無線區域網內部計算機允許或禁止訪問的網站。例如，要指定允許訪問的網站，可以打開「訪問控制」頁面，在右側的頁面中單擊「URL訪問設置」。接著，在「URL訪問限制」 選擇「允許」，表示啟用URL訪問控制。然後在站點中添加允許訪問的網站，一共可以添加20個站點。單擊「應用」按鈕完成設置。
(3)MAC訪問控制
在前文中，我們已經介紹了無線AP的MAC地址過濾功能，除此之外，通過MAC訪問控制功能可以對無線區域網中的某一台或多台計算機進行控制，限制他們訪問Internet。首先，打開「訪問控制」頁面，單擊「MAC訪問設置」。接著，輸入MAC地址，該無線路由器提供50組的MAC地址過濾，在1～10地址中，輸入最多10個MAC地址。單擊「應用」按鈕完成設置。
除了上面介紹的安全防範措施之外，我們還可以選擇VPN(虛擬專用網）、支持IEEE 802.11i標準的無線網路設備來保證無線網路的安全。