wep协议加密示意图

Ⅰ 无线网络加密协议WEP和WAP/WAP2有什么不同

区别如下：

一、WPA 全名为 Wi-Fi Protected Access,有WPA 和 WPA2两个标准，是一种保护无线电脑网路（Wi-Fi）安全的系统，它是应研究者在前一代的系统有线等效加密（WEP）中找到的几个严重的弱点而产生 的。WPA 实作了 IEEE 802.11i 标准的大部分，是在 802.11i 完备之前替代 WEP 的过渡方案。WPA 的设计可以用在所有的无线网卡上，但未必能用在第一代的无线取用点上。WPA2 实作了完整的标准，但不能用在某些古老的网卡上。这两个都提供优良的保全能力，但也都有两个明显的问题：

1. WPA或WPA2 一定要启动并且被选来代替 WEP 才有用，但是大部分的安装指引都把 WEP 列为第一选择。
   

2. 在使用家中和小型办公室最可能选用的"个人"模式时，为了保全的完整性，所需的密语一定要比已经教用户设定的六到八个字符的密码还长。

二、WEP:有线等效加密（Wired Equivalent Privacy），又称无线加密协议（Wireless Encryption Protocol），简称WEP,是个保护无线网络（Wi-Fi）信息安全的体制。因为无线网络是用无线电把讯息传播出去，它特别容易被窃听。WEP 的设计是要提供和传统有线的局域网路相当的机密性，而依此命名的。不过密码分析学家已经找出 WEP 好几个弱点，因此在2003年被 Wi-Fi Protected Access （WPA） 淘汰，又在2004年由完整的 IEEE 802.11i 标准（又称为 WPA2）所取代。

Ⅱ 解决有分！wep,wpa这些都是什么附图

WEP WPA/WPA2 WPA-PSK/WPA2-PSK的相互关系 在无线局域网中，移动终端和AP采用静态WEP加密，AP和它所联系的所有移动终端都使用相同的加密密钥，这便带来如下问题：一旦其中一个用户的密钥泄漏，其他用户的密钥也无法保密了。为了改善WEP的这些安全性缺陷，Wi-Fi联盟提出一种新的方法——WPA，用以改善网络的安全性。WPA的出现给用户暂时提供了一个完整的认证机制。 在802.11中有一个对数据基于共享密钥的加密机制，称为“有线对等保密WEP”(Wired Equivalent Privacy)的技术, WEP/WEP2是一种基于RC4算法的40bit、128bit、256bit加密技术。移动终端和AP采用静态WEP加密。AP和它所联系的所有移动终端都使用相同的加密密钥，因此带来如下问题： 一旦其中一个用户的密钥泄漏，其他用户的密钥也无法保密了。 为了改善WEP的这些安全性缺陷，0rVzxUQSXeZ,$fP@Wi -Fi联盟提出一种新的方法——WPA，用以改善网络的安全性。WPA的出现给用户提供了一个完整的认证机制，AP根据用户的认证结果决定是否允许其接入无线网络中；认证成功后可以根据多种方式（传输数据包的多少、用户接入网络的时间等）动态地改变每个接入用户的加密密钥。另外，对用户在无线中传输的数据包进行MIC编码，确保用户数据不会被其他用户更改。作为802.11i标准的子集，WPA的核心就是IEEE802.1x和TKIP（Temporal Key Integrity Protocol）。 图1所示为WEP到WPA的转变内容。 三大部分组成WPA WPA系统一般由三部分构成，即用户认证、密钥管理、数据完整性保证。 1．认证 WEP是数据加密算法，它不完全等同于用户的认证机制，WPA用户认证是使用802.1x和扩展认证协议(Extensible Authentication Protocol，EAP)来实现的。 WPA考虑到不同的用户和不同的应用安全需要，例如：企业用户需要很高的安全保护（企业级），否则可能会泄露非常重要的商业机密；而家庭用户往往只是使用网络来浏览 Internet、收发E-mail、打印和共享文件，这些用户对安全的要求相对较低。为了满足不同安全要求用户的需要，WPA中规定了两种应用模式。 ● 企业模式：通过使用认证服务器和复杂的安全认证机制，来保护无线网络通信安全。 ● 家庭模式（包括小型办公室）：在AP（或者无线路由器）以及连接无线网络的无线终端上输入共享密钥，以保护无线链路的通信安全。 根据这两种不同的应用模式，WPA的认证也分别有两种不同的方式。对于大型企业的应用，常采用“802.1x+ EAP”的方式，用户提供认证所需的凭证。但对于一些中小型的企业网络或者家庭用户，WPA也提供一种简化的模式，它不需要专门的认证服务器。这种模式叫做“WPA预共享密钥(WPA-PSK)”，它仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。 这个密钥仅仅用于认证过程，而不用于传输数据的加密。数据加密的密钥是在认证成功后动态生成，系统将保证“一户一密”，不存在像WEP那样全网共享一个加密密钥的情形，因此大大地提高了系统的安全性。 2．加密 WPA使用RC4进行数据加密，国G件(]Kg件cC8;f@pX\)59up9u8b["1ho用临时密钥完整性协议（TKIP）进行密钥管理和更新。TKIP通过由认证服务器动态生成分发的密钥来取代单个静态密钥、把密钥首部长度从24位增加到48位等方法增强安全性。而且，m'q\^`&T3件:eYTKIP利用了802.1x/EAP构架。认证服务器在接受了用户身份后，使用802.1x产生一个惟一的主密钥处理会话。 然后，TKIP把这个密钥通过安全通道分发到AP和客户端，并建立起一个密钥构架和管理系统，使用主密钥为用户会话动态产生一个惟一的数据加密密钥，来加密每一个无线通信数据报文。TKIP的密钥构架使WEP单一的静态密钥变成了500万亿个可用密钥。虽然WPA采用的还是和WEP一样的RC4加密算法，但其动态密钥的特性很难被攻破。 3．保持数据完整性 TKIP在每一个明文消息末端都包含了一个信息完整性编码（MIC），?s0t"网中c无Xw$r件u"来确保信息不会被“哄骗”。MIC是为了防止攻击者从中间截获数据报文、篡改后重发而设置的。除了和802.11一样继续保留对每个数据分段(MPDU)进行CRC校验外，WPA为802.11的每个数据分组(MSDU)都增加了一个8个字节的消息完整性校验值，这和802.11对每个数据分段(MPDU) 进行ICV校验的目的不同。 ICV的目的是为了保证数据在传输途中不会因为噪声等物理因素导致报文出错，因此采用相对简单高效的CRC算法，但是黑客可以通过修改ICV值来使之和被篡改过的报文相吻合，可以说没有任何安全的功能。 而WPA中的MIC则是为了防止黑客的篡改而定制的，它采用Michael算法，具有很高的安全特性。当MIC发生错误时，数据很可能已经被篡改，系统很可能正在受到攻击。此时，WPA会采取一系列的对策，比如立刻更换组密钥、暂停活动60秒等，来阻止黑客的攻击。 WPA如何进行安全认证 WPA是如何对无线局域网进行安全认证的呢？ ● 客户端STA(Supplicant)利用WLAN无线模块关联一个无线接入点（AP/Authenticator）； ● 在客户端通过身份认证之前，AP对该STA的数据端口是关闭的，只允许STA的EAP认证消息通过，所以STA在通过认证之前是无法访问网络的； ● 客户端STA利用EAP（如MD5/TLS/MSCHAP2等）协议，wnee]*=_q%AD_通过AP的非受控端口向认证服务器提交身份凭证，认证服务器负责对STA进行身份验证； ● 如果STA未通过认证，客户端将一直被阻止访问网络；如果认证成功，则认证服务器（Authentication Server）通知AP向该STA打开受控端口，N,}ox^15_IFF继续以下流程； ● 身份认证服务器利用TKIP协议自动将主配对密钥分发给AP和客户端STA，主配对密钥基于每用户、每个802.1x的认证进程是惟一的； ● STA与AP再利用主配对密钥动态生成基于每数据包惟一的数据加密密钥； ● 利用该密钥对STA与AP之间的数据流进行加密，f育d络cl@,I.zn就好象在两者之间建立了一条加密隧道，保证了空中数据传输的高安全性； STA与AP之间的数据传输还可以利用MIC进行消息完整性检查，从而有效抵御消息篡改攻击。 WPA存在的问题 WPA只是在802.11i正式推出之前的Wi-Fi企业联盟的安全标准，!垠网;2yA0lgu[业B*!:8 由于它仍然是采用比较薄弱的RC4加密算法，所以黑客只要监听到足够的数据包，借助强大的计算设备，即使在TKIP的保护下，同样可能破解网络。因此，WPA是无线局域网安全领域的一个过客。 今年6月，IEEE标准委员会终于通过了期待已久的最新无线局域网安全标准—802.11i，该标准通过使用CCM （Counter-Mode/CBC-MAC）认证方式和AES（Advanced Encryption Standard）加密算法，更进一步加强了无线局域网的安全和对用户信息的保护。

Ⅲ WEP是什么

WEP协议

说明：全称Wired Equivalent Protocol（有线等效协议），是为了保证802.11b协议数据传输的安全性而推出的安全协议，该协议可以通过对传输的数据进行加密，这样可以保证无线局域网中数据传输的安全性。目前，在市场上一般的无线网络产品支持64/128甚至256位WEP加密，未来还会慢慢普及WEP的改进版本——WEP2。

应用：在无线局域网中，要使用WEP协议，如果使用了无线AP首先要启用WEP功能，并记下密钥，然后在每个无线客户端启用WEP，并输入该密钥，这样就可以保证安全连接。在无线客户端启用的方法如下： 比如在Windows XP中，首先，右键单击任务栏无线网络连接图标，选择“查看可用的无线连接”，在打开的窗口中单击“高级”按钮；接着，在打开的属性窗口中选择“无线网络配置”选项卡，在“首选网络”中选择搜索到的无线网络连接，单击“属性”按钮。然后，在打开的属性窗口中选中“数据加密（WEP启用）”（如图），去掉“自动为我提供此密钥”，在“网络密钥”中输入在无线AP中创建的一个密钥。最后，连续单击两次“确定”按钮即可。

这是路由器的加密方法，WEP相对来说没有WAP的加密方法精密，WEP的加密比较容易破解，WAP的加密不容易破解。请及时采纳O(∩_∩)O谢谢

Ⅳ WEP wpa/wpa2 wpa-psk/wpa2-psk 三种加密方式有何区别，细节讲一下

加密程度不同，也就是安全性不同，三个安全性的排序为：WEP<WPA<WPA。

Ⅳ 无线路由器中 WEP wpa wpa2 这三种加密方式有什么区别

区别：

1、加密技术

WEP：RC4的RSA数据加密技术

WPA：RC4的RSA数据加密技术

WPA2：AES加密算法

2、安全性

WEP：使用一个静态的密钥来加密所有的通信，那么如果网管人员想更新密钥，就得亲自访问每台主机

WPA：与之前WEP的静态密钥不同，WPA需要不断的转换密钥。WPA采用有效的密钥分发机制

WPA2：实现了802.11i的强制性元素，特别是Michael算法被公认彻底安全的CCMP(计数器模式密码块链消息完整码协议)讯息认证码所取代

(5)wep协议加密示意图扩展阅读

无线网络中已存在好几种加密技术，由于安全性能的不同，无线设备的不同技术支持，支持的加密技术也不同， 一般常见的有：WEP、WPA/WPA2、WPA-PSK/WPA2-PSK

在802.11i颁布之后，Wi-Fi联盟推出了WPA2，它支持AES(高级加密算法)，因此它需要新的硬件支持，它使用CCMP(计数器模式密码块链消息完整码协议)。

在WPA/WPA2中，PTK的生成依赖PMK，而PMK获的有两种方式，一个是PSK的形式就是预共享密钥，在这种方式中PMK=PSK，而另一种方式中，需要认证服务器和站点进行协商来产生PMK。

Ⅵ WEP加密是什么意思WEP是什么意思

WEP（有线等效加密）

尽管从名字上看似乎是一个针对有线网络的安全选项，其实并不是这样。WEP标准在无线网络的早期已经创建，目标是成为无线局域网WLAN的必要的安全防护层，但是WEP的表现无疑令人非常失望。它的根源在于设计上存在缺陷。

在使用WEP的系统中，在无线网络中传输的数据是使用一个随机产生的密钥来加密的。但是，WEP用来产生这些密钥的方法很快就被发现具有可预测性，这样对于潜在的入侵者来说，就可以很容易的截取和破解这些密钥。即使是一个中等技术水平的无线黑客也可以在两到三分钟内迅速的破解WEP加密。

IEEE 802.11的动态有线等效保密(WEP)模式是二十世纪九十年代后期设计的，当时功能强大的加密技术作为有效的武器受到美国严格的出口限制。由于害怕强大的加密算法被破解，无线网络产品是被被禁止出口的。然而，仅仅两年以后，动态有线等效保密模式就被发现存在严重的缺点。但是二十世纪九十年代的错误不应该被当着无线网络安全或者IEEE 802.11标准本身，无线网络产业不能等待电气电子工程师协会修订标准，因此他们推出了动态密钥完整性协议TKIP(动态有线等效保密的补丁版本)。

尽管WEP已经被证明是过时且低效的，但是今天在许多现代的无线访问点和路由器中，它依然被支持。不仅如此，它依然是被个人或公司所使用的最多的加密方法之一。如果你正在使用WEP加密，如果你对你的网络的安全性非常重视的话，那么以后尽可能的不要再使用WEP，因为那真的不是很安全。

WPA-PSK（TKIP）

无线网络最初采用的安全机制是WEP(有线等效私密)，但是后来发现WEP是很不安全的，802.11组织开始着手制定新的安全标准，也就是后来的802.11i协议。但是标准的制定到最后的发布需要较长的时间，而且考虑到消费者不会因为为了网络的安全性而放弃原来的无线设备，因此Wi-Fi联盟在标准推出之前，在802.11i草案的基础上，制定了一种称为WPA(Wi-Fi Procted Access)的安全机制，它使用TKIP(临时密钥完整性协议)，它使用的加密算法还是WEP中使用的加密算法RC4，所以不需要修改原来无线设备的硬件，WPA针对WEP中存在的问题：IV过短、密钥管理过于简单、对消息完整性没有有效的保护，通过软件升级的方法提高网络的安全性。

WPA的出现给用户提供了一个完整的认证机制，AP根据用户的认证结果决定是否允许其接入无线网络中；认证成功后可以根据多种方式（传输数据包的多少、用户接入网络的时间等）动态地改变每个接入用户的加密密钥。另外，对用户在无线中传输的数据包进行MIC编码，确保用户数据不会被其他用户更改。作为802.11i标准的子集，WPA的核心就是IEEE802.1x和TKIP（Temporal Key Integrity Protocol）。

WPA考虑到不同的用户和不同的应用安全需要，例如：企业用户需要很高的安全保护（企业级），否则可能会泄露非常重要的商业机密；而家庭用户往往只是使用网络来浏览 Internet、收发E-mail、打印和共享文件，这些用户对安全的要求相对较低。为了满足不同安全要求用户的需要，WPA中规定了两种应用模式：企业模式，家庭模式（包括小型办公室）。

根据这两种不同的应用模式，WPA的认证也分别有两种不同的方式。对于大型企业的应用，常采用“802.1x+ EAP”的方式，用户提供认证所需的凭证。但对于一些中小型的企业网络或者家庭用户，WPA也提供一种简化的模式，它不需要专门的认证服务器。这种模式叫做“WPA预共享密钥(WPA-PSK)”，它仅要求在每个WLAN节点(AP、无线路由器、网卡等)预先输入一个密钥即可实现。

这个密钥仅仅用于认证过程，而不用于传输数据的加密。数据加密的密钥是在认证成功后动态生成，系统将保证“一户一密”，不存在像WEP那样全网共享一个加密密钥的情形，因此大大地提高了系统的安全性。

WPA2-PSK（AES）

在802.11i颁布之后，Wi-Fi联盟推出了WPA2，它支持AES(高级加密算法)，因此它需要新的硬件支持，它使用CCMP(计数器模式密码块链消息完整码协议)。在WPA/WPA2中，PTK的生成依赖PMK，而PMK获的有两种方式，一个是PSK的形式就是预共享密钥，在这种方式中PMK=PSK，而另一种方式中，需要认证服务器和站点进行协商来产生PMK。

IEEE 802.11所制定的是技术性标准,Wi-Fi联盟所制定的是商业化标准,而Wi-Fi所制定的商业化标准基本上也都符合IEEE所制定的技术性标准。WPA(Wi-Fi Protected Access)事实上就是由Wi-Fi联盟所制定的安全性标准,这个商业化标准存在的目的就是为了要支持IEEE 802.11i这个以技术为导向的安全性标准。而WPA2其实就是WPA的第二个版本。WPA之所以会出现两个版本的原因就在于Wi-Fi联盟的商业化运作。

我们知道802.11i这个任务小组成立的目的就是为了打造一个更安全的无线局域网,所以在加密项目里规范了两个新的安全加密协定–TKIP与CCMP(有些无线网路设备中会以AES、AES-CCMP的字眼来取代CCMP)。其中TKIP虽然针对WEP的弱点作了重大的改良,但保留了RC4算法和基本架构,言下之意,TKIP亦存在着RC4本身所隐含的弱点。因而802.11i再打造一个全新、安全性更强、更适合应用在无线局域网环境的加密协定-CCMP。所以在CCMP就绪之前,TKIP就已经完成了。

但是要等到CCMP完成,再发布完整的IEEE 802.11i标准,可能尚需一段时日,而Wi-Fi联盟为了要使得新的安全性标准能够尽快被布署,以消弭使用者对无线局域网安全性的疑虑,进而让无线局域网的市场可以迅速扩展开来,因而使用已经完成TKIP的IEEE 802.11i第三版草案(IEEE 802.11i draft 3)为基准,制定了WPA。而于IEEE完成并公布IEEE 802.11i无线局域网安全标准后,Wi-Fi联盟也随即公布了WPA第2版(WPA2)。

WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP

WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP(选择性项目)/TKIP/CCMP

还有最后一种加密模式就是WPA-PSK（TKIP）+WPA2-PSK（AES），这是目前无线路由里最高的加密模式，目前这种加密模式因为兼容性的问题，还没有被很多用户所使用。目前最广为使用的就是WPA-PSK（TKIP）和WPA2-PSK（AES）两种加密模式。相信在经过加密之后的无线网络，一定能够让我们的用户安心放心的上网冲浪。

Ⅶ 无线网络协议的WEP协议

WEP协议全称Wired Equivalent Protocol（有线等效协议）,是为了保证802.11b协议数据传输的安全性而推出的安全协议,该协议可以通过对传输的数据进行加密,这样可以保证无线局域网中数据传输的安全性.目前,在市场上一般的无线网络产品支持64/128甚至256位WEP加密,未来还会慢慢普及WEP的改进版本——WEP2.
应用:在无线局域网中,要使用WEP协议,如果使用了无线AP首先要启用WEP功能,并记下密钥,然后在每个无线客户端启用WEP,并输入该密钥,这样就可以保证安全连接.在无线客户端启用的方法如下:比如在Windows XP中,首先,右键单击任务栏无线网络连接图标,选择查看可用的无线连接,在打开的窗口中单击高级按钮;接着,在打开的属性窗口中选择无线网络配置选项卡,在首选网络中选择搜索到的无线网络连接,单击属性按钮.然后,在打开的属性窗口中选中数据加密（WEP启用）（如图）,去掉自动为我提供此密钥,在网络密钥中输入在无线AP中创建的一个密钥.最后,连续单击两次确定按钮即可.

Ⅷ 高分求解tp-link的问题

无线网安全与防范实用手册
(《天极网》特约作者 高飞)

如今，基于IEEE 802.11a/b/g的无线局域网(WLAN)和CDMA/GPRS/WAP的无线电话网络已被广泛应用。不过，在无线网络发展的同时，它的安全问题也慢慢显现出来。本文将分析无线网络中存在的安全问题，并提出相应的防范措施，最大程度保证无线网络的使用安全。
一、无线网络的安全机制
虽然无线网络存在众多的安全隐患、安全漏洞，但其本身还是采取了众多安全机制，例如，WLAN使用的WEP加密、WPA加密、IEEE 802.1x验证等，以及未来将要应用和可能应用的IEEE 802.11i标准、WPAI等。下面，我们将着重介绍基于无线局域网的安全机制。
1.传统安全机制——SSID、MAC
传统意义上，无线局域网使用的安全机制主要包括SSID和MAC两种：
(1)SSID机制
SSID(Service Set Identifier)即服务设置标识，也称ESSID，表示的是无线AP(Access Point)或无线路由器的标识字符，无线客户端只有输入正确的SSID值(一般最多有32个字符组成，例如，wireless)才能访问该无线AP或无线路由器。通过SSID技术可以区分不同的无线局域网。它相当于一个简单的口令，保证无线局域网的安全。
(2)MAC机制
MAC(Media Access Control)即媒体访问控制，一般称为物理地址过滤。因为每一个无线网卡都有唯一的物理地址，通过MAC技术可以在无线局域网中为无线AP或无线路由器设置一个许可接入的用户的MAC地址列表，如果接入的无线网卡的MAC地址不在该列表中，无线AP或无线路由器将拒绝其接入，以实现物理地址过滤，并保证无线局域网的安全。在无线局域网中，MAC地址过滤属于硬件认证，而不是用户认证。
2.老当益壮——IEEE 802.11中的安全技术
随着无线局域网IEEE 802.11b/g标准的风行，IEEE 802.11系列标准采用的安全技术也慢慢被大家所熟知，其中主要包括用户认证、加密等几种技术。
(1)用户认证技术
在无线网络环境中，要保证网络的安全，必须对用户的身份进行验证。在IEEE 802.11系列标准中，对用户进行认证的技术包括3种：
开放系统认证(Open System Authentication)。该认证是IEEE 802.11默认认证，允许任何用户接入到无线网络中去，实际上根本没有提供对数据的保护。
封闭系统认证(Closed System Authentication)。该认证与开放系统认证相反，通过网络设置可以保证无线网络的安全，例如，关闭SSID广播等。
共享密钥认证(Shared Key Authentication)。该认证是基于WEP的共享密钥认证，它事先假定一个站点通过一个独立于802.11网络的安全信道，已经接收到目标站点的一个WEP加密的认证帧，然后该站点将该帧通过WEP加密向目标站点发送。目标站点在接收到之后，利用相同的WEP密钥进行解密，然后进行认证。
(2)加密技术
在IEEE 802.11b/g标准中，主要使用的加密技术就是WEP。WEP(Wired Equivalent Protocol，有线等效协议)属于IEEE 802.11b标准的一个部分，它是一种对称加密，加密和解密的密钥以及算法相同，采用RC4加密算法，24位初始化向量。通过WEP加密可以保证在无线网络环境中传输的数据的安全性，以防止第三者窃取数据内容。
提示：RC4是1987年提出的加密算法，作为一种分组密码体系，被广泛使用于计算机保密通信领域。

从网络上更新此图片

WEP加密示意

理论上，WEP协议标准只建议进行40位加密。不过，目前市场上的无线局域网产品一般都支持64/128位WEP加密，部分产品支持256位WEP加密。
3.新一代安全标准——IEEE 802.11i
为了弥补无线局域网自身存在的缺陷，在2004年6月24日，IEEE标准委员会正式批准了新一代的Wi-Fi安全标准——IEEE 802.11i。IEEE 802.11i标准规定使用了IEEE 802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP、CCMP和WRAP三种加密机制。
(1)IEEE 802.1x标准
IEEE 802.1x是基于端口的网络访问控制的标准，它可以提供对IEEE 802.11无线网络和对有线局域网验证的网络访问权限。例如，当无线客户端(要求安装IEEE 802.1x客户端软件)与无线AP连接后，无线AP会使用标准的安全协议(例如，Radius等)对无线客户端进行认证，通过认证后将打开逻辑端口，允许使用AP的服务，例如，共享上网。如果验证没有通过，将不允许享受AP服务。
目前，Windows 2000/XP等操作系统都已经提供了IEEE 802.1x的客户端功能。
(2)TKIP技术
TKIP(Temporal Key Integrity Protocol，临时密钥完整性协议)是一种过渡的加密技术，与WEP一样，采用RC4加密算法。不同的是，TKIP将WEP密钥的长度从40位加长到128位，初始化向量(Initialization Vector，IV)的长度从24位加长到48位，这样就提高了密码破解难度。
(3)CCMP技术
CCMP(Counter-Mode/CBC-MAC Protocol，计数模式/密码块链接消息鉴别编码协议)是基于AES(Advanced Encryption Standard，高级加密标准)加密算法和CCM(Counter-Mode/CBC-MAC，计数模式/密码块链接消息鉴别编码)认证方式的一种加密技术，具有分组序号的初始向量，采用128位加密算法，使得WLAN的安全程度大大提高。
(4)WRAP技术
WRAP(Wireless Robust Authenticated Protocol，无线鉴别协议)是基于AES加密算法和OCB(Offset Codebook，偏移电报密码本)认证方式的一种可选的加密机制，和CCMP一样采用128位加密算法。
(5)WPA、WPA2协议
WPA(Wi-Fi Protected Access，Wi-Fi保护访问)是一种基于标准的可互操作的无线局域网安全性协议，可以保证无线局域网数据的安全，只有授权用户才可以访问该网络。其核心使用IEEE 802.1x和TKIP来实现对无线局域网的访问控制、密钥管理与数据加密。

从网络上更新此图片

WPA加密示意

WPA与WEP一样采用基于RC4加密算法，不过它引入了扩展的48位初始化向量和顺序规则、每包密钥构建机制、Michael消息完整性代码、密钥重新获取和分发机制等新算法。
为了进一步提高无线局域网的安全性，Wi-Fi联盟还进行了WPA2的认证，WPA2认证的目的在于支持IEEE 802.11i标准，以此代替WEP、IEEE 802.11标准的其他安全功能、WPA产品尚不包括的安全功能。该认证引入了AES加密算法，首次将128位高级加密标准应用于无线局域网，同时也支持RC4加密算法。目前，包括有3Com、思科等公司的产品提供了对WPA2的支持。
4.国产WLAN安全标准——WAPI
除了国际上的IEEE 802.11i和WPA安全标准外，我国在2003年5月也发布了无线局域网国家标准GB15629.11，该标准中提出了全新的WAPI安全机制。WAPI即WLAN Authentic
ation and Privacy Infrastructure，WLAN鉴别与保密基础架构。
WAPI由WAI和WPI两个部分组成：WAI(WLAN Authenti
-cation Infrastructure，WLAN鉴别基础架构)可以实现对用户身份的鉴别，采用公开密钥体制，利用证书来对无线局域网中的用户进行验证；WPI(WLAN Privacy Infrastructure，WLAN保密基础架构)可以采用对称密码算法实现对MAC层MSDU进行加、解密操作，以保证传输数据的安全。
但是，WAPI标准不能与Wi-Fi联盟制订的主流WEP及WPA兼容，该标准自发布以来就被争议所包围。目前，WAPI标准还处在与美国的IEEE 802.11i标准的调解阶段，未来两种针对无线局域网的安全标准可能会“合并”，但是谈判之路较曲折。
二、信号干扰与设备摆放
众所周知，无线局域网信号的传输介质是空气，所以无线信号很容易受到大气噪音、环境和其他发射设备的信号干扰，尤其是附近的无线网络设备、无线电波设备的干扰，例如，家用微波炉、无绳电话等。那么，在使用无线局域网时具体会受到那些信号干扰呢？我们该如何避免呢？
1.信号干扰
无线局域网所受到的信号干扰主要表现在两个方面：
(1)附近设备干扰
目前，我们使用的无线局域网采用的是ISM(工业、科学、医学)无线频段，其中常用的IEEE 802.11b/g标准使用的是2.4GHz工作频率(IEEE 802.11a标准使用5.8GHz工作频率)，与微波炉、蓝牙设备、无绳电话等设备使用相同工作频率。
因此，在使用无线局域网时容易受到这些无线设备的射频干扰，例如，在靠近无线网络设备的地方使用微波炉，使用的是S段(频率为2.4～2.5GHz)，那么无线局域网的信号将受到严重干扰，而出现信号延迟、信号时断时续或者干脆中断等情况。
除了微波炉外，无绳电话、蓝牙手机、复印机、防盗装置、等离子灯泡等也会产生干扰。
(2)同类设备干扰
同类设备的干扰主要来自于附近，例如，同楼层、相邻建筑物的无线AP或无线路由器的干扰。
随着，无线局域网的发展，目前很多家庭、公司等都安装了无线基站，如果在无线信号覆盖范围内的无线AP或无线路由器使用相同的信道，例如，一个是IEEE 802.11b无线网络(使用6信道)、另一个是IEEE 802.11g无线网络(同样使用6信道)，那么可能会产生网络速度下降、信号不稳定等情况。
2.设备摆放
为了避免无线电波、网络设备对无线局域网的信号干扰，以及为了获得更好的无线网络信号。在摆放无线AP或无线路由器、调整无线网卡天线方向以及无线天线时需遵循如下原则：
(1)居中原则
在无线局域网中，无线AP或无线路由器处在各无线客户端居中的位置是获得最佳信号覆盖效果的位置。即以无线AP或无线路由器为中心，进行无线信号的发射。例如，在家居中，建议将无线AP或无线路由器放置在几个房间的交汇口处，最好是高处，并将无线网卡的天线调整到最佳位置。这样，还可以避免无线信号的“死角”。
(2)避让原则
前文中我们介绍了，微波炉、无绳电话、蓝牙手机等设备会对无线局域网的信号产生干扰，那么在摆放无线AP或无线路由器时一定要注意避开这些设备。例如，5米范围内避免有微波炉、无绳电话等。
另外，室内的墙壁、门(尤其是金属门)、金属障碍物等，对无线信号的影响非常大。因为无线局域网采用的是无线微波频段，微波是近乎直线的传播，绕射能力非常弱(也就是我们常说的“穿墙”能力)，因此在障碍物后面的无线接收设备只能接收到微弱的信号。
因此，在放置无线设备时，要尽量避免无线接收设备之间的障碍物。另外，在放置无线AP或无线路由器时，最好放置在天花板、墙壁等高处，这样便于信号向下辐射，减少障碍物的阻拦。
(3)可视原则
在摆放无线网络设备时，无线AP(或无线路由器)与无线客户端之间最好可见，而且尽量少地穿越墙壁、障碍物以及其他无线设备，这样可以保证获得最强的信号。
3.信道冲突对策
前文中我们介绍了，如果相邻的或同楼层的无线局域网使用了相同或相近的信道，那么在无线AP覆盖范围内可能会出现信道冲突。
我们知道，IEEE 802.11b/g标准规定工作频率在2.4～2.4835GHz，传输速率分别为11Mbps、54Mbps，这些频率又被分成11或13个信道。IEEE 802.11b/g标准只支持3个不重叠的传输信道，只有信道1、6、11或13是不冲突的。不过，使用信道3的设备会干扰信道1和信道6的设备，使用信道9的设备会干扰信道6和信道13的设备。
提示：IEEE 802.11a标准工作频率为5GHz，有12个不重叠的传输信道，传输速率范围为6～54Mbps，不过，IEEE 802.11a标准与IEEE 802.11b/g标准不兼容。
要解决信道冲突的问题，可以手工来修改信道值，以避免信道冲突。以TP-LINK TL-WR245 1.0无线路由器为例(下面的所有操作均以该产品为例)，具体的设置步骤如下：
首先，使用网页浏览器输入无线路由器管理页面的地址，例如，192.168.1.1，输入用户名(默认为空)和密码(默认为admin)。在打开的管理页面右侧的页面中可以看到“频道”设置选项，可以将其修改成1、6、11或13。最后单击“应用”按钮即可。
三、非法接入与防范措施
由于无线局域网自身的特点，它的无线信号很容易被发现。入侵者只需要给电脑安装无线网卡以及无线天线就可以搜索到附近的无线局域网，获取SSID、信道、是否加密等信息，例如，常用的Windows XP就可以自动搜索附近的无线网络。很多家用无线局域网一般不会进行相应的安全设置，很容易接入他人的无线网络。如果被非法入侵者利用，将会对搜索到的网络发起攻击。
为了避免来自附近的非法入侵，我们可采取如下防范措施：
1.更改管理密码
不管是无线AP、无线路由器还是其他可管理的网络设备，在出厂时都预设了管理密码和用户名，例如，用户名为“admin”或空等，管理密码为“admin”、“administrator”等，这些密码都可以在产品说明书中找到。为了防止非法入侵者使用预设的用户名和密码登录，建议更改无线AP或无线路由器的管理密码。
首先，打开管理页面，输入预设的用户名和密码。在打开的管理页面左侧单击“管理设置”区域中的“设备管理”选项。然后在右侧的窗口中，在“管理员密码”框中输入新密码和确认密码(建议使用至少8位的密码并夹杂特殊字符)。最后单击“应用”按钮即可。
技巧：如果忘记了无线AP或无线路由器的管理密码，可以使用铅笔等工具顶住设备面板上的“Reset”按钮大约5秒钟，这样将恢复设备的默认用户名、密码设置。
2.更改SSID值
通常情况下 ，无线AP和无线路由器在出厂时为了使用方便，预设状态为开放系统认证，也就是说任何使用者只要安装了无线网卡就可以搜索到附近的无线网络并建立连接。而且，各厂家给无线AP和无线路由器都预设了SSID值。例如，Cisco的产品为“tsunami”、TP-Link的为“Wireless”、D-Link的为“Default”、Linksys的为“linksys”等。
为了防止他人连接你的无线网络，建议修改预设的SSID值。打开无线路由器的管理页面，在左侧单击“基本设置”选项，然后在右侧页面的“SSID”区域中更改名称。例如“officewlan”。最后单击“应用”按钮即可。
3.关闭SSID广播
除了更改SSID值以外，建议将无线网络的认证方式改为不广播SSID的封闭系统认证方式。
打开无线路由器的管理页面，同样是在“基本设置”页面中，在“SSID广播”中选择“禁止”选项，单击“应用”按钮即可。这样，无线网络覆盖范围内的用户都不能看到该网络的SSID值，从而提高无线网络的安全性。
4.更改无线AP的IP地址
通常，在无线AP和无线路由器的产品说明书中会标明LAN口的IP地址，这也是管理页面的地址，例如，TP-LINK TL-WR245 1.0无线路由器默认的IP地址为192.168.1.1，子网掩码为255.255.255.0。为了防止其他用户使用该IP地址登录管理页面，可以事先打开管理页面，在“基本设置”页面的LAN口IP地址区域修改IP地址。
5.启用IEEE 802.1x验证
IEEE 802.1x认证作为弥补WEP部分缺陷的过渡性安全机制，得到了Windows XP的支持。所以，如果使用的是Windows XP系统，同时无线AP(无线路由器)和无线网卡支持IEEE 802.1x，可以打开无线网卡的属性窗口，单击“身份验证”选项卡，选中“启用使用IEEE 802.1x的网络访问控制”选项，单击“确定”按钮即可。
四、MAC地址欺骗和会话拦截
通常情况下，IEEE 802.11系列的无线局域网对数据帧是不进行认证操作的。虽然它提供了MAC(介质访问控制)，但是因为它不能防止欺骗所以常常被忽略。这样给无线局域网的安全带来不利的影响，下面我们将介绍入侵者进行MAC地址欺骗和会话拦截的手段，并给出相应的防范措施。
1.欺骗、拦截手段
因为无线局域网不对数据帧进行认证操作，这样，入侵者可以通过欺骗帧去重新定向数据流，搅乱ARP缓存表(表里的IP地址与MAC地址是一一对应的)。入侵者可以轻易获得网络中站点的MAC地址，例如，通过Network Stumbler软件就可以获取信号接收范围内无线网络中的无线网卡的MAC地址，而且可以通过MAC地址修改工具来将本机的MAC地址改为无线局域网合法的MAC地址，或者通过修改注册表来修改MAC地址。
除了MAC地址欺骗手段外，入侵者还可以拦截会话帧来发现无线AP中存在的认证漏洞，通过监测AP发出的广播帧发现AP的存在。可是，由于IEEE 802.11无线网络并没有要求AP必须证明自己是一个AP，所以入侵者可能会冒充一个AP进入网络，然后进一步获取认证身份信息。
2.防范措施
在IEEE 802.11i标准没有广泛应用之前，我们只有借助于一些常规的手段来防范这些攻击。例如，设置MAC地址访问控制、并定期进行更新，关闭DHCP服务器等。
(1)MAC地址过滤
每一块无线网卡在出厂之前都设定了MAC地址，该地址跟IP地址一样是唯一的，一般是无法更改的。在无线局域网中，无线AP或无线路由器内部可以建立一张MAC地址控制表，只有在控制表中列出的MAC地址才是合法可以连接的无线网卡，否则会拒绝连接到该无线网络。具体设置方法如下：

从网络上更新此图片

MAC地址过滤示意

打开管理页面，在左侧单击“无线设置”，在右侧的“终端MAC过滤”区域选中“允许”选项，单击“应用”按钮启用MAC地址过滤功能。然后回到该页面单击“终端MAC过滤”区域下方的“有效MAC地址表”按钮，打开的窗口会显示有效的MAC地址，选中这些地址，单击“更新过滤列表”按钮，在打开的窗口中可以添加其他的MAC地址，添加到该过滤列表中的MAC地址对应的计算机将不能连接到该无线网络。

从网络上更新此图片

MAC地址过滤设置

此外，除了MAC地址过滤功能外，有的无线AP或无线路由器提供了MAC地址访问控制功能，通过该功能可以控制访问Internet的计算机。在下面的内容中我们将介绍这方面的内容。
提示：MAC地址过滤功能一般适用于规模不大的无线网络，对于规模比较大的企业来说，所组建的无线网络包括多个无线AP，无线客户端并可以进行漫游，就需要通过Radius(远程验证拨入用户服务)服务器来提供更加复杂的过滤功能。
(2)关闭DHCP服务器
在无线局域网中，通过DHCP服务器可以自动给网络内部的计算机分配IP地址，如果是非法入侵者同样可以分配到合法的IP地址，而且可以获得网关地址、服务器名称等信息，这样给网络安全带来了不利的影响。
所以，对于规模不大的网络，可以考虑使用静态的IP地址配置，关闭无线AP或无线路由器的DHCP服务器。关闭的方法比较简单：以无线路由器为例，打开的管理页面，在左侧的页面中单击“DHCP设置”，在右侧页面的“DHCP服务器”中，将“起始IP地址”设为“禁止”，单击“应用”按钮即可。
五、流量监听与数据加密
1.流量监听
因为IEEE 802.11无线网络自身的特点，容易被暴露在大庭广众之下，任何无线网络分析仪都可以不受任何阻碍地截获未经加密的无线网络流量，例如，AiroPeek NX、Airomp等。AiroPeek NX可以利用WildPackets的WLAN分析技术来进行如延时和流量分析、主机图和会话图以及几十种常见的故障诊断等，可以对无线网络进行精确的全面的分析。
除了无线网络分析软件外，还有的无线网络扫描工具也可以进行流量的监听，例如，Network Stumbler，该软件不仅可以搜索到无线网卡附近的所有无线网络，还可以显示包括MAC地址、速度、频道、是否加密、信号、连接类型等信息，通过这些信息，入侵者可以很容易地进行非法接入并试图进行攻击。
2.WEP加密
为了防止入侵者通过对监听的无线网络流量分析来进行攻击，网络的加密还是必须的。目前，无线网络常见的加密方式就是WEP。
(1)无线AP端
要启用WEP加密，首先需要在无线AP或无线路由器端开启该功能，并设置密钥。
以无线路由器为例，打开管理页面，单击左侧的“基本设置”，然后在右侧的“WEP”区域选择“开启”选项，并单击右边的“WEP密钥设置”按钮，在打开的窗口中可以选择创建64位或128位的密钥，例如，选择64bit，输入密码短语(由字符和数字组成)，单击“创建”按钮将自动创建4组密钥(128位只能创建一组密码)，记下其中的一组密钥。单击两次“应用”按钮使无线路由器的WEP密钥生效。
(2)无线客户端
在系统中打开“无线网络连接属性”对话框，单击“无线网络配置”选项卡，在“首选网络”中选择设置加密的无线网络名称，单击“属性”按钮。接着在打开的对话框中选中“数据加密(WEP启用)”选项，取消“自动为我提供此密钥”选项，在“网络密钥”框中输入在无线路由器中创建的一组密钥。连续单击“确定”按钮即可。
提示：如果在无线客户端没有设置WEP密钥，那么在连接加密的无线网络时，将无法连接，有的系统可能会提示输入网络密钥，例如，Windows XP。
3.WPA/WPA2加密
(1)破解WEP基本原理
虽然通过WEP加密可以保护无线网络的安全，但就目前来说，WEP加密因为采用的24位的初始化向量，而且采用对称加密原理，所以WEP本身容易被破解。
早期WEP非常容易被Airsnort、WEPcrack等工具解密。如今，要破解WEP，入侵者一般采用多个工具组合进行破解，例如，使用Kismet扫描整个区域的WLAN，并收集SSID、频道、MAC地址等信息；使用Airomp来对目标WLAN进行扫描并捕获数据包；使用Void11可以从目标AP中验证某台计算机，并强制这个客户端计算机重新连接到目标AP，并申请一个ARP请求；使用Aireplay可以接受这些ARP请求，并回送到目标AP，以一个合法的客户端身份来截获这个ARP请求；最后，使用Aircrack接受Airomp生成的捕获文件并从中提取WEP密钥。
(2)启用WPA/WPA2加密
在安全性方面，WPA/WPA2要强于WEP，在Windows XP中就提供了对WPA的支持(不支持WPA2)，不过这需要获取WPA客户端。而在Windows XP SP2中提供了对WPA/WPA2的支持，并不需要获取WPA客户端。下面以Windows XP SP2为例，介绍如何启用WPA/WPA2加密。
首先，打开“无线网络连接属性”对话框，单击“无线网络配置”选项卡。接着在“首选网络”选项组中选择要加密的网络名称，单击“属性”按钮。然后在打开的对话框中，在“网络验证”选项组中选择WPA(WPA适用于企业网络，WPA-PSK适用于个人网络)，在“数据加密”选项组中选择加密方式，例如，AES或TKIP。
提示：WPA2的设置与WPA相同，不过无线网络使用的必须是支持WPA2的无线AP、无线网卡以及Windows XP SP2系统。
六、网络攻击与访问控制
除了非法入侵、MAC地址欺骗、流量监听外，无线局域网与传统的有线局域网一样，如果连接到Internet，也会遇到网络病毒、拒绝服务(DoS)的攻击。针对这些网络攻击，我们可以采取设置防火墙、设置访问控制等措施。
1.启用防火墙
因为Windows XP SP2在安全性方面做了很大的改进，而且提供对WLAN强大的支持，所以下面介绍在Windows XP SP2系统中启用防火墙：
首先，打开“无线网络连接属性”对话框，单击“高级”选项卡，在“Windows防火墙”选项组中单击“设置”按钮打开“Windows防火墙”对话框，在“常规”选项卡中选择“启用”选项。
为了保证无线网络的安全，可以在“例外”选项卡中添加允许访问网络的例外程序和服务，例如，QQ、MSN Messenger等。单击“添加程序”按钮还可以添加其他需要访问网络的程序。单击“添加端口”按钮可以添加要访问网络的端口号，例如，FTP服务的21端口。在“高级”选项卡中，为了保证无线网络连接的安全，建议选中“无线网络连接”选项。
最后，单击“确定”按钮即可启用无线网络的防火墙。
2.网络访问控制
通常情况下，无线AP或无线路由器都提供了网络访问控制功能，常见的包括有IP访问控制、URL访问控制和MAC访问控制。
(1)IP访问控制
通过IP访问控制可以对网络内部计算机服务端口发送的协议数据包进行过滤，来控制局域网内部计算机对网络服务的使用权限。例如，要禁止无线局域网内部192.168.1.101～192.168.1.110的所有计算机使用QQ、FTP，可以进行如下设置：
以无线路由器为例，打开管理页面，在左侧单击“访问控制”，在右侧的页面中单击“IP访问设置”，在协议中选择“UDP”，输入192.168.1.101～192.168.1.110，在端口范围中分别输入4000、8000(设置QQ访问控制)；然后在协议中选择TCP，输入192.168.1.101～192.168.1.110，在端口范围分别输入21、21(设置FTP访问控制)。单击“应用”按钮即可。

从网络上更新此图片

访问控制设置

(2)URL访问控制
通过URL访问控制功能可以限制无线局域网内部计算机允许或禁止访问的网站。例如，要指定允许访问的网站，可以打开“访问控制”页面，在右侧的页面中单击“URL访问设置”。接着，在“URL访问限制” 选择“允许”，表示启用URL访问控制。然后在站点中添加允许访问的网站，一共可以添加20个站点。单击“应用”按钮完成设置。
(3)MAC访问控制
在前文中，我们已经介绍了无线AP的MAC地址过滤功能，除此之外，通过MAC访问控制功能可以对无线局域网中的某一台或多台计算机进行控制，限制他们访问Internet。首先，打开“访问控制”页面，单击“MAC访问设置”。接着，输入MAC地址，该无线路由器提供50组的MAC地址过滤，在1～10地址中，输入最多10个MAC地址。单击“应用”按钮完成设置。
除了上面介绍的安全防范措施之外，我们还可以选择VPN(虚拟专用网）、支持IEEE 802.11i标准的无线网络设备来保证无线网络的安全。