无线网络有哪些接入控制功能？

由于无线电波是看不见的，会出现陌生用户在未经允许时，擅自接入 AP 使用的情况发生。只要在无线信号能够到达的范围内，并知道 SSID ，STA 就能够和 AP 进行关联。为了防止未知的人使用，可以使用 ESSID 隐藏功能和MAC 地址过滤功能。

ESSID 隐藏

• ESSID，（Extended Service Set Identifier）：
  • SSID 信息是由 AP 的 beacon 帧定期进行广播发送的。STA 通过 beacon帧来确认和那个 SSID 进行连接。
  • 但是，只要是无线信号能够到达的地方，任何人都可以通过 beacon 帧，使用 STA 搜索到 SSID 信息并连接。
  • 为了防范这类风险，可以使用不发出 beacon 帧的 ESSID 隐藏功能。STA 需要通过其它途径获得 SSID 信息，并在 STA 进行相应配置，从而隐藏网络连接。
  • 但是，由于 SSID 在无线网络的传播中，没有加密，当有 STA 使用这个隐藏的 SSID 连接 AP 时，可以通过无线监控工具获取这个无线网络的 SSID ，所以 ESSI 隐藏功能不是很安全的对策。

MAC 地址过滤

• 在 AP 中设置允许关联的 MAC 地址列表，只有在列表里面的 STA 才能连上无线网络，防止以外的 STA 接入 AP ，这个方法叫做 MAC 地址过滤或MAC 地址认证。
• 除了在 AP 上设置外，还可以通过 RADIUS 服务器设置允许接入的 MAC 地址信息，在认证的同时完成 MAC 地址过滤。但是，MAC 地址也能通过工具伪装和冒充，可以对接入 WLAN 的 MAC 地址进行监听，获得具体的 MAC 地址信息，所以这也不是完善的安全策略。

无线网络有哪些认证功能？

在 AP 上使用 ESSID 隐藏和 MAC 地址过滤功能，都不能完全阻止恶意访问，为了彻底防止恶意用户访问无线网络，需要进行认证。

IEEE 802.11 最开始有两种认证方式：开放系统认证、共享密钥认证。

开放系统认证

• 开发系统认证（ Open Sys tem Authenti cation ）不用 STA 输入用户名和密码等认证信息，就可以向 AP 发出认证请求。
• AP 能够接收所有接入认证请求，也就是说，无论是谁都可以和 AP 关联上。
• 通常用于公共 Wi-Fi ，结合Portal 认证或 VPN 来完成用户访问网络的权限控制。

共享密钥认证

• 共享密钥认证（ Shared Key Authenti cation ）用于 AP 和 STA 进行无线加密通信。
• 使用 WEP 或 WPA 加密标准时，AP 和 STA 预先配置相同的口令，通过这个口令就可以建立无线通信链路。
• 这个口令叫做预共享密钥（ pre-shared key ），不知道预共享密钥的 STA ，是无法和 AP 进行关联的。

IEEE 802.1X

• IEEE 802.1X 是用户认证和访问控制协议，是从有线网络中引用过来的。
• IEEE 802.1X 认证是由认证客户端、接入设备、认证服务器三部分组成。请求认证的终端叫做认证客户端，和终端连接的 AP 、交换机及其它网络设备叫做接入设备。
• 认证方式使用 EAP ，客户端发起认证请求，接入设备会把收到的EAP 消息封装成 RADIUS 数据帧，转发给认证服务器，当认证服务器完成认证后，接入设备会通知客户端并把客户端作为认证成功的客户端，之后客户端发送的数据帧都会转发到局域网或互联网上。
• 认证信息是使用用户名、口令、数字证书等其中一种方式即可，对应的认证协议有 EAP-MD5 、EAP-TLS 、EAP-TTLS 等各种类型。

无线网络有哪些加密功能？

空气中传输的无线电波，只要是在覆盖范围内，就能被任何人收到，再加上WLAN 数据解析工具，恶意用户就能够窃听无线网络的通信内容。

为了防止无线通信被窃听和篡改，要在无线通信过程中，对信息进行加密。

WLAN 加密有 WEP 、WPA 、WPA2 、WPA3 等标准。

WEP

1. 全称：Wired Equivalent Privacy，即有线等效保密。WEP是最早在无线加密中使用的技术，基于RC4算法的密钥进行数据加密，这个密钥叫做WEP Key。
2. WEP一共有三种加密方式：
   • 40bit长度的密钥和24bit长度的初始向量值组成 64bit 长度的加密方式；
   • 104bit长度的密钥和24bit长度的密钥的初始向量值组成 128bit 长度的加密方式；
   • 128bit长度的密钥和24bit长度的密钥的初始向量值组成 152bit 长度的加密方式。
3. 密钥长度越短，越容易被破解，现在已经不怎么使用了。

WPA

1. 全称：WI-FI Protected Access，即WIFI保护接入，是一种保护无线网络安全的技术。由于WPA实在太脆弱，于是就定制了WPA。
2. WPA把SSID和WEP密钥一起加密，并且能够定期自动更新用户认证功能和密钥的TKIP。
3. WPA有两种模式：个人模式和企业模式。
   • 个人模式的WPA主要是家庭和个人使用，也叫做WPA-PSK，AP和STA使用相同的预共享密钥（PSK，Pre-Shared Key）。
   • 企业模式的WPA主要用于企业，增加了IEEE 802.1X 认证服务器，不通用户使用不通的用户名和密码连接无线网络。

WPA2

1. WPA2是新一代WPA标准，采用AES加密算法。AES通常用于 IPsec 和 SSL 等协议中，比RC4的安全性更高。
2. AES支持的长度是128bit、192bit、256bit的密钥，WPA2使用其中的128bit长度类型。
3. WPA2 兼容上一代 WPA，支持WPA2的设备和只支持WPA的设备也能通信。
4. AES采用了类似TKIP 的协议 CCMP，其中， CBC-MAC 是密码段连接/消息认证码的意思。
5. AES：（Advanced Encryption Standard，高级加密标准）算法，WPA2使用128位块加密，提供强大的安全保障。
6. CCMP协议：”Counter Cipher Mode with Block Chaining Message Authentication Code Protocol，计数器模式密码块链消息认证码协议“。它是一种为无线局域网设计的安全协议，主要用于提供数据的机密性和完整性保护。
7. CCMP是IEEE 802.11i标准的一部分，被广泛应用于WiFi网络中，以替代旧的、安全性较低的WEP和TKIP协议。
8. AP的加密方式可以选择“WPA-PSK(TKIP)、WPA-PSK(AES)、WPA2-PSK(TKIP)、WPA2-PSK(AES)。

WPA3

2017 年 10 月，802.11 协议中沿用 13 年的 WPA2 加密被完全破解。

2018 年 6 月 26 日，WiFi 联盟宣布 WPA3 协议已最终完成，这是 WiFi连接的新标准。

1. WPA3在 WPA2 的基础上增加了新的功能，以简化 WiFi 安全保障方法、实现更可靠的身份验证，提高数据加密强度。所有的 WPA3 网络都必须进行管理帧保护 PMF ，保证数据的安全性。
2. PMF ：“Protected Management Frames”，中文是受保护的管理帧，这是一种由WiFi联盟定义的标准，旨在提升WiFi连接的安全性。PMF通过加密保护管理帧，防止黑客窃取信息、仿冒AP或用户，从而提升网络的可信度。
3. 根据 WiFi 网络的用途和安全需求的不同，WPA3 又分为 WPA3 个人版、WPA3 企业版，即 WPA3-SAE 和 WPA3-802.1X 。
4. WPA3 为不同网络提供了额外功能：WPA3 个人版增强了对密码安全的保护，而 WPA3 企业版的用户可以选择更高级的安全协议，保护敏感数据。
5. WPA3 个人版：
   • 对比 WPA2 个人版，WPA3 个人版能提供更可靠的基于密码的身份验证。是由于 WPA3 个人版使用了更安全的协议：对等实体同时验证 SAE, Simultaneous Authentication of Equals。
   • SAE 取代了 WPA2 个人版的 PSK 认证方式，可以有效地抵御离线字典攻击，增加暴力破解的难度。
   • SAE 能够提供前向保密，即使攻击者知道了网络中的密码，也不能解密获取到的流量，大大提升了 WPA3 个人网络的安全。
   • WPA3 个人版只支持 AES 加密方式。
   • SAE 在 WPA/WPA2-PSK 原有的四次握手前增加了 SAE 握手，实质上是为了动态协商成对主密钥 PMK 。
   • 成对主密钥（Pairwise Master Key，简称PMK）：PMK主要用于在无线网络中进行安全认证和密钥协商，以确保数据的机密性和完整性。
   • WPA/WPA2-PSK 的 PMK 只与 SSID 和预共享密钥有关，而 SAE 引入了动态随机变量，每次协商的 PMK 都是不同的，提升了安全性。
6. WPA3 企业版：
   • 企业、政府和金融机构为了更高的安全性可以采用 WPA3 企业版。WPA3 企业版基于 WPA2 企业版，提供一种可选模式：WPA3-Enterpri se 192bit ，这个模式的优点有：
   • 数据保护：使用 192 位的 Suite-B 安全套件，增加密钥的长度。
   • 密钥保护：使用 HMAC-SHA-384 在 4 次握手阶段导出密钥。
   • 流量保护：使用伽罗瓦计数器模式协议 GCMP-256（ Galois Counter Mode Protocol ）保护用户上线后的无线流量。
   • 管理帧保护：使用 GMAC-256（ GCMP 的伽罗瓦消息认证码，Galois Message Authentication Code ）保护组播管理帧。
   • WPA2 企业版支持多种 EAP 方式的身份验证，但是 WPA3 企业版仅支持EAP-TLS 的方式。
7. EAP（Extensible Authentication Protocol）是一种可扩展的身份验证协议，它提供了一个框架，允许使用不同的身份验证方法对网络访问进行安全认证。EAP 广泛应用于无线网络和点对点连接中，是 IEEE 802.1X 认证机制的核心组成部分。
8. 常见的 EAP 方法：
   • AP-TLS (EAP-Transport Layer Security)：使用 TLS 和证书进行相互身份验证，提供高安全性的认证方法。
   • EAP-MSCHAP v2 (EAP-Microsoft Challenge Handshake Authentication Protocol version 2)：使用用户名和密码进行身份验证，是 Microsoft 定义的 EAP 方法。
   • PEAP (Protected EAP)：在 TLS 隧道中封装 EAP，以保护内部 EAP 方法的安全。
   • EAP-TTLS (EAP-Tunneled Transport Layer Security)：在 TLS 会话中封装另一个内部身份验证机制，执行相互身份验证。