WPA(Wi-Fi访问受保护访问协议)

　　WPA是直接针对WEP的弱点而推出的新加密协议。WPA的基本工作原理与WEP相同，但是它通过一种更少缺陷的方式。WPA有两种基本的方法可以使用，根据你所要求的安全等级而定。大多数家庭和小企业用户可以使用WPA-Personal安全，它单纯的基于一个加密密钥。

　　这种设置下，你的访问接入点和无线客户端共享一个由TKIP或AES方法加密的密钥。尽管这听起来和WEP一样，但是在WPA中使用的加密方法大不相同，而且更复杂，难于破解。

　　实施WPA的另一种方法是组合使用一个WPA加密密钥和802.1X认证，在下面部分将介绍它。

　　802.1X/EAP

　　802.1X和EAP都是IEEE认可的标准，被用来针对有线和无线网络提供改进的认证方式，尽管它们主要应用于无线网络部分中。它们不是基于密码的技术，因此不会作为WEP、TKIP等的直接替代者，而是作为它们的一种扩展功能，可以提供更强的安全保护。

　　• IEEE 802.1X：

　　通常被认为是对端口级别的访问控制，802.1X创建一个从无线客户端到访问点的虚拟端口，用于通信。假若这个通信被认为是未经授权的，那么这个端口就被禁用，通信就被中止。

　　• EAP：

　　可扩展认证协议，或EAP，通常与802.1X联合使用以为无线连接提供认证方法。它包括所需要的用户证书(密码或证书)，所使用的协议(WPA、WEP等等)和对密钥产生的支持。

　　任何使用基于802.1X/EAP认证的无线网络通常可以被分解为三个主要部分。(如下图)

　　• 请求者系统：安装在无线工作站上的客户端

　　• 认证系统：无线访问点

　　• 认证服务器系统：认证数据库，通常是RADIUS服务器，诸如微软的IAS和思科的ACS

　　802.1X认证过程

　　一个典型的802.1X认证过程通常是这样的：

　　无线客户端向访问接入点(AP)发一个EAPOL-Start的包提出认证请求，访问接入点(AP)收到后会向无线客户端作出回应(EAPRequest/Identity包)，之后两者之间就会开始更多的EAP交互。但在这个过程中访问接入点(AP)基本上是一个透明的转发者。

　　它把从无线客户端收到的EAP包，翻译并封装成RADIUS包转发给RADIUS服务器。RADIUS服务器回的包同样也会被翻译回EAP的包送给客户端。整个交互完成后，访问接入点(AP)会最终从RADIUS学到认证是否成功，从而决定是否给予无线客户端以访问权限。

　　基于802.1X/EAP的无线安全措施的使用最适合于企业级别的无线网络。小型网络可以将802.1X与诸如WPA或TKIP等标准加密协议混合使用，而对于大型的安全需求更高的网络来说，则可以考虑是将802.1X与基于证书的认证系统捆绑使用。