與使用“深度防御”方法的所有較好的安全策略一樣，無線網(wǎng)絡的安全應在多個層次上實現(xiàn)。企業(yè)級無線解決方案中最常見的安全措施包括身份認證、加密和訪問控制。

    一、無線身份認證

    傳統(tǒng)的有線網(wǎng)絡使用“用戶名和密碼”進行身份認證已經(jīng)有很多年了。CHAP、MSCHAP、MS-CHAPV2和EAP-MD5查詢是有線和撥號基礎設施中經(jīng)常使用的密碼查詢機制。這些身份認證系統(tǒng)基于一個密碼散列以及身份認證服務器發(fā)出的隨機查詢。雖然密碼散列/查詢系統(tǒng)在有線基礎設施中一直相當可靠，但現(xiàn)在已經(jīng)證明，以無線的方式部署相同的身份認證機制是有缺陷的。通過捕獲或偵聽廣播頻率中的身份認證數(shù)據(jù)包，黑客們可以使用常見的字典攻擊工具來發(fā)現(xiàn)空中傳輸?shù)拿艽a，通過中間人攻擊來竊取會話信息，或嘗試進行重放攻擊。

    因為有線網(wǎng)絡中使用的身份認證方法存在的缺陷可以在無線網(wǎng)絡中很容易地被利用，所以IETF和IEEE標準委員會已經(jīng)與領先的無線供應商合作，建立更可靠的無線身份認證方法。IEEE802.1x就是目前一種最主要的無線身份認證標準。

    二、802.1xWiFi身份認證

    IEEE無線局域網(wǎng)委員會對802.1x進行了增強，并建議將其作為強化無線環(huán)境中用戶身份認證的途徑。它解決了早期802.11b實現(xiàn)方案中常見的問題，并允許使用可擴展身份認證協(xié)議(EAP)子協(xié)議來增加客戶端和身份認證服務器之間身份認證信息交換的安全性，以及對這些信息進行加密。作為一種身份認證框架，802.1x奠定了客戶端如何通過一個身份認證服務器進行身份認證的基礎。它是一種可以使用子協(xié)議對其進行擴展的開放標準，而且沒有指定應該優(yōu)先使用哪一種EAP身份認證方法，這樣，當開發(fā)出更新的身份認證技術時，就可以對其進行擴展和升級。

    802.1x使用一個外部身份認證服務器(通常是RADIUS)對客戶端進行身份認證。目前，除了執(zhí)行簡單的用戶身份認證外，一些無線產(chǎn)品已經(jīng)開始使用身份認證服務器來提供用戶策略或用戶控制功能。這些高級功能可能包括動態(tài)VLAN分配和動態(tài)用戶策略。

    與較早的802.11b實現(xiàn)方案相比，802.1x的優(yōu)勢包括：

    (1)身份認證基于用戶，每一個訪問無線網(wǎng)絡的人都在RADIUS身份認證服務器上擁有一個獨一無二的用戶賬戶。這樣，就不再需要那些依靠MAC地址過濾和靜態(tài)WEP密鑰(易于被偽造)的基于設備的身份認證方法。

    (2)ADIUS服務器集中了所有的用戶賬戶和策略，不再要求每一接入點擁有身份認證數(shù)據(jù)庫的一份拷貝，從而簡化了賬戶信息的管理和協(xié)調(diào)。

    (3)RADIUS作為一種對遠程接入進行身份認證的方法，多年以來得到了普遍認可和采納。人們對它十分了解，而且它本身也是一種成熟的技術。

    (4)公司可以選擇最適合其安全需求的EAP身份認證協(xié)議——在要求高安全性的情況下可選擇雙向證書，在其他情況下可選擇單向證書以加快實現(xiàn)速度和降低維護成本。流行的EAP類型包括EAP-TLS、EAP-TTLS和PEAP。

    (5)為提供所要求的可擴展性，可以以分層的方式部署身份認證服務器

    (6)與將用戶賬戶存放在每一接入點上的獨立接入點管理解決方案相比，802.1x的總擁有成本(TCO)更低。