Wi-Fi及无线网状网(Mesh)的安全

　　802.11i／WPA2

　　2004年6月，IEEE终于通过了802.11i协议。Wi-Fi联盟则把其802.11i实现取名WPA2，通常这二者被认为是同一件事。

　　相对于已出台的WPA，802.11i使用的的加密协议是AES（AdvancedEncryptionStandard）而非TKIP。AES被认为是一个更强的加密系统，它一般需要专门的硬件支持。今天的Wi-Fi产品应该都已支持AES加密。

　　在安全性的其它方面，802.11i也象WPA一样提供很全面甚至更强的支持。在认证发面，802.1X的体系结构被采用。在密钥使用上，802.11i有一整套密钥等级划分和密钥动态产生及更新机制。802.11i对重传攻击的防范，信息校验等自然也都考虑的非常全面。总而言之，802.11i是一整套非常全面，同时也非常复杂的安全协议系统，代表了当前Wi-Fi安全的最高级支持。由于其复杂性，细节不可能在本文中一一介绍。下面只就其中

　　采用的802.1X认证体系结构作一个简单介绍。

　　802.1X

　　802.1X是IEEE关于局域网络访问控制的标准，它是一个基于端口概念的标准。它可以用来决定是否给予一个用户访问一个网路端口的权限。这里”端口”是指逻辑上的端口.具体到Wi-Fi中,一个客户端与AP的连接（association)就可视为一个端口。

　　802.1X是一个标准，它使用的主要协议则是基于一个IETF定义的叫EAP的协议。EAP是”可扩展认证协议”的意思（ExtensibleAuthentication

　　Protocol）。顾名思义，EAP是一个可扩展的协议框架。具体的EAP协议则可以有很多种，例如EAP-TLS,EAP-TTLS,PEAP等等。EAP最初并非为局域网（LAN）设计，所以EAP在局域网上的实现有一个自己的名字：EAPOL，

　　是EAPoverLAN的意思。EAPOL就是802.1X的核心部分。

　　802.1X和EAP都并非为Wi-Fi而设计，但却在Wi-Fi上找到了广泛的应用。在802.1X的典型体系结构中,有以下三个参与信息交互的角色：