wpa2包含下列哪个协议标准的所有安全特性（WPA与WPA2协议的安全区别、优缺点）

WPA背景

目前WPA分为三个版本：WPA、WPA2和最近发布的WPA3。最初的WPA协议实现了IEEE 802.11i标准草案，由于有线等效保密(WEP)协议中的安全缺陷而引入了WPA协议。随后的WPA2协议实现了最终IEEE 802.11i标准的所有强制性要求，从而增加了协议的整体安全性。

下表概述了两种协议之间的主要安全差异：

WPA安全模式

在处理WPA网络的认证时，您可以使用以下两种安全模式：

个人：此模式使用预共享密钥(PSK)，类似于用于验证网络客户端的密码。所有客户端都使用相同的PSK连接到网络。

企业：此模式使用远程身份验证拨入用户服务(RADIUS)服务器来处理网络身份验证，这允许每个用户拥有单独的凭据。

企业模型安全性的好处

RADIUS是企业模式安全中使用的关键协议，是一种集中管理的AAA协议(身份验证、授权、网络凭据收集)。这意味着与个人模式安全性相比，RADIUS可以提供以下好处：

身份验证：通过使用凭证对网络客户端进行身份验证，企业和个人模式安全使用共享密码通过个人安全执行身份验证，而企业安全支持多种身份验证方法，如安全。凭据、证书、网络位置等。当客户端使用自己的凭证连接到企业网络时，这可以使用户与众不同，从而有助于用户管理、网络分析等。

授权：企业安全允许用户基于身份验证期间授予的权限访问资源，这是可能的，因为客户端有自己的一组凭据，所以在个人模式安全中是不可能的。

网络凭据收集：企业安全允许跟踪用户访问的网络使用和服务，从而提供网络内的可审计性。

由于企业模式允许用户拥有自己的网络凭据集合，因此在“个人”模式下使用预共享密钥将带来许多安全优势，包括：

您可以随时撤销单个用户的访问权限；

限制共享凭据的风险；

唯一的用户加密密钥可以防止用户解密彼此的数据；

网络的可审计性，因为网络流量可以绑定到用户。

相比之下，使用共享密码的网络会有以下情况，但不限于以下风险：

前员工：离职的前员工，因为认识PSK，所以还能上网络；

被盗/丢失的设备：被盗或丢失的设备可能会将网络现有的PSK泄露给恶意的人；

密码共享：员工可以向客人和朋友提供网络密码，方便使用。

所以个人网络的密码是必须要更改的，而且这个更改还得推送给用户，从而影响到所有用户。但是，通过使用企业模式安全性，可以更容易地弥补上述风险。

使用企业模式安全性的其他显著优势包括：

防止恶意接入点攻击，因为客户端和/或服务器可以相互认证；

将认证数据的异构日志记录在一个位置，以便于日志收集和监控；

细粒度的访问控制配置，如允许部分用户访问互联网，但不允许访问公司资源，或允许完全访问等。

使用企业安全可以确保组织能够实现可审核且安全的网络的关键功能，并且它应该用于任何用于业务目的且可以访问公司系统的无线网络。

企业模型安全性的缺点

尽管企业模型安全性有许多优点，但是在实际部署之前应该考虑一些潜在的缺点。遇到的缺点通常取决于部署的配置和规模，但这些缺点通常只存在于初始部署阶段。

在部署过程中会遇到以下问题，这些问题在典型部署中影响最大：

与简单的个人模式无线设置相比，企业模式需要设置RADIUS服务器。对于以前从未使用过此技术的IT管理员，如果部署足够大，例如，如果部署需要灾难恢复/故障切换。

选择合适的企业身份验证方法也会影响初始设置期间所需的工作。要求在所有客户端和身份验证服务器(RADIUS)上安装数字证书的身份验证方法要求将证书推送到所有相应的设备。而只有认证服务器需要证书的认证方式会大大减少工作量，但却以牺牲安全性为代价。

WPA企业架构

首先了解一下802.1X标准的背景。在高层次上，该标准定义了局域网和广域网上的认证机制。这包括有线和无线网络，实际上是通过WPA企业安全模式来实现的。因此，在这篇博客中，术语企业模式和802.1X身份验证可以松散地互换。此外，虽然这篇博文关注的是无线网络，但是这个概念可以扩展到包括有线网络。

企业模式安全性继续存在，RADIUS服务器用于执行所有身份验证任务。客户端通常与接入点通信，接入点在客户端和执行用户认证的认证服务器之间透明地传递消息。

以下标准定义用于描述企业模型环境中的系统：

请求者：将连接到网络的客户端设备(如微软Windows笔记本电脑/台式机)或移动设备(如iOS和Android设备)；

认证者：可以在请求者和认证服务器之间传递消息的访问点；

身份验证服务器：运行远程身份验证拨入用户服务(RADIUS)协议的服务器。该服务器用于执行用户的认证和验证。

以下是RADIUS协议的常见实现：

网络策略服务器(NPS):这是Microsoft RADIUS协议的实现，包含在Microsoft Windows Server 2008和更高版本中。在此之前，它被称为互联网认证服务(IAS)；

FreeRADIUS:这是一个免费的RADIUS服务器，可以安装在大多数操作系统上。FreeRADIUS可高度定制，可用于多种身份验证类型；

请注意，这些不是唯一的RADIUS实施，还有许多供应商解决方案。供应商解决方案也可以与组织中的现有产品很好地集成，因此应该考虑它们。

下表总结了针对上述问题的RADIUS解决方案的优缺点：

EAP认证方法

对于无线企业模式网络认证，使用可扩展认证协议(EAP)框架(802.1X标准实际上定义了“EAP over LAN”网络的封装，称为EAPOL)。EAP框架没有定义身份验证的模式，而是定义了标准功能，从而允许开发符合这些标准功能的各种EAP方法。

最安全的EAP方法包括“外部”和“内部”认证。“外部”身份验证方法是创建安全隧道以安全传输身份验证信息的过程。这是通过使用服务器和/或客户端证书创建TLS隧道来实现的。“内部”身份验证方法执行身份验证，身份验证在“外部”身份验证方法创建的安全隧道中执行，以确保隐私和防篡改。

最常见和最安全的EAP身份验证方法如下：

传输层安全性(EAP-TLS):请求者服务器和认证服务器都需要通过数字证书来验证彼此的身份。因为服务器对客户端进行身份验证，所以这被认为是最安全的方法，销毁用户密码不足以获得网络访问权限。

EAP-TTLS:此方法通过使用外部TLS隧道安全地执行身份验证。TLS隧道是使用身份验证服务器上的数字证书建立的，但是客户端不需要数字证书。此方法支持基于旧密码的内部身份验证方法，如MSCHAPv2。

PEAP:与EAP-TTLS类似，它使用安全加密的TLS连接，只有客户端需要对服务器进行身份验证。然而，PEAP隧道用于内部认证的EAP方法。这允许基于传统密码的身份验证方法，如EAP-MSCHAPv2，但也允许EAP-TLS等EAP方法的安全隧道。

虽然EAP-TLS被认为是最安全的EAP方法，但它的实现是便利性和安全性之间的权衡。这是因为在生成证书并将其推送到所有客户端设备时，需要对其进行管理。我们希望使用这种EAP方法，因为它可以防止多种攻击，主要是恶意接入点，因为客户端和服务器都必须相互认证。

客户端安全注意事项

在部署企业模式安全之前，最好了解一些客户端应该实现的常见安全配置选项。

以下选项在Microsoft和macOS操作系统中可用：

验证服务器证书：要求客户端在验证之前验证验证服务器证书。如果证书不可信，将提示用户接受它。对于macOS系统，可以对认证服务器证书进行硬编码，使其可信。

认证服务器名称：限制客户端只能连接到授权的认证服务器。通过检查身份验证服务器证书中的通用名称(CN)来验证它是否与此字段中列出的任何服务器相匹配。

启用身份隐私：启用身份隐私将防止在尝试进行身份验证时以明文形式发送任何用户名。这通常通过使用“匿名”身份来实现，从而防止网络中的信息泄露给攻击者。

Microsoft操作系统提供了以下选项：

受信任的根证书颁发机构：客户端应该信任向身份验证服务器颁发证书的根证书颁发机构(CA)。最安全的配置是确保只明确检查受信任的根CA，以防止某些已知的攻击，这些攻击使用带有恶意访问点的签名证书。

禁止用户授权新的服务器或CA:应启用此选项以防止用户验证任何新证书。管理员应该处理证书，使其在日常使用中不会生成警告，启用此功能将防止用户意外接受来自恶意访问点的证书警告。

实施/迁移到WPA企业的建议

当尝试部署WPA企业模式安全网络时，无论是升级到现有环境还是新环境，都应谨记以下一般技术部署规则：

在测试环境中执行测试和初始部署；

如果在现有系统上执行测试，请务必首先进行备份；

记录为便于复制而采取的步骤；

进行关键变更时确保流程到位，以便在发现问题(如问题)时可以快速恢复变更。恢复失败的部署，从而减少用户的无线接入。

企业模式无线网络的部署遵循以下部署步骤：

研究计划：研究您组织当前的无线网络配置；组织想要实现什么样的安全状况？要达到理想的安全状态，必须采取哪些措施？

测试：将实施计划部署为测试环境；

部署：将网络部署到生产环境中；

用户迁移：将用户从现有网络无缝迁移到新网络。

研究计划

研究和规划的目的是确定当前网络的功能，以便有效地规划配置。

当前有哪些客户端连接到网络？这将有助于确定当前客户端网络本身支持哪些身份验证方法。Microsoft 7和早期版本本身不支持EAP-TTLS，但是您可以安装允许此功能的软件。此外，这将使您能够确定RADIUS服务器必须支持哪些身份验证方法。

您的组织愿意支持哪些身份认证类型？这将有助于确定所需的基础设施。例如，EAP-TLS将需要广泛的公钥基础设施(PKI)来管理服务器和客户端证书，而PEAP只需要客户端信任的服务器证书。

哪个证书颁发机构(CA)将用于向RADIUS服务器/客户端颁发证书？建议使用内部CA，因为所有客户端都需要信任该CA。如果使用公共CA，攻击者可以从公共CA购买证书，并伪装成内部RADIUS服务器。

是否支持自带设备(BYOD)和访客网络？如果是这样，应该允许适当的身份验证方法。例如，EAP-TLS不适合作为唯一支持的身份验证方法来实现。

有多少客户端连接到当前的无线网络？识别当前网络负载将有助于评估RADIUS服务器在高负载期间是否会承受过大的压力。如果是这样，负载平衡可能需要多个RADIUS服务器。

网络能承受停机时间吗？如果网络宕机不可接受，请考虑多台RADIUS服务器处于故障切换模式。

测试部署

在大多数情况下，部署将包括以下内容：

测试和部署RADIUS服务器；

设置无线网络。

部署新的RADIUS服务器时，首先确保单个服务器实例正常工作。如果计划了多个RADIUS服务器，您可以拷贝和复制第一个RADIUS服务器的配置。此外，在测试阶段，可以将测试证书部署到RADIUS服务器和测试客户端。但在实践中，请确保始终使用有效的证书。

设置测试网络时，请使用一次性/备用接入点创建网络，然后尝试将客户端连接到测试网络，以确保测试设置按预期工作。

和用户迁移。

部署最终的基础设施；

更新现有网络配置或实施新的网络配置，以使用企业模式安全性；

将所需的无线配置文件推送到客户端；

为客户端如何获得合适的无线配置制定一个可靠的计划非常重要。

如果Windows主机主要在组织内使用并通过Active Directory管理，您可以通过Active Directory启动无线配置文件。对于Mac OS主机，您可以使用“Apple Configurator”等软件将无线描述文件推送到被管理的设备。对于Linux主机和非托管设备，如网络中的iOS和Android手机，客户端可能需要设置自己的设备。在这种情况下，组织可以为这些系统提供详细的配置指南，以便用户可以安全地连接。

摘要

我希望这个深入的研究可以让你明白，使用WPA企业模式安全优于个人模式安全，虽然可能需要一些时间来学习和部署用于这种安全模式的基础设施。编辑AJX