IEEE802.11i的网络构架和安全改进 

 　　安全性对于无线局域网来说可谓老生常谈，自它诞生之日起，与其灵活便捷的优势共存的就是安全漏洞这个挥之不去的阴影。据统计，不愿采用无线局域网的理由中，安全问题高居第一位，达40%以上，已经成为阻碍WLAN进入信息化应用领域的最大障碍。现有的安全机制由于不能提供足够安全的基础建设模块，让解决WLAN安全成本的负担转移到整个WLAN价值链上的产品制造厂商、系统集成商和用户，这种不合理的成本转嫁使市场上产生了多种安全安装解决方案，而最终用户为了能够实施设备厂商提供的多种安全安装方案而不断付出更多的安全成本。

　　为了使WLAN技术从这种被动局面中解脱出来， IEEE 802.11i工作组致力于制订被称为IEEE 802.11i的新一代安全标准，

　　802.11i的网络构架

　　802.11i标准规定了两种网络构架：过渡安全网络(TSN)和强健的安全网络(RSN)。

　　TSN：规定在其网络中可以兼容现有的使用WEP方式工作的设备，使现有的无线局域网系统可以向802.11i网络平稳过渡。市场对于提高WLAN安全的需求是十分紧迫的，IEEE 802.11i不能解决上述RSN对于现有设备升级困难的问题，标准的制定进展也不能完全满足这一需要。因此，TSN的发展和制定就显得十分重要。

　　在这种情况下，Wi-Fi联盟制定了WPA（Wi-Fi Protected Access）标准，作为向IEEE 802.11i过渡的中间标准。这一标准采用了IEEE 802.11i的草案，保证了与未来出现的协议的前向兼容。

　　RSN：为了使WLAN技术从这种被动局面中解脱出来， IEEE 802.11的i工作组致力于制订被称为IEEE 802.11i的新一代安全标准，这种安全标准为了增强WLAN的数据加密和认证性能，定义了RSN(Robust Security Network，健壮安全网络)的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。

　　IEEE 802.11i的安全改进：

　　相比以往的无线安全协议，IEEE 802.11i具有以下一些技术优势：

　　WLAN底层引入AES算法，克服WEP的缺陷

　　有线对等保密(WEP)协议的缺陷延缓了无线局域网(WLAN)在许多企业内的应用和普及。无线局域网网络会暴露某个网络，因此，从安全的角度来讲，不能像核心企业网络而必须像接入网络那样来对待。如果企业用户通过一个局域网交换中心互相连接，人们就可认为他们已经成为信任用户。

　　WEP在接入点和客户端之间以“RC4”方式对分组信息进行加密的技术，密码很容易被破解。WEP使用的加密密钥包括收发双方预先确定的40位（或者104位）通用密钥，和发送方为每个分组信息所确定的24位、被称为IV密钥的加密密钥。但是，为了将IV密钥告诉给通信对象，IV密钥不经加密就直接嵌入到分组信息中被发送出去。如果通过无线窃听，收集到包含特定IV密钥的分组信息并对其进行解析，那么就连秘密的通用密钥都可能被计算出来。

　　为了帮助堵住无线局域网中的安全漏洞，IEEE 802.11工作组建立了802.11i任务小组，为802.11标准开发安全升级。802.11i规定了一个基于“高级加密标准”AES加密算法的CCMP(Counter-Mode/CBC-MAC Protocol)数据加密模式CCMP，以实施更强大的加密和信息完整性检查。

　　AES是1997年1月由NIST提出的，其目的是开发一种新的能保证政府信息安全的编码算法。AES是一种对称的块加密技术，提供比WEP/TKIP中RC4算法更高的加密性能。对称密码系统要求收发双方都知道密钥，而这种系统的最大困难在于如何安全地将密钥分配给收发的双方，特别是在网络环境中。AES加密算法使用128bit分组加码数据。

　　它的输出更具有随机性，对128比特、轮数为7的密文进行攻击时需要几乎整个的密码本，对192、256比特加密的密文进行攻击不仅需要密码本，还需要知道相关的但并不知道密钥的密文，这比WEP具有更高的安全性，攻击者要获取大量的密文，耗用很大的资源，花费更长的时间破译。它解密的密码表和加密的密码表是分开的，支持子密钥加密，这种做法优于最初的用一个特殊的密钥解密，很容易防护幂攻击和同步攻击，加密和解密的速度快，在安全性上优于WEP。