Wi-Fi联盟正在扩展其WPA-企业和WPA2-企业认证方案,以加入4个额外被广泛部署的EAP类型和新的客户端和服务器。Wi-Fi保护访问意味着安全的、基于标准的、具互操作性的联网方法。现在已经有5种EAP类型得到支持,它们包括:
- EAP-TLS(先前经测试)
- EAP-TTLS/MSCHAPv2
- PEAPv0/EAP-MSCHAPv2
- PEAPv1/EAP-GTC
- EAP-SIM
WPA-企业和WPA2-企业的扩展EAP方案是对当前身份验证领域状况的响应,这些类型都是许多供应商普遍使用的非专有EAP类型,它为IT管理人士提供了更强大的互操作性和更多的供应商选择。
我如何得知某个产品是否已获得这些EAP类型的认证?
在成功完成测试后,一个产品会被授予证书,该证书可以在WFA网站上查看,通常也可以在随付产品的文档中找到。IT管理人士应特别指定获得Wi-Fi认证的设备,并在RFP中要求提供证书。
你们将来会提供其它EAP类型吗?
是的,随着Wi-Fi安全领域的发展,很有可能会增加其它EAP类型。
什么是EAP?
可扩展身份验证协议,一种用于验证网络设备身份的身份验证机制。
这些新EAP类型的认证是强制性的吗?如果是,原因是什么?如果不是,原因又是什么?
此方案在短期的2至3个月内是选择性的,之后将强制执行,以使会员公司可以最有效地管理他们的产品开发。WPA的可选时期是5个月;WPA2的可选时期更长,因为WPA仍是一种非常强大的安全解决方案 。
通过这些新EAP类型认证的产品什么时候会面市?
这由会员公司自己决定,但您可以预期在认证开始不久后,在网站的WFA数据库中见到这些经过认证的产品。因为会员公司都密切参与了方案制定,因此,通常在很短的时间内就可以看到经过认证的产品。
什么设备将接受具有新EAP类型的WPA/WPA2认证?
认证的提供对象为硬件产品、客户机设备和访问点。
为什么不将这些新的类型叫做WPA3?
WPA和WPA2代表了Wi-Fi安全领域具重大意义的进步。我们要把WPA3这个名称留给安全领域的下一个重大进步(任何超越802.11i的技术)。
这一方案是否会对SOHO/家庭用户产生影响?
这些认证影响的是运行于受控网络内的企业级产品。
为什么WFA如此重视安全解决方案 ?
安全性是许多受控网络IT管理人士的最主要顾虑之一。在最近的一项调研中,安全性和标准兼容性被列为选择企业网络产品时最重要的两项因素,其中35%的IT管理人士将安全性列为他们的首要顾虑(WFA企业调研2004)。Wi-Fi联盟长期以来在可互操作的、基于标准的安全性领域一直起着主导作用。
认证过程通常要花多长时间?
认证时间基于请求认证类型的数量,但测试时间的范围是1到3天。
这将对多少当前已经过认证的产品产生影响?又会影响多少新产品?
会员公司可以选择认证以前已经过认证的产品,但是我们有理由预期许多新产品接受认证的费用与WPA/WPA2认证差不多。大约总共有800种产品已经通过WPA/WPA2认证。
Wi-Fi保护访问是如何形成的?
Wi-Fi最初的安全机制,有线对等保密(WEP),已被认为对保障机密业务通信力有不足。一种更长期的解决方案,IEEE 802.11i标准正在开发中。但是,由于IEEE 802.11i标准在2003年底前都不会发布,Wi-Fi联盟的几名会员与IEEE 802.11i工作小组成员组成团队,以开发一种近期的功效显著的Wi-Fi安全增强。该团队一起开发了Wi-Fi保护访问。
这项工作也是受到了对增强的Wi-Fi安全需求的推动,这种增强的Wi-Fi安全可以通过在现今超过650种Wi-Fi CERTIFIED产品上软件升级来实现。Wi-Fi保护访问被设计成一种软件升级,但又获得了可能需要硬件变化才能实现的完整IEEE 802.11i标准的全部优势。
Wi-Fi保护访问作为有效的安全解决方案能维持多长时间?
Wi-Fi保护访问将于2003年初实施启用,并且会在今后的许多年里发挥作用。
Wi-Fi保护访问是一项IEEE 802.11标准吗?
不是,但它是基于一项IEEE 802.11标准。Wi-Fi保护访问是从即将推出的IEEE 802.11i标准草案中派生而出,并设计与此标准向前兼容,所以当该标准发布时即可与其兼容。
什么是Wi-Fi保护访问?
Wi-Fi保护访问是一种基于标准的、具互操作性的安全增强的规范,它极大地提高了现有的和未来的Wi-Fi无线LAN系统的数据保护(加密)和访问控制(身份验证)的等级。
Wi-Fi保护访问对家庭和SOHO用户有用吗?
是的。Wi-Fi保护访问有一项为不用访问网络服务器的家庭和SOHO用户设计的特别模式。在该模式中,家庭或SOHO用户手动输入启动密码来激活Wi-Fi保护访问。
具Wi-Fi保护访问的产品将什么时候面市?
具Wi-Fi保护的产品的首批出售预计将于2003年5月开始。许多其它供应商会在2003年里进行销售。
支持Wi-Fi保护访问的产品在销售时,这一功能是默认开启还是关闭的?
在初始阶段,Wi-Fi联盟允许供应商在销售时自行决定将Wi-Fi保护访问开启或关闭。最终,可能要求发货时必须将Wi-Fi保护开启。
Wi-Fi保护访问有多安全?
Wi-Fi保护访问是一种非常强大的无线安全增强。虽然没有任何安全解决方案可以称自己是“绝对安全”的,Wi-Fi保护访问提供的保护还是相当显著的。许多加密员都确信,Wi-Fi保护访问解决了所有WEP上的已知攻击问题。它还增加了强大的用户身份验证,这在WEP中是没有的。
企业用户会替换他们的专有安全解决方案吗?他们会用Wi-Fi安全保护加以替换吗?
大多数企业客户一直以来都在寻找基于标准的、具互操作性的、强大的Wi-Fi安全机制;他们采用专有技术只是因为之前没有类似Wi-Fi保护访问的技术。一旦具Wi-Fi保护访问的产品面市,我们估计在初始阶段,一些公司将仅部署Wi-Fi保护访问,一些公司会将Wi-Fi保护访问和专有方案混合使用,还有一些公司则将继续使用他们的专有方案。我们预计Wi-Fi保护访问会得到快速部署,尤其是使用来自不同供应商的Wi-Fi产品的那些公司。从更长远的角度来看,我们预计大多数公司会迁移至Wi-Fi保护访问,作为一项基于标准的解决方案。
Wi-Fi保护访问安全机制可以和现有的Wi-Fi CERTIFIED无线LAN产品协同工作吗?
是的,前提条件是现有的产品已进行Wi-Fi保护访问的升级。如上所述,Wi-Fi保护访问被设计成一种软件升级。
Wi-Fi联盟什么时候开始认证具Wi-Fi保护访问的产品?
Wi-Fi Alliance于2003年4月开始认证Wi-Fi保护访问。在初始阶段,是否获得Wi-Fi认证是可选的,因为Wi-Fi联盟允许给供应商一个逐渐适应的阶段。在2003年底前,Wi-Fi保护访问将成为Wi-Fi认证的强制性部分。
Wi-Fi保护访问可以在同时具有WEP和Wi-Fi保护访问组件的网络中运行吗?
Wi-Fi联盟没有测试过,也不支持同时使用WEP和Wi-Fi客户机设备的“混合模式”。但是,在拥有许多客户机的大型网络中,一种可能出现的情况是访问点会在所有Wi-Fi客户机可以升级前先行升级。有些访问点可以支持混合模式,该模式同时支持运行Wi-Fi保护访问的客户机和运行最初WEP安全机制的客户机。同时支持两种模式的代价就是安全机制的有效性为访问点所能允许的最小程度(比如WEP),所以将所有Wi-Fi工作站加速转移到Wi-Fi保护访问,并将访问点设置为仅允许Wi-Fi保护访问,可以使组织获益。
IEEE 802.11i和WPA2之间的关系是什么?
所有获得WPA2的Wi-Fi CERTIFIED的产品都基于IEEE 802.11i标准,并且实现了该标准的强制性元素。WPA2是Wi-Fi Alliance认可的对802.11i具互操作性的实现。
将访问点和客户机升级至Wi-Fi保护访问会涉及哪些内容?
访问点需要进行软件升级。客户机需要对其网络接口卡进行软件升级,可能也要对操作系统进行软件升级。对于企业网络,网络中将添加一台身份验证服务器 — 该服务器通常支持RADIUS和所选的EAP身份验证协议。
WPA和WPA2在哪些方面不同?
WPA2通过高级加密标准(AES)提供更强大的加密机制,这是一些公司和政府用户所需要的。
WPA2是基于IEEE标准的吗?
是的,WPA2基于IEEE 802.11i标准。
WPA和WPA2在哪些方面相似?
WPA和WPA2都能为最终用户和网络管理员提供高级别的保障,确保他们数据的隐私性以及网络访问仅限于授权用户。
两者都使用802.11X和可扩展身份验证协议(EAP)进行身份验证。两者都具有个人和企业两种操作模式,可满足消费者和企业两种不同的细分市场的截然不同的需求。
Wi-Fi联盟什么时候开始对WPA2进行互操作性认证测试?
认证测试计划于2004年9月1日开始。
获得了WPA2的Wi-Fi CERTIFIED的产品将什么时候面市?
2004年9月。Wi-Fi Alliance将于9月1日公布第一批即将面市的获得WPA2的Wi-Fi CERTIFIED的产品。许多其它产品会在接下来的数星期和数月内获得WPA2的Wi-Fi CERTIFIED。
WPA2向下兼容WPA吗?
是的。所有获得WPA2的Wi-Fi CERTIFIED的产品都将与获得WPA的Wi-Fi CERTIFIED的产品具互操作性。
WPA产品能够升级至WPA2吗?如果可以,有什么要求?
有些WPA产品可能可以通过软件升级至WPA2。其它产品需要更改硬件,因为WPA2所需的AES加密本身是运算密集型的。
WPA2向下兼容WEP吗?
Wi-Fi Alliance没有将WEP视作安全解决方案。出于安全原因,像WPA一样,运行于WPA2模式的产品不能同时支持WEP设备。
但是,为了早期设备的兼容性,WEP仍是所有Wi-Fi CERTIFIED产品互操性测试基本标准的一部分。随着时间的推移,Wi-Fi联盟可能会将WEP从Wi-Fi认证的要求中去除。
WPA2提供个人和企业两种版本吗?
与WPA样,WPA2提供个人和企业两种操作模式。在个人操作模式中,预共享密钥(密码)用于身份验证,而在企业操作模式中,身份验证是通过802.11X和EAP实现的。个人模式只需要一个共享点和客户机设备,而企业模式则通常需要在网络上具备一台RADIUS或其它身份验证服务器。
WPA2如何提供身份验证?
WPA2 - 企业提供使用IEEE 802.1X和EAP的身份验证。WPA2 - 个人提供通过预共享密钥或密码实现的身份验证。
WPA2如何提供数据加密?
WPA2通过AES提供数据加密。与其不同的是,WPA使用临时密钥完整性协议(TKIP)。
WPA2拥有会话密钥吗?
与WPA一样,WPA2在每次关联时都会创建新的会话密钥。这样做的好处就是网络上每个客户机使用的加密密钥对于该客户机都是唯一和特殊的。最终,每个通过空中发送的数据包都会以独一无二的密钥加密。能够避免密钥的重复使用并提供唯一、崭新的加密密钥是优秀安全措施的一项基本原则,也是WPA和WPA2之所以能提供如此优秀的安全性的原因。
在WPA2发布后,企业对Wi-Fi网络的采用会增加吗?
在具WPA2的Wi-Fi CERTIFIED的产品发布后,预计政府和企业对Wi-Fi网络的部署会随之增加。
WPA仍旧安全吗?
是的,WPA仍是安全的。WPA是对于Wi-Fi安全机制的主要升级,对于企业和家庭用户都适用。WPA经过独立验证,可解决所有已知的WEP漏洞。WPA2并不是为了解决任何WPA缺陷而发布的。
为什么Wi-Fi联盟要引入WPA2?
有些公司用户想要基于完整802.11i标准的Wi-Fi CERTIFIED产品。有些政府部门需要满足FIPS 140-2要求的安全解决方案 ,这正是WPA2的AES能够解决的。
更多信息,请访问http://www.wi-fi.org/knowledge_center_overview.php?type=2。