WiFi保護(hù)設(shè)計(jì)的誕生背景與工作原理

WPS( WiFi Protected Setup) 是 WiFi聯(lián)盟于2007年1月8日發(fā)布的一個簡單的、可靠的無線網(wǎng)絡(luò)標(biāo)準(zhǔn)。這個由 WiFi 聯(lián)盟開發(fā)的可選認(rèn)證項(xiàng)目主要針對家庭和小型企業(yè)無線網(wǎng)絡(luò)用戶，旨在簡化無線局域網(wǎng)的安全設(shè)置，使用戶能夠更加輕松地在網(wǎng)絡(luò)中添加新設(shè)備，并啟用其安全性能。

WPS的誕生背景

根據(jù)Jupiter研究機(jī)構(gòu)2006年進(jìn)行的一項(xiàng)民意調(diào)查顯示，安全性是用戶最為關(guān)注的內(nèi)容，但只有60%的無線網(wǎng)絡(luò)具備相應(yīng)的安全保護(hù)。主要原因是很多用戶對安全技術(shù)了解太少，因此只能選擇放棄使用安全設(shè)置。

無線局域網(wǎng)安全系統(tǒng)，包括當(dāng)前的WPA2標(biāo)準(zhǔn)，都要求用戶通過驗(yàn)證后才能登錄網(wǎng)絡(luò)啟用安全性能。傳統(tǒng)做法是，當(dāng)用戶構(gòu)建新的WLAN時，必須首先在無線AP上設(shè)置網(wǎng)絡(luò)名稱和密碼，無線AP再根據(jù)密碼生成安全密鑰。當(dāng)新的客戶端添加到這個WLAN時，用戶還須要選擇相應(yīng)的網(wǎng)絡(luò)名稱并輸入密碼。客戶端和AP交換安全證書后，新設(shè)備才算連接到無線網(wǎng)絡(luò)。

利用 WiFi Protected Setup標(biāo)準(zhǔn)可以大大縮減這一過程，通過認(rèn)證的接入點(diǎn)和客戶端可以自動生成一個網(wǎng)絡(luò)名稱，并自動尋找其他的認(rèn)證設(shè)備。接下來，用戶只須按下設(shè)備上的一個按鈕，或者在無線局域網(wǎng)中為每個設(shè)備創(chuàng)建一個4位或8位的PIN碼，就可以觸發(fā)認(rèn)證，利用基于WPA2標(biāo)準(zhǔn)的預(yù)定義安全特性對設(shè)備進(jìn)行配置，并將客戶端設(shè)備添加到安全的網(wǎng)絡(luò)。這個過程使得用戶更容易啟動和使用WPA2這項(xiàng)在2006年3月就已經(jīng)成為認(rèn)證產(chǎn)品強(qiáng)制性內(nèi)容的標(biāo)準(zhǔn)。

此外，在今年晚些時候， WiFi聯(lián)盟還計(jì)劃在該認(rèn)證項(xiàng)目中加入另外兩種方法，即通過近距離通信（NFC）方式和USB閃存盤方式將設(shè)備自動連入網(wǎng)絡(luò)，用戶無須輸入PIN 碼，只要用令牌或卡片在新設(shè)備上劃過即可完成配置。

Gartner調(diào)查研究公司的分析師Ken Dulaney認(rèn)為，標(biāo)準(zhǔn)推出后，許多用戶對待安全性的態(tài)度可能還是與目前一樣。不過，如果有些用戶確實(shí)需要較高的安全性，那么這些網(wǎng)絡(luò)設(shè)備的安全設(shè)置過程會比現(xiàn)在簡便得多。特別是對于那些沒有PC接口的設(shè)備（例如打印機(jī)和照相機(jī)）來說，設(shè)置安全性的過程尤其煩瑣?，F(xiàn)在用戶可以使用設(shè)備上的小屏幕和導(dǎo)航按鈕輸入PIN碼，這樣就可以比較方便地進(jìn)行安全設(shè)置，減少了很多麻煩的步驟。

WPS的工作原理

我們用“鎖與鑰匙”的比喻來形容 WiFi Protected Setup認(rèn)證產(chǎn)品的配置及安全機(jī)制。該標(biāo)準(zhǔn)自動使用注冊表為即將加入網(wǎng)絡(luò)的設(shè)備分發(fā)證書。用戶將新設(shè)備加入WLAN 的操作可被看作是將鑰匙插入鎖的過程（即啟動配置過程并輸入PIN碼或按下PBC按鈕）。此時， WiFi Protected Setup啟動設(shè)備與注冊表之間的信息交換進(jìn)程，并由注冊表發(fā)放授權(quán)設(shè)備，加入WLAN 的網(wǎng)絡(luò)證書（網(wǎng)絡(luò)名稱及安全密鑰）。

隨后，新設(shè)備通過網(wǎng)絡(luò)在不受入侵者干擾的情況下進(jìn)行安全的數(shù)據(jù)通信，這就好像是在鎖中轉(zhuǎn)動鑰匙。信息及網(wǎng)絡(luò)證書通過擴(kuò)展認(rèn)證協(xié)議（EAP）在空中進(jìn)行安全交換，該協(xié)議是WPA2 使用的認(rèn)證協(xié)議之一。此時系統(tǒng)將啟動信號交換進(jìn)程，設(shè)備完成相互認(rèn)證，客戶端設(shè)備即被連入網(wǎng)絡(luò)。注冊表則通過傳輸網(wǎng)絡(luò)名（SSID）及WPA2“預(yù)共享密鑰”（PSK）啟動安全機(jī)制，由于網(wǎng)絡(luò)名稱及PSK 由系統(tǒng)自動分發(fā)，證書交換過程幾乎不需用戶干預(yù)。WLAN安全設(shè)置的“鎖”就這樣被輕松打開了。