无线局域网(WLAN)的加密与认证方式是保障网络安全的核心机制,主要用于防止未授权设备接入和数据传输被窃听。以下是常见的加密方式和认证方式分类及说明:
一、加密方式(保护数据传输安全)
加密方式用于对无线传输的数据包进行加密,确保即使被截获也无法被破解。常见的加密算法和标准如下:
-
WEP(Wired Equivalent Privacy,有线等效保密)
- 早期的WLAN加密标准,初衷是提供与有线网络相当的安全性。
- 缺陷:采用RC4加密算法,密钥长度短(64位或128位),且密钥管理机制薄弱,容易被暴力破解,目前已被淘汰,不建议使用。
-
WPA(Wi-Fi Protected Access,Wi-Fi保护访问)
- 为替代WEP推出的过渡标准,解决了WEP的部分安全漏洞。
- 加密算法:采用TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议),在RC4基础上增加了密钥动态更新和完整性校验,安全性优于WEP。
- 缺陷:TKIP仍基于RC4,存在潜在安全风险,目前已逐步被淘汰。
-
WPA2(Wi-Fi Protected Access 2)
- 基于802.11i标准的正式加密标准,是目前应用最广泛的加密方式。
- 加密算法:采用AES(Advanced Encryption Standard,高级加密标准),取代了WPA的TKIP。AES是一种对称加密算法,密钥长度可支持128位、192位或256位,安全性极高,抗破解能力强。
- 优势:支持更严格的密钥管理和完整性校验,是家庭和企业网络的主流选择(目前仍被广泛使用)。
-
WPA3(Wi-Fi Protected Access 3)
- 2018年推出的最新加密标准,用于解决WPA2的潜在漏洞(如KRACK攻击)。
- 加密算法:
- 个人网络(PSK):采用SAE(Simultaneous Authentication of Equals,对等同时认证),取代WPA2的预共享密钥协商方式,防止离线字典攻击。
- 企业网络:支持192位加密套件(AES-CCM模式),提供更高的安全等级。
- 优势:增强了对弱密码的防护,支持"机会性无线加密"(OWE),即使开放网络也能加密数据传输,是目前最推荐的加密方式。
二、认证方式(验证设备/用户身份)
认证方式用于确认接入设备的合法性,确保只有授权设备能接入网络。常见的认证方式如下:
-
PSK(Pre-Shared Key,预共享密钥)
- 适用于家庭或小型网络("个人模式"),通过预先共享一个密钥(如Wi-Fi密码)进行认证。
- 流程:设备接入时需输入与路由器一致的PSK,验证通过后即可接入。
- 对应加密标准:WPA-PSK、WPA2-PSK、WPA3-PSK(家庭网络常用,配置简单)。
-
802.1X认证(企业级认证)
- 适用于企业、学校等大型网络("企业模式"),基于客户端-服务器架构,需结合RADIUS(远程认证拨号用户服务)服务器进行身份验证。
- 流程:设备接入时,需向RADIUS服务器提交身份凭证(如用户名/密码、数字证书),验证通过后由服务器授权接入。
- 优势:支持精细化权限管理(不同用户/设备分配不同权限),安全性远高于PSK,适合对安全要求高的场景。
- 常见EAP(Extensible Authentication Protocol,可扩展认证协议)变体:
- EAP-TLS:基于数字证书的认证,安全性最高(需客户端和服务器均部署证书)。
- PEAP(Protected EAP):通过TLS隧道传输认证数据,无需客户端证书,易用性较高。
- EAP-TTLS:类似PEAP,适合现有账号体系(如Windows域账号)。
-
开放认证(Open Authentication)
- 无身份验证机制,任何设备均可接入(仅用于无需安全的场景,如公共免费Wi-Fi)。
- 注意:即使开放认证,也可通过加密(如WPA3-OWE)保护数据传输,避免明文泄露。
总结与推荐
- 家庭/小型网络 :优先选择 WPA3-PSK (若设备支持),其次 WPA2-PSK(兼容性更好),避免使用WEP或WPA。
- 企业/大型网络 :推荐 WPA3-Enterprise + 802.1X认证(结合RADIUS服务器),确保严格的身份验证和数据加密。
- 核心原则:加密方式优先选择AES(WPA2/WPA3),认证方式根据网络规模选择PSK或802.1X,拒绝使用已被淘汰的WEP。
家庭WLAN网络配置如下: