简化安全设置

　　如今，所有的Wi-Fi认证产品都要求支持WPA2，他结合了高级加密标准（AES）数据保护和预先共享密钥（PSK），或者802.1X认证。但是，为了促进即开即用的互操作性，几乎所有的Wi-Fi产品出货时都把WPA2关闭了。

　　因此，许多的Wi-Fi设备在没有无线安全保护的情况下，仍然在提供服务。这个问题长期以来一直存在于出售给消费者的住宅设备，这些消费者缺乏需要配置PSK的安全意识。为了弥补这一缺口，Wi-Fi联盟创建了一个可选的认证计划，称为Wi-Fi保护设置（WPS）。事实证明，WPS不仅仅是为了SOHOs——他还为许多用于商业WlANs的嵌入式Wi-Fi设备激活WPA提供了一个便捷的方式。

　　如今，500多个产品已经取得了WPS认证——将近300个配备了802.11n。这些设备包括外部和内部的Wi-Fi适配器、笔记本电脑、显示设备、打印服务器、数码相机、语音手持设备、智能电话、数字音频设备、媒体服务器、机顶盒，当然还包括许多Aps和网关。他们所有都可以使用一个或多个WPS技术进行自动WPA-PSK2配置，这些WPS技术有：个人信息码（PIN）、按钮操作配置（PBC）和近场通信（NFC）等。

　　有了PIN方法，所有设备都与一个独一无二的数字联系了起来，这些数字被印刷在设备上或其包装、或显示在设备的LCD面板或屏幕。为了注册一个设备，它的PIN被输入到了“WPS软件官”——通常是AP、网关或者控制器上的一个配置页面。软件官和设备完成一个安全的空中WPS握手，期间，软件官给设备随机分配一个PSK。然后，设备使用这些WPS提供的SSID和PSK值，自己激活WPA2-PSK。

　　有些设备也支持PBC方法，它需要物理WPS按键必须被同时在AP上按下，然后设备就被注册了。在很短的时期内，AP监听和接收附近任何要求WPS注册的设备。这个方法减少了PIN输入，但是在未授权的设备可以设想增加的时候创造了一个简洁的可能性窗口。

　　去年，一个可选的NFC方法被引入来消除这一缺口。当一个激活的NFC客户端设备与AP上的“NFC目标市场”距离小于10厘米时，WPS注册官便使用NFC通信，通过一个嵌入在设备中的环，来读取客户端的身份。一旦验证通过，这个设备将被赋予SSID和PSK，这些都需要用来完成自动的WPA2-PSK设置并加入WLAN。

　　在所有三种方法中，WPS将安全设置职责从用户转移到了网络自身。避免了终端用户对于wi-fi安全参数的配置，这不仅减少了人为混淆和错误，也除去了在嵌入式设备中，手动对WLAN接口配置的需要。

　　超PSK技术

　　WPS是一种保护许多嵌入式Wi-Fi设备的低开销方式。通过分配随机的SSIDs到每个WLAN和随机的PSK到每个设备，WPS也战胜了那些依靠短、简单可猜测密码短语的PSK破解机。但是，PSK仍然不能满足所有商业需求——例如，许多企业希望使用802.1X来验证个人用户，将他们映入适当的VLAN，并且跟踪他们的网络活动。

　　为了参与WPA2-802.1X（也被称为企业版WPA2），嵌入式设备必须提供授权证书——例如，值得信赖的证明机构签发的数字证书、与手机相关的独特用户识别模块（SIM）、或者分发给设备的保护访问凭据（PAC）。因此，每个设备对于验证使用802.1X标准的企业WLAN的能力，取决于支持各种扩展身份验证协议（EAP）的方法。

　　支持EAP-SIM的设备，例如，执行RFC 8146，一种定义了客户端在GSM蜂窝网络和WLANs上的通信——当连接到商业热点时，漫游在3G和Wi-Fi网络的智能手机使用支持EAP-SIM 的802.1X来验证。目前，支持EAP-SIM的802.11n设备主要是内部和外部的适配器和笔记本电脑，但是未来的802.11n智能手机可能会很好的支持EAP-SIM。

　　EAP-SIM对于电信公司来说是有很大的利益；企业可能更愿意发放他们自己的客户端证书，甚至是嵌入式设备。这种工作方式的方法之一是EAP-FAST，它是一个Cisco统一无线网络结构的完整部分。EAP-FAST基于PAC的身份验证可以用于Cisco和其他厂商的客户端，这些客户端需要使用Cisco兼容扩展（CCX）第三版或者更高版本。通常，这个名单包括智能手机，Wi-Fi手机，“可穿戴式”电脑和耐用的手持设备——但是，802.11n CCX设备尚未出现在这些类别中。

　　事实上，第一个嵌入式802.11n标准的WPA企业设备已经是打印机和打印服务器——这些无疑将被其他需要高带宽的、固定的802.11n设备跟随。移动终端预计需要更长时间才能转入802.11n标准，这主要是因为耗电量和电池寿命的问题。

　　虽然如此，随着下一代嵌入式802.11n设备的出现，企业必须做好确保他们安全的准备。从短期来说，WPS对于许多的消费电子设备是一个可行的解决方案——而且必然有改进的MAC ACLs。从长远来看，企业应该使用802.1X来验证支持WPA2企业版嵌入式802.11n设备。不仅802.1X能提供更稳健的无线保护，它也能配合大多数网络访问控制（NAC）架构。

　　企业采用无线服务一直在增长。根据Webtorials 2008 WLAN 市场情况的调查，64%的企业目前使用3G蜂窝网宽带，而32%的企业计划在WiMAX可用时，选择移动WiMAX。同时，企业WLANs继续增长：高达91%的企业已经使用了802.11g，而68%的企业正着手向802.11n升级的工作。

　　但是，这些广域和局域无线服务并不是竞争对手。蜂窝数据（无线广域网WWAN）服务善于活动中/户外的互联网接入，而802.11 WlANs更适合于静态/室内的私人网络接入。总之，这些技术提供了比他们本身任意一个更稳健和普遍的连接。但是，对于两者都使用的移动工作人员，这样就有一个很大的需求：无缝安全漫游。