随着WLAN升级到802.11n，不断增加的各种设备也受到热捧。依据In-Stat的统计，2008 Wi-Fi销售中占主要部分的是双模式Wi-Fi移动电话（5.6亿）；固定的用户电子设备，如打印机（4.8亿）；以及可移动用户电子设备，如照相机（7.1亿）。传统的Wi-Fi客户端，如笔记本，去年发货的还不到这些设备的一半。

　　大多数管理员都已经了解如何确保无线笔记本安全，但是Wi-Fi电话、打印机、照相机和其它特定设备，如条码扫描机，则充满挑战。它们无法通过桌面管理配置，也无法参与人机交互登录过程。因此，什么技术可以用来确保这个新潮的嵌入式802.11n设备的安全呢？

　　MAC地址过滤的不足

　　让我们从最常见的控制嵌入式设备的访问方法开始： MAC地址过滤，或者访问控制列表 (ACL)都被广泛用来阻止来自未知的客户端设备的无线连接上。

　　大多数销售终端（PoS）和基于IP的语音传输(VoIP)的部署都使用老的、受限设备——条码扫描仪、Wi-Fi手持设备——这些都缺少Wi-Fi受保护访问（WPA）。通常，我们会在AP上配置一个已知设备列表，它们是由在所有Wi-Fi帧中发送的MAC地址识别的。AP会使用这个列表来拒绝未识别的设备，并将匹配的设备映射到指定的网络分段（如VLAN）上。上行流过滤器也可以用来控制服务访问——比如，只允许SIP和RTP到达VoIP网关，这是通过检查这些数据包中的SIP统一资源标识符实现的。

　　这种方法可以在设备缺乏所需的嵌入功能的糟糕情况下，使之能够加入到一个802.11i高安全网络。然而，进行MAC地址欺骗是非常容易的。一定范围内的任何人都可以捕捉到Wi-Fi桢，提取已验证的地址，然后利用它们来通过MAC过滤。此外，如果数据是未加密的，那么他就可以提取目的IP地址、端口和服务器标识符，如 URI，从而绕过上行流过滤器。

　　有些网络部署使用了有线等效私密(WEP)，从而使数据包分析变得更加复杂。但是，使用同期的WEP破解工具也能轻松实现。总之，MAC ACL是一个最佳的弱防御，它只适用于防范偶然的连接，而不能对抗有动机的攻击者。

　　简单安全设置

　　目前，所有Wi-Fi认证产品都要求支持WPA2，它整合了高级加密标准（AES）数据保护和预共享密钥（PSK）或者802.1X验证。但是，为了利用这个便利的互通性，大多数Wi-Fi产品默认都是关掉WPA2的。

　　因此，大多数Wi-Fi设备仍然在没有无线安全的情况下进行工作。这个问题长期以来一直存在于家用设备，这些设备的消费者往往不知道应该配置PSK来保证安全性。为了解决这个问题，Wi-Fi Alliance创造了一个名为Wi-Fi Protected Setup (WPS)的可选择的认证程序。结果显示，WPS不仅仅是针对SOHO——而且还提供方便的方法来在许多嵌入Wi-Fi的WLAN设备上激活WPA2。

　　目前有超过500多件产品已经获得WPS认证——其中接近300件具有802.11n。这些设备包括外置和内置的Wi-Fi适配器、笔记本、显示器、打印机、照相机、语音听筒、智能手机、数字语音设备、媒体服务器、机顶盒以及很多AP和网关。所有这些都可以使用一个或者多个WPS技术来自动化WPA-PSK2配置：个人信息码（PIN）、按钮操作配置（PBC）和拟域通信（NFC）。

　　通过PIN方法，所有设备都与一个唯一码关联，这个码可能是打印在设备、或者包装盒、或者显示在设备的LCD面板或者屏幕上的。为了登记设备，要将它的PIN输入到一个“WPS注册器”——通常是在AP、网关或者控制器上的一个配置页。注册器和设备完成一个安全的空中WPS握手，在此期间，注册器会对设备分配一个任意的PSK。接着，设备会使用这些WPS提供的SSID和PSK值自动激活WPA2-PSK。

　　有些设备也支持PBC方法，但必须同时在注册的AP和设备上按下物理WPS按钮。在短时间内，AP会监听和接收附近任何请求WPS注册的设备。这种方式消除了PIN输入，但是会创建了一个短暂的机会窗口，可能被利用来添加未认证的设备。

　　去年，一个可选择的NFC方法被用来消除这个问题。当在AP上的NFC“目标标志”10厘米的地方内放置一个激活NFC的客户端设备时，WPS注册器就可以通过NFC通信从设备上嵌入的令牌读取客户端的身份。读取成功后这个设备就被指定了SSID和PSK，这样它就必须完成自动的WPA2-PSK安装才能加到WLAN上。

　　在这三种方法中，WPS将安全设置从用户转移到网络本身上。避免由最终用户来配置Wi-Fi安全参数，不仅可以减少人为失误和错误，还不需要手动地在嵌入式Wi-Fi设备上配置WLAN接口。

　　其它方法

　　WPS是一个确保很多新嵌入Wi-Fi设备低开销的方法。通过指派随机SSID到每个WLAN和随机PSK到每个设备上，WPS也可以对抗依靠短而容易被猜测到验证短语值的PSK黑客。然而，PSK仍然无法满足所有的业务需求——比如，很多业务都希望使用802.1X来验证每个用户，并将他们映射到正确的VLAN上，同时跟踪他们的网络活动。

　　为了参与到WPA2-802.1X（也就是WPA2-Enterprise)，嵌入设备必须提供验证证书——比如，一个通过可信的认证机构发布的数字证书，一个连接手机的唯一用户识别卡（SIM）或者发布给设备的受保护的访问证书（PAC）。因此，每个设备就能够通过各种不同 Extensible Authentication Protocol (EAP) 方法支持来使用802.1X实现业务WLAN的认证功能。

　　比如，支持EAP-SIM的设备实现RFC8146，这个方法是为客户同时在GSM蜂窝通信网和WLAN上通信而定义的——当连接到商业热点时，一个可以在3G和Wi-Fi之间漫游的智能手机可以使用带有EAP-SIM的802.1X来验证。目前，支持EAP-SIM的802.11n设备大部分是内置和外置的适配器和笔记本，但是，未来的802.11n智能手机可能可以很好地支持EAP-SIM。

　　EAP-SIM是颇受载体关注，企业也甚至倾向于对嵌入式设备发布他们自己的客户端证书。一个可行的方法是EAP-FAST，它是Cisco的Unified Wireless Network基础架构的一个构成组件。EAP-FAST的基于PAC的验证可以与Cisco和其它实现Cisco Compatible Extensions (CCX) 版本3或者更新版本的供应商一起使用。目前，这一列表包括智能手机、Wi-Fi手机、“便携”计算机和耐用掌上电脑——但是802.11n CCX设备不属于这个范畴。

　　总结

　　事实上，第一个嵌入式802.11n WPA-Enterprise设备是打印机和打印服务器——毫无疑问，随后出现的是其它要求高带宽的固定802.11n设备。因为电源消耗/电池寿命的限制，移动设备上应用802.11n还需要一段时间。

　　尽管如此，随着下一代嵌入式802.11n设备的出现，我们必须准备好确保它们安全的业务。短时期内，WPS将能够应对大多数的用户电子设备——当然，也是对MAC ACL的一个改进。长期看来，必须使用802.1X来验证支持WPA2- Enterprise的嵌入式802.11n设备。802.1X不仅提供更强大的无线保护，同时它还会更加兼容大多数网络访问控制（NAC）基础架构。