在无线LAN身份验证系列文章的前2篇中，我们介绍了如何管理来宾无线网络和实施无线LAN访问控制的方法。

　　为员工以及访客智能手机、平板电脑进行验证并提供企业无线LAN（WLAN）访问的新策略已经出现了，但是对于不带用户界面的嵌入Wi-Fi的设备，要如何管理呢？

　　在早期的无线LAN中，嵌入Wi-Fi的客户端通常指的是条形码扫描器、销售点终端、语音IP手持设备或其他特殊用途的设备。对于访问的控制一般都很宽松，采用的方法包括MAC地址和协议过滤器，以及隐藏SSID和静态WEP密码等。这些方法能够减少偶然连接并阻止（但不保证一定能防止）未授权的嵌入式设备连接无线LAN。

　　如今，这种“含糊的安全性”策略在支持Wi-Fi的消费电子设备中已经很不受欢迎了。从无线打印机和摄像器到媒体播放器和显示器，企业网络中连接的嵌入Wi-Fi的设备简直就泛滥成灾了，问题是这些设备与以往的设备不同，无法很好地纳入现有的策略和IT过程中。禁止这些设备又是不可行的，而增加MAC地址过滤又达不到控制的目的。因此，IT必须寻找一些方法在保证安全使用的前提下防止不可接受的风险或成本。

　　使用WPA2-Personal来控制嵌入式Wi-Fi设备

　　在嵌入式无线LAN设备访问控制方法中，WPA2-Personal是一种经常被忽视的方法：Pre-Shared Key (PSK)验证和AES加密。“个人版（Personal）”表示这种方法不是针对企业无线LAN而设计的策略， PSK也不建议用来控制那些可以由WPA2-Enterprise有效控制的设备。然而，对于不支持WPA2-Enterprise或设备认证的消费电子产品，PSK是一种可行的替代方法。

　　现在，所有支持Wi-Fi的消费电子产品都必须支持WPA2-Personal；有超过1800种设备支持Wi-Fi Protected Setup (WPS)。WPS是一种简单的方法，它以包含少量或不包含数据项的相对较严格的方式启用WPA2-Personal。

　　为了使用WPS，我们需要查找印在客户端设备的包装或LCD安装面板上的唯一的WPS PIN码。通过PIN码进入AP或控制器的WPS安装页面。通讯双方将完成一次安全握手，在这个过程中客户端会得到一个随机PSK。有一些WPS客户端也支持使用自动化或Near-Field Communication (NFC)安装作为基于PIN安装的替代方法。无论是哪种一方法，WPS都不仅能够实现自动的PSK安装，还能够生成足以对抗攻击的较长随机PSK。

　　当嵌入式设备通过这种方式验证后，一般的策略都可用来控制流量流。各个SSID会映射到VLAN上，并根据协议进行优先级划分和过滤，以适应不同类型的设备和业务用途。例如，您可以只允许通过打印协议连接无线打印机，而不支持Telnet、SNMP或其他可能会攻击这些嵌入式设备的未知数据包。

　　使用Wi-Fi Direct管理来自嵌入式Wi-Fi设备的流量

　　从一开始，WPS就没有得到企业AP和控制器的广泛支持。然而，每一个Wi-Fi Direct认证产品都要求支持WPS。这种端到端Wi-Fi联盟规范支持简单的设备到设备的直连，不需要AP或传统的Wi-Fi点对点模式。支持Wi-Fi Direct的设备能够发现其他设备，形成由两个或多个设备组成的Wi-Fi Direct“分组”。这些自我组织的分组是为了简化通信所需要的Wi-Fi连接，如消费电子产品之间的文件共享和打印。

　　为了方便使用和流量分离，企业可能希望有选择性地授权Wi-Fi Direct使用。例如，网络团队需要不通过企业网络就能够给用户授权无线打印功能。为了与企业无线LAN共存，Wi-Fi Direct定义了一个“托管设备”选项，IT可使用这个选项来控制Wi-Fi Direct频道和功率。然而，支持这个选项的产品还没有，现在谈论Wi-Fi Direct对企业无线LAN的实际影响还为时过早。

　　更多嵌入式Wi-Fi设备的验证方法

　　为了支持WPA2-Enterprise验证，嵌入式Wi-Fi设备还需要无用户干预的802.1X证书，如设备证书。这些证书还没有在消费电子设备中广泛使用，但是一些更高端的设备可支持EAP-TLS，它使用了企业发布的证书。例如，有一些设备可能提供了TPM芯片以实现密钥存储安全，或者它们可能有一个特殊插槽，支持外接带有证书的智能卡或USB。

　　此外，实现了Cisco Compatible Extensions (CCX)的Wi-Fi设备也支持EAP-FAST。这种EAP允许企业发布受保护访问证书（PAC），它可用于保护不使用电子证书的非交互802.1X验证的安全。目前的CCX认证设备包括Wi-Fi语音手持设备、便携式电脑、加固耐用手持设备和一些智能手机。

　　GSM智能手机可选择的另一个验证方法是EAP-SIM，这是一种通过它的用户身份模块（SIM）来识别设备的EAP类型。对于UMTS智能手机，类似的功能是由EAP-AKA提供的。这些证书可能更多的是被移动运营商使用，而不是一般企业，但是它们还有一个有趣的角色——Wi-Fi/3G漫游。特别是，Wi-Fi Alliance现在正在开发一种热点认证项目，它基于IEEE 802.11u的，帮助整合的移动设备实现透明漫游（例如，智能手机和平板电脑）。认证的设备可能能够发现附近的最佳热点，并使用带有EAP-SIM或EAP-AKA的WPA2-Enterprise连接热点，而不会出现中断，也不需要用户干预。实际上，运营商可能会使用漫游协议来实现呼叫/会话切换和计费，从而实现与现在的无线语音漫游类似的用户体验。

　　嵌入式Wi-Fi设备仍然参差不齐，而且它们很大程度上受到设备类型、Wi-Fi安全功能（包括EAP类型）和目标业务用途的影响。注意，设备指纹识别也可能在这里发挥作用——如果只是为了不需要进行IT操作就实现嵌入式设备的可见性。企业应该保持对这个问题的关注，并且可以考虑使用创造性“开箱即用”的策略来解决访问控制需求，而不将企业无线LAN暴露于重大风险之下。

系列一：

如何加强来宾无线网络的安全管理？

系列二：

无线LAN访问控制：管理用户及其设备(上)

无线LAN访问控制：管理用户及其设备(下)