在過去十年中，IT界的Wi-Fi無線網絡的安全性能得到了極大的提高，使之成為數據采集應用中的一個可行的解決方案。因為Wi-Fi采用空氣作為其物理傳輸媒介，相比于其它有線網絡系統，它面臨著更大的安全挑戰。以下將簡要介紹采用NI 公司無線數據采集設備（DAQ）進行數據保護的工業標準安全技術。

IEEE 802.11安全性背景知識

正確了解無線安全性需要某些背景知識，包括：無線連網的歷史和源自早期無線部署的經驗。自從最初的IEEE 802.11標準于1997年被引入之后，IEEE 802.11 Task Group已迭代開發了多種安全協議，最終形成現今全球IT部門普遍接受的IEEE 802.11i標準。

Wi-Fi安全體系的歷史

最初的802.11標準中引入了有線等效協議 (WEP)技術作為保護措施，以防不必要的無線網絡訪問。每臺客戶端電腦的都有一個訪問網絡接入點的密碼。這個密碼用于獲取對網絡的訪問權，并且是網絡接入點和客戶機之間的所有消息加密的基礎。

[+] 放大圖片

因為WEP易于設置，所以大多數家庭和小型辦公網絡都使用WEP。但是，WEP容易受到攻擊，特別是使用不當的時候。WEP采用RC4密碼對數據進行加密，采用40位密鑰對消息進行編碼和解碼。攻擊者們已經找到了這個協議中的漏洞，并開發了一些方法來入侵這種沒有適當保護的WEP網絡：

• 字典攻擊 － 很多用戶都保留著無線網絡接入點和網卡的出廠默認設置。而其它一些用戶則使用一些比較“弱”的WEP密鑰，這些密鑰都可以在字典中找到。一些潛在的攻擊者通過“猜測”安全性設置來利用這些網絡。有些攻擊者采用蠻力攻擊方式，同時還存在其它一些更復雜的方法。選擇一些比較復雜的密碼就可以輕松預防字典攻擊。
• 中間人攻擊 － 大多Wi-Fi網絡接入點都將其SSID發布出來，這樣客戶們可以方便地找到這些接入點并與之相連。如果某個偽裝的網絡接入點發布相同的SSID，就可以誘騙客戶發送其安全信息，從而使得攻擊者可以訪問真實網絡。常見最好的預防措施就是關掉路由器的SSID廣播。
• 重放攻擊 － 當攻擊者竊聽無線網絡通信數據包并記錄傳輸數據時，就產生了重放攻擊。然后，攻擊者使用這些數據來重放包含偽造的或者錯誤的數據消息，欺騙接入點去發送額外的地址解析協議(ARP)數據包。當數據包達到足夠數量(50,000–100,000)時，攻擊者就可以破解WEP密鑰了。

NI的無線數據采集設備支持WEP安全體系。但是，很多無線數據采集應用需要更強大的安全協議。

NI 無線數據采集網絡安全組件

NI 無線數據采集設備支持多種無線安全協議，包括WEP、Wi-Fi保護訪問(WPA)和IEEE 802.11i(即所熟知的WPA2)。WPA通過阻止重放攻擊，提供比WEP更好的安全性能。WPA2則具有最優的無線網絡安全性能，同時具備更強大的數據保護(加密)和訪問控制(認證)性能。

加密

為了有效地保護無線數據傳輸，Wi-Fi網絡必需具備一種強大的加密算法(密碼)和某種密鑰管理形式?，F在廣泛采用兩種Wi-Fi網絡加密標準：TKIP和AES。

IEEE 802.11i任務組為WPA引入了瞬時密鑰集成協議(TKIP)，作為對現有WEP網絡進行改進的一個權宜之策。接入點和客戶可以通過一個簡易的固件或軟件升級將WEP升級到WPA/TKIP。盡管加密算法還是一樣的(RC4)，但TKIP優于WEP的一個地方在于TKIP使用了128位而非40位的密鑰。一個更重要的區別在于，TKIP對每個消息包都使用一個不同的密鑰，這就是其名稱中“瞬時”的出處。將已知的成對瞬時密鑰(PTK)和客戶的MAC地址以及數據包的序列號進行混合，動態創建這種瞬時密鑰。當客戶使用一個預共享密鑰(PSK，所有網絡用戶都知道的一種短語密碼)和隨機數生成器來連接到接入點時，PTK就生成了。序列號在每次發送新數據包時遞增。這就意味著重放攻擊不可能再發生了，因為每個數據包都不會再使用相同的密鑰。當攻擊者企圖重發舊的數據包時，接入點就可以檢測到這種行為。

作為最終的安全解決方案，IEEE 802.11i任務組選擇了高級加密標準(AES)作為Wi-Fi網絡的首選加密算法。不同于TPIK，AES需要對大多數WEP裝置進行硬件升級，因為AES的密碼算法對處理器要求更高。AES使用128位密碼，所以比TPIK和WEP中所使用的RC4算法更加難于破解。實際上，NIST(國家標準與技術協會)要求所有美國政府機構選擇AES作為加密標準。(FIPS publication 197 詳細描述了這些要求)。政府和軍方的任何無線數據采集應用都很可能必需采用AES來傳輸數據。

表1. 窮舉攻擊或暴力破解所需要的總時間 (FIPS 197)

表1顯示：即使借助大規模并行計算系統，也需要10¹⁸年來破解一組128位的AES密碼。

認證

本質上來說，網絡認證就是客戶訪問控制。在客戶可以與無線接入點進行通信之前，必須與網絡進行認證。有兩種認證形式：基于服務器的和基于PSK的。

大多數企業網絡都有至少一個認證服務器，通常執行遠程認證撥號用戶服務(RADIUS)。WPA2網絡安全體系采用基于端口的IEEE 802.1X認證標準，包括以下幾個部分：

•  Supplicant(申請者)－訪問網絡的客戶端無線設備
•  Authenticator(認證裝置)－無線接入點：控制申請者可以訪問哪些網址
•  Authentication Server(認證服務器)－為認證裝置提供認證服務(通常是RADIUS)

當申請者要求訪問網絡時，認證裝置提供對未受控端口的訪問。認證裝置將訪問請求傳給認證服務器，再由認證服務器決定接受還是拒絕申請者的訪問。然后，認證裝置再將該響應從認證服務器傳給申請者：要么允許訪問可控端口，要么繼續阻止被拒絕的申請者。

成功的認證過程生成一個成對主密鑰(PMK)以加密無線傳輸。這種交換的細節取決于該網絡支持何種擴展認證協議(EAP)方式。以下是幾種最常見的EAP方式(NI 無線數據采集設備支持所有這幾種方式)：

• LEAP(輕量級EAP) － 由Cisco公司開發的古老而私有的EAP方法。任何微軟操作系統中都不直接支持LEAP。
• EAP-TLS (EAP-傳輸層安全) － 被大多數無線制造商所支持的開源標準。EAP-TLS同時需要服務器認證和客戶端認證，所以安裝比較困難。
• EAP-TTLS(EAP-隧道傳輸層安全) － 與EAP-TLS方法相比是一種無需客戶端認證的協議，適用于經常升級的網絡
• PEAP (受保護的EAP) －由Cisco公司、微軟和RSA實驗室開發的開源標準。這是一種流行的EAP方法，僅僅需要服務器端認證。PEAPv0/EAP-MsCHAPv2是這種方法的最常見的變體。

所有上面所列的EAP方法都支持雙向認證，這樣可以阻止中間人攻擊——因為客戶需要對服務器進行認證，反之亦然。偽造的無線接入點無法偽造服務器端安全認證。

并非所有網絡都有認證服務器，這就使得前述的認證方式無法實現。一些小型辦公室或家庭辦公室(SOHO)網絡可以在客戶端(無線數據采集設備)和接入點之間使用預共享密鑰(PSK)來取代這些認證方式。本質上來說，預共享密鑰是一種短語密碼，是用戶用來初始化網絡認證的。

采用NI 無線數據采集設備實現安全網絡

NI 無線數據采集 (DAQ)設備支持完整的IEEE 802.11i安全標準，包括AES加密和最流行的EAP認證方法。這是市場上最容易獲得的無線網絡安全設備，可以保護你的敏感數據不被侵犯。實際上，如果你的應用程序是用在政府或軍方機構中，那么很可能強制要求使用AES加密。對于其它的應用，你就可以選擇WPA和一些現有的接入點硬件。

瀏覽NI 無線數據采集設備指南

如果你要連接到一個企業網絡，你應該與IT部門共同決定采用何種你們的服務器所能接受的安全協議以及EAP方法。因為NI 無線數據采集設備支持各種最常見的EAP方法(LEAP、PEAP、EAP-TLS和EAP-TTLS)，所以你可以自由選擇其中一種以最佳匹配你的應用程序和網絡構架。

無線數據采集設備的安全設置非常易于使用。在測量和自動化管理器(MAX)中，在“NI-DAQmx Devices”下選擇你的無線數據采集設備，然后在屏幕底部單擊“Network”標簽頁；選擇“Wireless”標簽頁，在一系列的下拉菜單中，配置你的網絡安全選項。

如果你的EAP方法需要客戶端認證，請確保在裝配DAQ設備之前獲取該認證。如果要在沒有認證服務器的條件下來裝配你自己的網絡，請確保采用一個復雜的PSK短語密碼(WPA和WPA2網絡中)。

使用MAX配置無線數據采集設備加密和認證設置

MAX采用一種加密、只寫的過程將所有的配置和安裝數據發送到Wi-Fi或者以太網網DAQ設備，包括用戶名、密碼和客戶端認證，以進一步保護你的網絡。

獲取更多詳細說明，請參考NI WLS-9163使用者手冊。

概括

NI無線數據采集(Wi-Fi DAQ)設備使用當前最高的商用無線網絡安全標準，即：包含網絡認證和數據加密的IEEE 802.11i（WPA2企業版）。認證確保設備只有經過授權才能訪問網絡；加密可防止數據包遭到攔截。IEEE 802.11安全標準的創建依托著IT界10余年的使用經驗，并已在全球普及。使用標準安全協議的NI無線數據采集(Wi-Fi DAQ)設備，可將無線測量輕松安全地添加至信息網絡。

無線數據采集設備網絡安全最優方法清單

• 如果你的網絡可以使用認證服務器(例如RADIUS服務器)，則使用802.1X (EAP)
• 如果沒有認證服務器，則使用較復雜的PSK密碼。避免使用字典中常見的習語或單詞，并混合使用大寫字母、小寫字母和數字字符。
• 創建無線接入點或路由器時，避免使用公共的或者出廠默認設置的SSID。
• 如果接入點硬件支持AES加密技術，則在TKIP上使用該技術
• 盡量不要使用WEP。將接入點升級到WPA，或者下載Windows XP WPA2 補丁