WiFi保护设计的诞生背景与工作原理

WPS( WiFi Protected Setup) 是 WiFi联盟于2007年1月8日发布的一个简单的、可靠的无线网络标准。这个由 WiFi 联盟开发的可选认证项目主要针对家庭和小型企业无线网络用户，旨在简化无线局域网的安全设置，使用户能够更加轻松地在网络中添加新设备，并启用其安全性能。

WPS的诞生背景

根据Jupiter研究机构2006年进行的一项民意调查显示，安全性是用户最为关注的内容，但只有60%的无线网络具备相应的安全保护。主要原因是很多用户对安全技术了解太少，因此只能选择放弃使用安全设置。

无线局域网安全系统，包括当前的WPA2标准，都要求用户通过验证后才能登录网络启用安全性能。传统做法是，当用户构建新的WLAN时，必须首先在无线AP上设置网络名称和密码，无线AP再根据密码生成安全密钥。当新的客户端添加到这个WLAN时，用户还须要选择相应的网络名称并输入密码。客户端和AP交换安全证书后，新设备才算连接到无线网络。

利用 WiFi Protected Setup标准可以大大缩减这一过程，通过认证的接入点和客户端可以自动生成一个网络名称，并自动寻找其他的认证设备。接下来，用户只须按下设备上的一个按钮，或者在无线局域网中为每个设备创建一个4位或8位的PIN码，就可以触发认证，利用基于WPA2标准的预定义安全特性对设备进行配置，并将客户端设备添加到安全的网络。这个过程使得用户更容易启动和使用WPA2这项在2006年3月就已经成为认证产品强制性内容的标准。

此外，在今年晚些时候， WiFi联盟还计划在该认证项目中加入另外两种方法，即通过近距离通信（NFC）方式和USB闪存盘方式将设备自动连入网络，用户无须输入PIN 码，只要用令牌或卡片在新设备上划过即可完成配置。

Gartner调查研究公司的分析师Ken Dulaney认为，标准推出后，许多用户对待安全性的态度可能还是与目前一样。不过，如果有些用户确实需要较高的安全性，那么这些网络设备的安全设置过程会比现在简便得多。特别是对于那些没有PC接口的设备（例如打印机和照相机）来说，设置安全性的过程尤其烦琐。现在用户可以使用设备上的小屏幕和导航按钮输入PIN码，这样就可以比较方便地进行安全设置，减少了很多麻烦的步骤。

WPS的工作原理

我们用“锁与钥匙”的比喻来形容 WiFi Protected Setup认证产品的配置及安全机制。该标准自动使用注册表为即将加入网络的设备分发证书。用户将新设备加入WLAN 的操作可被看作是将钥匙插入锁的过程（即启动配置过程并输入PIN码或按下PBC按钮）。此时， WiFi Protected Setup启动设备与注册表之间的信息交换进程，并由注册表发放授权设备，加入WLAN 的网络证书（网络名称及安全密钥）。

随后，新设备通过网络在不受入侵者干扰的情况下进行安全的数据通信，这就好像是在锁中转动钥匙。信息及网络证书通过扩展认证协议（EAP）在空中进行安全交换，该协议是WPA2 使用的认证协议之一。此时系统将启动信号交换进程，设备完成相互认证，客户端设备即被连入网络。注册表则通过传输网络名（SSID）及WPA2“预共享密钥”（PSK）启动安全机制，由于网络名称及PSK 由系统自动分发，证书交换过程几乎不需用户干预。WLAN安全设置的“锁”就这样被轻松打开了。