无线局域网与无线局域网安全技术分析

  通常计算机组网的传输媒介主要依赖铜缆或光缆，构成有线局域网。

   但有线网络在某些场合要受到布线的限制：布线、改线工程量大；线路容易坏；网中的各节点不可移动。特别是当要把相离较远的节点联接起来时，架设专用通信线路的布线施工难度大、费用高、耗时长,对正在迅速扩大的连网需求形成了严重的瓶颈阻塞。WLAN就是解决有线网络以上问题而出现的，WLAN为WirelessLAN的简称，即无线局域网。无线局域网是利用无线技术实现快速接入以太网的技术。与有线网络相比，WLAN最主要的优势在于不需要布线，可以不受布线条件的限制，因此非常适合移动办公用户的需要，具有广阔市场前景。目前它已经从传统的医疗保健、库存控制和管理服务等特殊行业向更多行业拓展开去，甚至开始进入家庭以及教育机构等领域。

   无线局域网与传统有线局域网相比优势不言而喻，它可实现移动办公、架设与维护更容易等。Frost&Sullivan公司预测无线局域网络市场在2005年底将达到50亿美元。在如此巨大的应用与市场面前，无线局域网络安全问题就显得尤为重要。人们不禁要问：通过电波进行数据传输的无线局域网的安全性有保障吗?

   对于无线局域网的用户提出这样的疑问可以说不无根据，因为无线局域网采用公共的电磁波作为载体，而电磁波能够穿越天花板、玻璃、楼层、砖、墙等物体，因此在一个无线局域网接入点(AccessPoint)的服务区域中，任何一个无线客户端都可以接收到此接入点的电磁波信号。这样，非授权的客户端也能接收到数据信号。也就是说，由于采用电磁波来传输信号，非授权用户在无线局域网（相对于有线局域网）中窃听或干扰信息就容易得多。所以为了阻止这些非授权用户访问无线局域网络，从无线局域网应用的第一天开始便引入了相应的安全措施。

   实际上，无线局域网比大多数有线局域网的安全性更高。无线局域网技术早在第二次世界大战期间便出现了，它源自于军方应用。一直以来，安全性问题在无线局域网设备开发及解决方案设计时，都得到了充分的重视。目前，无线局域网络产品主要采用的是IEEE(美国电气和电子工程师协会)802.11b国际标准，大多应用DSSS（DirectSequenceSpreadSpectrum，直接序列扩频）通信技术进行数据传输，该技术能有效防止数据在无线传输过程中丢失、干扰、信息阻塞及破坏等问题。802.11标准主要应用三项安全技术来保障无线局域网数据传输的安全。第一项为SSID（Service Set Identifier）技术。该技术可以将一个无线局域网分为几个需要不同身份验证的子网络，每一个子网络都需要独立的身份验证，只有通过身份验证的用户才可以进入相应的子网络，防止未被授权的用户进入本网络；第二项为MAC（Media Access Control）技术。应用这项技术，可在无线局域网的每一个接入点（Access Point）下设置一个许可接入的用户的MAC地址清单，MAC地址不在清单中的用户，接入点（Access Point）将拒绝其接入请求；第三项为WEP（Wired Equivalent Privacy）加密技术。因为无线局域网络是通过电波进行数据传输的，存在电波泄露导致数据被截听的风险。WEP安全技术源自于名为RC4的RSA数据加密技术，以满足用户更高层次的网络安全需求。

   下面我们从无线局域网安全技术的发展历程来对无线局域网中采用的主要安全技术及发展方向进行介绍。

   一、早期基本的无线局域网安全技术

   无线网卡物理地址（MAC）过滤

   每个无线工作站网卡都由惟一的物理地址标示，该物理地址编码方式类似于以太网物理地址，是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表，以实现物理地址的访问过滤。

   如果企业当中的AP数量太多，为了实现整个企业当中所有AP统一的无线网卡MAC地址认证，现在的AP也支持无线网卡MAC地址的集中Radius认证。

   服务区标识符(SSID)匹配

   无线工作站必须出示正确的SSID，与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝他通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。

   在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。

   有线等效保密（WEP）

   有线等效保密（WEP）协议是由802.11标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。

   WEP加密采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个ChallengePacket给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，只有正确无误，才能获准存取网络的资源。40位WEP具有很好的互操作性，所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。现在的WEP一般也支持128位的钥匙，提供更高等级的安全加密。

   二、802.11i（WPA）之前的安全解决方案

   端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP）

   该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。

   802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。现主流的PC机操作系统WinXP以及Win2000都已经有802.1x的客户端功能。

   现在，安全功能比较全的AP在支持IEEE802.1x和Radius的集中认证时支持的可扩展认证协议类型有：EAP-MD5 & TLS、TTLS和PEAP。

   无线客户端二层隔离技术

   在电信运营商的公众热点场合，为确保不同无线工作站之间的数据流隔离，无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离，确保用户的安全。

   VPN-Over-Wireless技术

   目前已广泛应用于广域网络及远程接入等领域的VPN（VirtualPrivateNetworking）安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同，VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户，将现有的VPN安全技术与IEEE802.11b安全技术结合起来，是目前较为理想的无线局域网络的安全解决方案之一。