WLAN安全技术-计算机网络技术及应用

借助于WLAN接入速率高，组网灵活，以及在传输移动数据方面具有明显的优势，WLAN应用的需求快速增长，应用领域不断拓展。与此同时，WLAN的安全性问题也变得十分突出。任何一个WLAN新技术和新标准的产生，都非常重视其安全性技术的创新和发展。2004年6月24日，IEEE通过了802.11i基于SIM卡认证和AES加密的方法被认为是为WLAN提供了安全保障，使得WLAN拥有了更为广阔的应用空间。

对于WLAN的安全，主要反映在两个方面：访问控制和加密。通过访问控制，保证只有授权用户才能接入网络和访问网络数据；通过加密，保证只有正确的接收者才能理解所访问到的数据。以目前使用最广泛的IEEE 802.11b标准为例，它提供了两种手段分别用来保证WLAN的安全——SSID服务配置标示符和WEP无线加密协议。WLAN基本的安全技术主要有以下几种。

1.服务集标识符（SSID）

通过对局域网中多个无线接入点AP设置不同的SSID，并要求无线客户端在接入网络时出示正确的SSID才能访问AP，从而达到对不同群组用户所能接入的AP加以限制的目的，同时对网络资源访问的权限进行区别规划。不过，由于SSID实质上就是一个简单的口令，一般情况下，用户自己配置客户端系统，SSID必然要掌握在用户手里，这样很容易泄漏或共享给非法用户。还有些WLAN产品支持所谓的“ANY”SSID方式，只要无线客户端在任何一个AP的工作范围内，客户端都会自动连接到AP，并不经过SSID的验证，从而跳过SSID安全限制。可见SSID属于一种较初级的WLAN安全手段。

2.物理地址过滤（MAC）

由于每个无线工作站的网卡都有唯一的物理地址，通过在AP中手工添加一组允许访问的MAC地址列表，实现物理地址过滤，阻止未经授权的用户接入网络。但是，在该WLAN安全方案中，要求AP的MAC地址列表必须能够及时更新，可扩展性也较差。此外，由于AP中基于MAC地址的访问控制列表（Access Control List，ACL）在理论上是可以伪造的，故而被认为是较低级别的授权安全认证。因此该安全方案只适合于小规模WLAN。

3.有线等价加密（WEP）

为了使非法用户即使截取无线链路中的数据也无法破译，WLAN采 用WEP（Wired Equivalent Privacy）技术确保无线网络数据传输的安全。WEP是IEEE 802.11b的标准网络安全协议。WEP在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。虽然WEP提供了40位（有时也称为64位）和128位长度的密钥机制，但是它仍然存在许多缺陷。例如，一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。此外，WEP 40位的密钥并不是牢不可破，且钥匙是静态的，要手工维护，扩展能力差。目前为了提高安全性，建议采用128位加密钥匙，但又带来了网络效率受到影响的困扰。

4.端口访问控制技术（802.1x）(www.xing528.com)

该技术也是用于无线局域网的一种增强性安全解决方案。当无线客户端与AP联通后，该客户端能否使用AP所提供的服务，要取决于IEEE 802.1x的认证结果。如果认证通过，则AP为该客户端打开这个逻辑端口，否则不允许该客户端连入网络。不过，若要利用IEEE 802.1x端口控制技术控制客户端访问网络，则要求无线客户端必须安装IEEE 802.1x客户端软件，AP也要内嵌IEEE 802.1x认证代理。AP作为Radius服务器的客户端，将用户的认证信息转发给Radius服务器。IEEE 802.1x除了提供端口访问控制能力之外，还提供基于用户的认证系统及计费，特别适合于公共无线接入解决方案。

5.IEEE 802.11i

为了加强WLAN的安全性和保证不同厂家之间WLAN安全技术的兼容，IEEE 802.11工作组开发了新的安全标准IEEE 802.11i，期望能够彻底解决IEEE 802.11无线局域网的安全问题。IEEE802.11i标准主要包含加密技术TKIP（Temporal Key Integrity Protocol）和AES（Advanced Encryption Standard），以及端口访问认证协议IEEE 802.1x。

6.Wi-Fi保护接入

Wi-Fi保护接入（Wi-Fi Protected Access，WPA）是运用了WEP基本原理，而又解决了WEP缺点的一种新的WLAN安全技术标准。WPA加强了生成加密密钥的算法，因此非法用户即便收集到分组信息并对其进行解析，也几乎无法计算出通用密钥。WPA还追加了防止数据中途被篡改的功能和认证功能。在WEP中倍受指责的缺点WPA全部解决。WPA不仅是一种比WEP更为强大的加密方法，而且有更为丰富的内涵。WPA作为IEEE 802.11i标准的子集，包含了认证、加密和数据完整性校验三个组成部分，是一个完整的WLAN安全解决方案。

7.无线VPN技术

无线VPN技术是把有线网络的VPN安全技术与IEEE 802.11b安全技术相结合的一项无线网络安全技术。VPN作为现代网络应用的一种比较可靠的网络安全解决方案，被应用于WLAN是非常自然的，无线VPN特别适用于对网络安全性要求高的用户，是目前无线局域网的安全解决方案之一。但是，由于WLAN的技术特点，使无线VPN的发展受到很大的影响。带来的主要问题有：运行的脆弱性、吞吐量瓶颈、无线VPN的通用性、网络的扩展性和组网成本。