WLAN特有的安全问题

无线局域网（WLAN）产业是当前整个数据通信领域发展最快的产业之一。因其具有灵活性、可移动性及较低的投资成本等优势, 无线局域网解决方案作为传统有线局域网络的补充和扩展，获得了家庭网络用户、中小型办公室用户、广大企业用户及电信运营商的青睐，得到了快速的应用。
无线局域网采用公共的电磁波作为载体，而电磁波能够穿越天花板、玻璃、楼层、砖、墙等物体，因此在一个无线局域网接入点(Access Point)的服务区域中，任何一个无线客户端都可以接收到此接入点的电磁波信号。这样，非授权的客户端也能接收到数据信号。也就是说，由于采用电磁波来传输信号，非授权用户在无线局域网（相对于有线局域网）中窃听或干扰信息就容易得多。为了阻止这些非授权用户访问无线局域网络，从无线局域网应用的第一天开始便引入了相应的安全措施。
通常数据网络的安全性主要体现在用户访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则保证发射的数据只能被所期望的用户接收和理解。
当然，无线局域网相对于有线局域网而言，所增加的安全问题主要是由于其采用了公共的电磁波作为载体来传输数据信号，其他方面的安全问题两者是相同的。

WLAN安全技术的发展历程

近年来，随着无线局域网的高速发展，无线局域网的安全技术也得到了快速的发展和应用。下面我们从无线局域网安全技术的发展历程来对无线局域网中采用的主要安全技术进行介绍。

一、 早期基本的无线局域网安全技术
无线网卡物理地址（MAC）过滤
每个无线工作站网卡都由惟一的物理地址标示，该物理地址编码方式类似于以太网物理地址，是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表，以实现物理地址的访问过滤。
如果企业当中的AP数量太多，为了实现整个企业当中所有AP统一的无线网卡MAC地址认证，现在的AP也支持无线网卡MAC地址的集中Radius认证。
服务区标识符(SSID)匹配
无线工作站必须出示正确的SSID，与无线访问点AP的SSID相同，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝他通过本服务区上网。因此可以认为SSID是一个简单的口令，从而提供口令认证机制，实现一定的安全。
在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
有线等效保密（WEP）
有线等效保密（WEP）协议是由802.11标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位钥匙，采用RSA开发的RC4对称加密算法，在链路层加密数据。
WEP加密采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，只有正确无误，才能获准存取网络的资源。40位WEP具有很好的互操作性，所有通过Wi-Fi 组织认证的产品都可以实现WEP互操作。现在的WEP一般也支持128位的钥匙，提供更高等级的安全加密。

二、 802.11i（WPA）之前的安全解决方案
端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP）
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。
802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。现主流的PC机操作系统Win XP 以及Win2000都已经有802.1x的客户端功能。
现在，安全功能比较全的AP在支持IEEE 802.1x 和Radius的集中认证时支持的可扩展认证协议类型有：EAP -MD5 & TLS、TTLS和PEAP。
无线客户端二层隔离技术
在电信运营商的公众热点场合，为确保不同无线工作站之间的数据流隔离，无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离，确保用户的安全。
VPN-Over-Wireless技术
目前已广泛应用于广域网络及远程接入等领域的VPN（Virtual Private Networking）安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同，VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户，将现有的VPN安全技术与IEEE802.11b安全技术结合起来，是目前较为理想的无线局域网络的安全解决方案之一。

三、 2003年快速发展的WPA (Wi-Fi 保护访问) 技术
在IEEE 802.11i 标准最终确定前，WPA（Wi-Fi Protected Access）技术将成为代替WEP的无线安全标准协议，为IEEE 802.11 无线局域网提供更强大的安全性能。WPA是IEEE802.11i的一个子集，其核心就是IEEE 802.1x和TKIP。
新一代的加密技术TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了“密钥细分（每发一个包重新生成一个新的密钥）”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。TKIP与当前Wi-Fi 产品向后兼容，而且可以通过软件进行升级。从2003年的下半年开始，Wi-Fi组织已经开始对支持WPA的无线局域网设备进行认证。

四、 高级的无线局域网安全标准—IEEE 802.11i
为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容， IEEE802.11工作组目前正在开发作为新的安全标准的IEEE 802.11i，并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准草案中主要包含加密技术：TKIP (Temporal Key Integrity Protocol) 和 AES（Advanced Encryption Standard），以及认证协议IEEE 802.1x。预计完整的IEEE 802.11i的标准将在2004年的上半年得到正式批准，IEEE 802.11i将为无线局域网的安全提供可信的标准支持。

无线局域网安全技术的发展方向

无线局域网总的发展方向是速度会越来越快(目前已见的是11Mbps的IEEE 802.11b，54Mbps的IEEE 802.11g 与IEEE 802.11a标准)，安全性会越来越高。当然无线局域网的各项技术均处在快速的发展过程当中，但54Mbps的无线局域网规范IEEE 802.11g及Wi-Fi组织今年强烈推荐的WPA无线局域网安全规范将是2003年整个无线局域网业的热点。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=43&categ_code=10041003