無(wú)線(xiàn)局域網(wǎng)WLAN安全技術(shù)介紹

　　從全球市場(chǎng)看，WPA和即將推出的無(wú)線(xiàn)局域網(wǎng)的高級安全標準IEEE 802.11i等協(xié)議將成為今年業(yè)界關(guān)注的熱點(diǎn)。

　　無(wú)線(xiàn)局域網(wǎng)產(chǎn)業(yè)是目前整個(gè)數據通信技術(shù)領(lǐng)域當中最為快速發(fā)展的產(chǎn)業(yè)之一。無(wú)線(xiàn)局域網(wǎng)解決方案在部分場(chǎng)合作為傳統有線(xiàn)局域網(wǎng)絡(luò )的補充或替代以其靈活性、移動(dòng)性及較低的投資成本等優(yōu)勢獲得了家庭網(wǎng)絡(luò )用戶(hù)/中小型辦公室用戶(hù)、廣泛企業(yè)用戶(hù)及及電信運營(yíng)商的青睞，得到了快速的應用。

　　無(wú)線(xiàn)局域網(wǎng)相對于有線(xiàn)局域網(wǎng)而言，其所增加的安全問(wèn)題原因主要是其采用了公共的電磁波作為載體來(lái)傳輸數據信號，而其他各方面的安全問(wèn)題兩者是相同的。

　　無(wú)線(xiàn)局域網(wǎng)的安全技術(shù)這幾年來(lái)隨著(zhù)無(wú)線(xiàn)局域網(wǎng)的高速發(fā)展，也得到了快速的發(fā)展和應用。下面我們從無(wú)線(xiàn)局域網(wǎng)安全技術(shù)的發(fā)展歷程來(lái)對無(wú)線(xiàn)局域網(wǎng)當中采用的主要安全技術(shù)進(jìn)行介紹。

早期基本的無(wú)線(xiàn)局域網(wǎng)安全技術(shù)包括有：

　　無(wú)線(xiàn)網(wǎng)卡物理地址過(guò)濾 每個(gè)無(wú)線(xiàn)工作站網(wǎng)卡都由唯一的物理地址標示，該物理地址編碼方式類(lèi)似于以太網(wǎng)物理地址，是48位。網(wǎng)絡(luò )管理員可在無(wú)線(xiàn)局域網(wǎng)訪(fǎng)問(wèn)點(diǎn)AP中手工維護一組允許訪(fǎng)問(wèn)或不允許訪(fǎng)問(wèn)的MAC地址列表，以實(shí)現物理地址的訪(fǎng)問(wèn)過(guò)濾。

　　服務(wù)區標識符(SSID)匹配無(wú)線(xiàn)工作站必須出示正確的SSID，與無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)AP的SSID相同，才能訪(fǎng)問(wèn)AP;如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過(guò)本服務(wù)區上網(wǎng)。因此可以認為SSID是一個(gè)簡(jiǎn)單的口令，從而提供口令認證機制，實(shí)現一定的安全。

　　在無(wú)線(xiàn)局域網(wǎng)接入點(diǎn)AP上對此項技術(shù)的支持就是可不讓AP廣播其SSID號，這樣無(wú)線(xiàn)工作站端就必須主動(dòng)提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)。

　　有線(xiàn)等效保密(WEP) 有線(xiàn)等效保密(WEP)協(xié)議是由802.11標準定義的，用于在無(wú)線(xiàn)局域網(wǎng)中保護鏈路層數據。WEP使用40位鑰匙，采用RSA開(kāi)發(fā)的RC4對稱(chēng)加密算法，在鏈路層加密數據。

　　WEP加密采用靜態(tài)的保密密鑰，各WLAN|0">WLAN終端使用相同的密鑰訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò )。WEP也提供認證功能，當加密機制功能啟用，客戶(hù)端要嘗試連接上 AP時(shí)，AP會(huì )發(fā)出一個(gè)Challenge Packet給客戶(hù)端，客戶(hù)端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認證比對，如果正確無(wú)誤，才能獲準存取網(wǎng)絡(luò )的資源?，F在的WEP也一般支持 128位的鑰匙，提供更高等級的安全加密。

在802.11i或者說(shuō)WPA之前的安全解決方案：

　　端口訪(fǎng)問(wèn)控制技術(shù)(IEEE802.1x)和可擴展認證協(xié)議(EAP) 該技術(shù)也是用于無(wú)線(xiàn)局域網(wǎng)的一種增強性網(wǎng)絡(luò )安全解決方案。當無(wú)線(xiàn)工作站與無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認證結果。如果認證通過(guò)，則AP為無(wú)線(xiàn)工作站打開(kāi)這個(gè)邏輯端口，否則不允許用戶(hù)上網(wǎng)。

　　802.1x要求無(wú)線(xiàn)工作站安裝802.1x客戶(hù)端軟件，無(wú)線(xiàn)訪(fǎng)問(wèn)點(diǎn)要內嵌802.1x認證代理，同時(shí)它還作為Radius客戶(hù)端，將用戶(hù)的認證信息轉發(fā)給Radius服務(wù)器?，F主流的PC機操作系統Win XP 以及Win2000都已經(jīng)有802.1x的客戶(hù)端功能。

　　無(wú)線(xiàn)客戶(hù)端二層隔離技術(shù) 在電信運營(yíng)商的公眾熱點(diǎn)場(chǎng)合，為確保不同無(wú)線(xiàn)工作站之間的數據流隔離，無(wú)線(xiàn)接入點(diǎn)AP也可支持其所關(guān)聯(lián)的無(wú)線(xiàn)客戶(hù)端工作站二層數據隔離，確保用戶(hù)的安全。

　　VPN-Over-Wireless技術(shù) 目前已廣泛應用于廣域網(wǎng)絡(luò )及遠程接入等領(lǐng)域的VPN(Virtual Private Networking)安全技術(shù)也可用于無(wú)線(xiàn)局域網(wǎng)域，與IEEE802.11b標準所采用的安全技術(shù)不同，VPN主要采用DES，3DES以及AES等技術(shù)來(lái)保障數據傳輸的安全。對于安全性要求更高的用戶(hù)，將現有的VPN安全技術(shù)與IEEE802.11b安全技術(shù)結合起來(lái)，這是目前較為理想的無(wú)線(xiàn)局域網(wǎng)絡(luò )的安全解決方案之一。

WPA (Wi-Fi 保護訪(fǎng)問(wèn)) 技術(shù)

　　在IEEE 802.11i 標準最終確定前，WPA(Wi-Fi Protected Access)技術(shù)是在2003年正式提出并推行的一項無(wú)線(xiàn)局域網(wǎng)安全技術(shù)，將成為代替WEP的無(wú)線(xiàn)，其將為現有的大量的無(wú)線(xiàn)局域網(wǎng)硬件產(chǎn)品提供一個(gè)過(guò)渡性的高安全解決方案。WPA是IEEE802.11i的一個(gè)子集，其核心就是IEEE 802.1x和TKIP。

　　WPA在WEP的基礎之上為現有的無(wú)線(xiàn)局域網(wǎng)設備大大提高了數據加密安全保護和訪(fǎng)問(wèn)認證控制。為了更好地支持用戶(hù)對WPA的實(shí)施，WPA針對中小辦公室/家庭用戶(hù)推出了WPA-PSK、而針對企業(yè)用戶(hù)則采用完整的WPA-Enterprise的形式。WPA是完全基于標準的并且在現有已存的大量無(wú)線(xiàn)局域網(wǎng)硬件設備上只需簡(jiǎn)單地進(jìn)行軟件升級便可完成，并且也能保證兼容將來(lái)要推出的IEEE 802.11i安全標準。

高級的無(wú)線(xiàn)局域網(wǎng)安全標準-IEEE 802.11i

　　為了進(jìn)一步加強無(wú)線(xiàn)網(wǎng)絡(luò )的安全性和保證不同廠(chǎng)家之間無(wú)線(xiàn)安全技術(shù)的兼容， IEEE802.11工作組目前正在開(kāi)發(fā)作為新的安全標準的IEEE 802.11i，并且致力于從長(cháng)遠角度考慮解決IEEE 802.11無(wú)線(xiàn)局域網(wǎng)的安全問(wèn)題。IEEE 802.11i標準草案中主要包含加密技術(shù)：TKIP 和 AES，以及認證協(xié)議IEEE 802.1x。預計完整的IEEE 802.11i的標準將在2004年的上半年得到正式批準。IEEE 802.11i將為無(wú)線(xiàn)局域網(wǎng)的安全提供可信的標準支持。