新环境下的支撑：无线局域网的安全保障

　　在无线网络的发展中，安全问题是所有问题的焦点，尽管诸如802.11i等各标准中都加入了安全措施，加强了无线网的安全性，较好解决了现有无线网络的安全缺陷和隐患，同时，这些安全标准的完善，也极大地推动了WLAN应用。但是，网络的安全不仅仅与加密认证等机制有关，而且还需要入侵检测、防火墙等技术的配合来共同保障，因此无线局域网的安全需要从多层次来考虑，综合利用各种技术来实现。

　　作为以无线信道作为传输媒介的计算机局域网络（WLAN），无线局域网是在有线网的基础上发展起来的，使网上的计算机具有可移动性，能快速、方便地解决有线方式不易实现的网络信道的连通问题。

　　无线局域网系列标准

　　IEEE802.11标准早在1997年11月26日正式发布。IEEE802.11规定了统一的MAC层，使得各种不同厂商的无线产品得以互联。物理层标准定义了两个RF（射频）传输方法和一个红外传输方法。在被称为Wi-Fi的IEEE802.11b标准发布以后，无线局域网得到了真正的推广。

　　1999年，IEEE802.11无线局域网标准工作组发布了两个物理层的扩充规范，即IEEE802.11b、IEEE802.11a，2003年又发布了IEEE802.11g标准。表1为三种不同的IEEE802.11扩展标准的特性比较。

　　802.11a的产品于2001年年底开始在市场上销售，因其工作在更高的频段，具有更多不重叠的子频道和更高的数据通信带宽，得到了较为广泛的应用。而802.11a标准和802.11b标准工作在两个完全不同的频带，采用完全不同的调制技术，两者是完全不兼容的，但可以共存于同一区域中而互不干扰。

　　802.11g有两个最主要的特征：高速率和兼容802.11b。802.11g标准是下一个主流的无线局域网标准，它提供了高速数据通信带宽，并以较为经济的成本提供了对原有主流无线局域网标准的兼容。

　　另外，IEEE除了制定上述的三个主要无线局域网协议之外，还在不断完善推出或拟推出一些新的协议。

　　2003年，我国发布了WLAN国家标准，此标准的一个重要组成部分就是由宽带无线IP标准工作组制定的新的安全机制——无线局域网鉴别和保密基础结构（WAPI）。WAPI是中国拥有自主知识产权的无线局域网标准，该标准较好地解决了无线局域网的安全问题。它和IEEE802.11的主要区别在于安全加密技术的不同，它针对IEEE802.11中WEP协议安全问题，在中国无线局域网国家标准GB15629.11中提出了WLAN安全解决方案，主要特点是采用基于公钥密码体系的证书机制，真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。

　　此外，还有另一种WLAN技术—HomeRF，HomeRF是由HomeRF工作组开发，由美国家用射频委员会领导的，专门为家庭用户设计的标准。其主要任务是为家庭用户建立具有互操作性的话音和数据通信网，它是PC和用户电子设备之间实现无线数字通信的开放性工业标准。作为无线技术方案，它代替了需要铺设昂贵传输线的有线家庭网络，为网络中的设备和Internet应用提供了漫游功能。该标准极大地促进了低成本无线数据网络技术的发展，但由于HomeRF占据了与802.11b相同的2.4GHz频率段，并且在功能上局限于家庭应用，而同时802.11b在办公领域已取得一定地位，所以，目前HomeRF不被看好。

　　目前，由IEEE制定的802.11协议己经成为WLAN普及的主体标准，符合此协议的产品也最多，因此，目前它在市场依然占据着主导地位（注：在本论文对WLAN的论述中，除特别指出外，WLAN均指的是802.11WLAN）。

　　无线局域网适用特点

　　安装便捷

　　一般在网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线施工工程，在施工过程中，往往需要破墙、穿线架管。而无线局域网最大的优势就是免去或减少了网络布线的工作量，一般只要安装一个或多个接入点AP(AccessPoint)设备，就可建立覆盖整个建筑或地区的局域网络。

　　使用灵活

　　在有线网络中，网络设备的安放位置受网络信息点位置的限制，而一旦无线局域网建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络。

　　经济节约

　　由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需要，这就往往导致在前期设计时预设大量利用率较低的信息点，一旦网??多费用进行网络改造。而无线局域网可以避免或减少以上情况的发生。

　　易于扩展

　　无线局域网有多种配置方式，能够根据需要灵活选择。这样，无线局域网就能胜任从只有几个用户的小型局域网到上千用户的大型网络，另外还可提供无线覆盖范围内的全功能漫游服务等功能。

　　由于无线局域网具有以上多方面优点，所以发展十分迅速。在最近几年里，无线局域网已经在医院、工厂和院校等不适合网络布线的场合得到了广泛应用。

　　同时，这种优点也同时带来了新的挑战，这些挑战中较重要的就是安全问题。

　　无线局域网安全隐患

　　目前，安全问题已成为无线局域网（WLAN）发展中遇到的一个最为关键的问题。无线局域网相对于有线局域网而言，所增加的安全问题主要是由于其采用了公共的电磁波作为载体来传输数据信号造成的。

　　由于无线局域网通过无线电波在空中传输数据，所以在数据发射机覆盖区域内的几乎任何一个无线局域网用户都能接触到这些数据。无论接触数据者是在哪一个房间、哪一层楼或是建筑之外，无线就意味着会让人接触到数据。显然，要将无线局域网发射的数据仅仅传送给一名目标接收者是不可能的，而防火墙对通过无线电波进行的网络通信不起作用，任何人在视距范围之内都可以截获和插入数据。

　　可以看出，无线局域网（WLAN）存在的安全问题主要包括两方面：一是访问控制，二是数据保密性。访问控制，即确保敏感的数据仅由获得授权的用户才能访问；保密性，即确保传送的数据只被目标接收人接收和理解。可见，数据保密性很重要，但访问控制同样不可忽视。所以，如果在安全性方面没有进行精心的设计，布署无线局域网将会给黑客和网络犯罪开启方便之门。

　　在无线局域网的安全威胁中，除所有常规有线网络的安全威胁和隐患（例如病毒，恶意攻击，非授权访问等）都存在外，由于无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口，维护人员对这个入口的管理并不像传统网络那么容易。因此，未授权实体就可以在公司外部或者内部进入网络。例如：

　　●外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；

　　●无线网络传输的信息因没有加密或者加密很弱，容易被窃取、窜改和插入；

　　●无线网络易被拒绝服务攻击（DenialofService，DoS）和干扰；

　　●内部员工可以设置无线网卡为对等(P2P)模式与外部员工连接。

　　保障WLAN安全的关键技术

　　许多潜在的用户对于WLAN技术所带来的灵活性十分感兴趣，但也由于WLAN不能得到可靠的安全保护而对是否采用WLAN系统犹豫不决，这使得无线局域网技术陷入了十分尴尬的境地。那么，为了使WLAN从这种被动局面中解脱出来，无线局域网（WLAN）采用了哪些安全技术呢？

　　为了阻止非授权用户访问无线局域网络，无线局域网引入了相应的安全措施。通常数据网络的安全性主要体现在用户访问控制、数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则保证发射的数据只能被所期望的用户接收和理解。

　　针对无线局域网络WLAN主要有几类安全技术。

　　●无线网卡物理地址（MAC）过滤

　　每个无线工作站网卡都由惟一的物理地址表示，该物理地址编码方式类似于以太网物理地址，是48位。网络管理员可在无线局域网访问点AP（AccessPoint，无线访问点）中手工维护一组允许访问或不允许访问的MAC地址列表，以实现物理地址的访问过滤。

　　●服务区标识符(SSID)匹配

　　该技术要求无线工作站（STA）必须出示正确的SSID，判定与AP的SSID相同后，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝它通过本服务区上网。

　　●端口访问控制技术（IEEE802.1x）和可扩展认证协议（EAP）

　　该技术是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户上网。

　　802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。在现有主流的PC机操作系统WinXP以及Win2000上都集成802.1x的客户端功能。

　　●无线客户端二层隔离技术

　　在电信运营商的公众场合，为确保不同无线工作站之间的数据流隔离，无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离，确保用户的安全。

　　●VPN-Over-Wireless技术

　　目前已广泛应用于广域网领域的VPN（VirtualPrivateNetworking）安全技术也可用于无线局域网。与IEEE802.11b标准所采用的安全技术不同传输的安全。对于安全性要求更高的用户，现有的VPN安全技术与IEEE802.11b安全技术结合，是目前较为理想的无线局域网络安全解决方案之一。

　　●WPA技术

　　在IEEE802.11i标准最终确定前，WPA（Wi-FiProtectedAccess）技术将成为代替WEP的无线安全标准协议，它为IEEE802.11WLAN提供了更强大的安全性能保证。WPA是IEEE802.11i的一个子集，其核心就是IEEE802.1x和TKIP。

　　新一代的加密技术TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进。WPA继承了WEP的基本原理又解决了WEP的安全的脆弱性缺点。WEP安全的脆弱性表现在：为了在接入点和客户端之间将IV密钥告诉给通信对象，IV密钥不经加密就直接嵌入到分组信息中被发送出去，所以如果有人通过无线窃听，收集到包含特定IV密钥的分组信息并对其进行解析，那么通用密钥就可能被计算出来。WPA加强了WEP加密密钥的算法，即便有人收集到分组信息并对其进行解析，要想破解通用密钥也几乎是不可能的。WPA通过在现有的WEP加密引擎中增加每发一个包重新生成一个新的密钥(“即密钥细分”)、“消息完整性检查（MIC）”等算法，大大提高了加密安全强度。

　　●高级的无线局域网安全标准—IEEE802.11i

　　为了进一步加强无线局域网的安全性，保证不同厂家之间无线安全技术的兼容，IEEE802.11工作组已制定了新的安全标准IEEE802.11i，并且致力于从长远角度考虑解决IEEE802.11无线局域网的安全问题。IEEE802.11i规定使用802.1x认证和密钥管理方式。IEEE802.11i标准中主要包含的数据加密技术有：TKIP(TemporalKeyIntegrityProtocol)和AES（AdvancedEncryptionStandard）、密钥管理技术以及认证协议IEEE802.1x，IEEE802.11i将为无线局域网的安全提供可信的标准支持。