無線局域網(wǎng)與無線局域網(wǎng)安全技術分析

通常計算機組網(wǎng)的傳輸媒介主要依賴銅纜或光纜，構成有線局域網(wǎng)。
     但有線網(wǎng)絡在某些場合要受到布線的限制：布線、改線工程量大；線路容易壞；網(wǎng)中的各節(jié)點不可移動。特別是當要把相離較遠的節(jié)點聯(lián)接起來時，架設專用通信線路的布線施工難度大、費用高、耗時長,對正在迅速擴大的連網(wǎng)需求形成了嚴重的瓶頸阻塞。WLAN就是解決有線網(wǎng)絡以上問題而出現(xiàn)的，WLAN為WirelessLAN的簡稱，即無線局域網(wǎng)。無線局域網(wǎng)是利用無線技術實現(xiàn)快速接入以太網(wǎng)的技術。與有線網(wǎng)絡相比，WLAN最主要的優(yōu)勢在于不需要布線，可以不受布線條件的限制，因此非常適合移動辦公用戶的需要，具有廣闊市場前景。目前它已經(jīng)從傳統(tǒng)的醫(yī)療保健、庫存控制和管理服務等特殊行業(yè)向更多行業(yè)拓展開去，甚至開始進入家庭以及教育機構等領域。
     無線局域網(wǎng)與傳統(tǒng)有線局域網(wǎng)相比優(yōu)勢不言而喻，它可實現(xiàn)移動辦公、架設與維護更容易等。Frost&Sullivan公司預測無線局域網(wǎng)絡市場在2005年底將達到50億美元。在如此巨大的應用與市場面前，無線局域網(wǎng)絡安全問題就顯得尤為重要。人們不禁要問：通過電波進行數(shù)據(jù)傳輸?shù)臒o線局域網(wǎng)的安全性有保障嗎?
     對于無線局域網(wǎng)的用戶提出這樣的疑問可以說不無根據(jù)，因為無線局域網(wǎng)采用公共的電磁波作為載體，而電磁波能夠穿越天花板、玻璃、樓層、磚、墻等物體，因此在一個無線局域網(wǎng)接入點(AccessPoint)的服務區(qū)域中，任何一個無線客戶端都可以接收到此接入點的電磁波信號。這樣，非授權的客戶端也能接收到數(shù)據(jù)信號。也就是說，由于采用電磁波來傳輸信號，非授權用戶在無線局域網(wǎng)（相對于有線局域網(wǎng)）中竊聽或干擾信息就容易得多。所以為了阻止這些非授權用戶訪問無線局域網(wǎng)絡，從無線局域網(wǎng)應用的第一天開始便引入了相應的安全措施。
     實際上，無線局域網(wǎng)比大多數(shù)有線局域網(wǎng)的安全性更高。無線局域網(wǎng)技術早在第二次世界大戰(zhàn)期間便出現(xiàn)了，它源自于軍方應用。一直以來，安全性問題在無線局域網(wǎng)設備開發(fā)及解決方案設計時，都得到了充分的重視。目前，無線局域網(wǎng)絡產(chǎn)品主要采用的是IEEE(美國電氣和電子工程師協(xié)會)802.11b國際標準，大多應用DSSS（DirectSequenceSpreadSpectrum，直接序列擴頻）通信技術進行數(shù)據(jù)傳輸，該技術能有效防止數(shù)據(jù)在無線傳輸過程中丟失、干擾、信息阻塞及破壞等問題。802.11標準主要應用三項安全技術來保障無線局域網(wǎng)數(shù)據(jù)傳輸?shù)陌踩?。第一項為SSID（Service Set Identifier）技術。該技術可以將一個無線局域網(wǎng)分為幾個需要不同身份驗證的子網(wǎng)絡，每一個子網(wǎng)絡都需要獨立的身份驗證，只有通過身份驗證的用戶才可以進入相應的子網(wǎng)絡，防止未被授權的用戶進入本網(wǎng)絡；第二項為MAC（Media Access Control）技術。應用這項技術，可在無線局域網(wǎng)的每一個接入點（Access Point）下設置一個許可接入的用戶的MAC地址清單，MAC地址不在清單中的用戶，接入點（Access Point）將拒絕其接入請求；第三項為WEP（Wired Equivalent Privacy）加密技術。因為無線局域網(wǎng)絡是通過電波進行數(shù)據(jù)傳輸?shù)?，存在電波泄露導致?shù)據(jù)被截聽的風險。WEP安全技術源自于名為RC4的RSA數(shù)據(jù)加密技術，以滿足用戶更高層次的網(wǎng)絡安全需求。
     下面我們從無線局域網(wǎng)安全技術的發(fā)展歷程來對無線局域網(wǎng)中采用的主要安全技術及發(fā)展方向進行介紹。
     一、早期基本的無線局域網(wǎng)安全技術
     無線網(wǎng)卡物理地址（MAC）過濾：
     每個無線工作站網(wǎng)卡都由惟一的物理地址標示，該物理地址編碼方式類似于以太網(wǎng)物理地址，是48位。網(wǎng)絡管理員可在無線局域網(wǎng)訪問點AP中手工維護一組允許訪問或不允許訪問的MAC地址列表，以實現(xiàn)物理地址的訪問過濾。
     如果企業(yè)當中的AP數(shù)量太多，為了實現(xiàn)整個企業(yè)當中所有AP統(tǒng)一的無線網(wǎng)卡MAC地址認證，現(xiàn)在的AP也支持無線網(wǎng)卡MAC地址的集中Radius認證。
     服務區(qū)標識符(SSID)匹配：
     無線工作站必須出示正確的SSID，與無線訪問點AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕他通過本服務區(qū)上網(wǎng)。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，實現(xiàn)一定的安全。
     在無線局域網(wǎng)接入點AP上對此項技術的支持就是可不讓AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關聯(lián)。
     有線等效保密（WEP）：
     有線等效保密（WEP）協(xié)議是由802.11標準定義的，用于在無線局域網(wǎng)中保護鏈路層數(shù)據(jù)。WEP使用40位鑰匙，采用RSA開發(fā)的RC4對稱加密算法，在鏈路層加密數(shù)據(jù)。
     WEP加密采用靜態(tài)的保密密鑰，各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個ChallengePacket給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，只有正確無誤，才能獲準存取網(wǎng)絡的資源。40位WEP具有很好的互操作性，所有通過Wi-Fi組織認證的產(chǎn)品都可以實現(xiàn)WEP互操作?，F(xiàn)在的WEP一般也支持128位的鑰匙，提供更高等級的安全加密。
     二、802.11i（WPA）之前的安全解決方案
     端口訪問控制技術（IEEE802.1x）和可擴展認證協(xié)議（EAP）：
     該技術也是用于無線局域網(wǎng)的一種增強性網(wǎng)絡安全解決方案。當無線工作站與無線訪問點AP關聯(lián)后，是否可以使用AP的服務要取決于802.1x的認證結果。如果認證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網(wǎng)。
     802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問點要內(nèi)嵌802.1x認證代理，同時它還作為Radius客戶端，將用戶的認證信息轉(zhuǎn)發(fā)給Radius服務器?，F(xiàn)主流的PC機操作系統(tǒng)WinXP以及Win2000都已經(jīng)有802.1x的客戶端功能。
     現(xiàn)在，安全功能比較全的AP在支持IEEE802.1x和Radius的集中認證時支持的可擴展認證協(xié)議類型有：EAP-MD5 & TLS、TTLS和PEAP。
     無線客戶端二層隔離技術：
     在電信運營商的公眾熱點場合，為確保不同無線工作站之間的數(shù)據(jù)流隔離，無線接入點AP也可支持其所關聯(lián)的無線客戶端工作站二層數(shù)據(jù)隔離，確保用戶的安全。
     VPN-Over-Wireless技術：
     目前已廣泛應用于廣域網(wǎng)絡及遠程接入等領域的VPN（VirtualPrivateNetworking）安全技術也可用于無線局域網(wǎng)。與IEEE802.11b標準所采用的安全技術不同，VPN主要采用DES、3DES等技術來保障數(shù)據(jù)傳輸?shù)陌踩?。對于安全性要求更高的用戶，將現(xiàn)有的VPN安全技術與IEEE802.11b安全技術結合起來，是目前較為理想的無線局域網(wǎng)絡的安全解決方案之一。