史磊磊

摘 要：隨著網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)技術(shù)的另一新寵——無線局域網(wǎng)技術(shù)日益滲透到人們生活中，給人們的生活帶來了極大的方便，與此同時，無線網(wǎng)絡(luò)安全也面臨著空前的挑戰(zhàn)。因此，怎么樣讓無線網(wǎng)絡(luò)安全的威脅降到最低，也成為了無線網(wǎng)絡(luò)帶來的一大問題。實施防護措施，主要基于系統(tǒng)本身的安全性，而對無線局域網(wǎng)的安全，解決接入控制和數(shù)據(jù)加密問題是關(guān)鍵因素。

關(guān)鍵詞：無線局域網(wǎng)；網(wǎng)絡(luò)安全；接入控制；數(shù)據(jù)加密

1 無線局域網(wǎng)特點

無線局域網(wǎng)是一種利用無線電波在自由空間的傳播實現(xiàn)終端之間通信的網(wǎng)絡(luò)，用無線局域網(wǎng)通信的最大好處就是終端之間不需要鋪設(shè)線纜，能夠通過無線接入點（ap）將客戶端連接網(wǎng)上，從而擺脫線纜的麻煩，這不僅使其適應(yīng)于各種環(huán)境下的網(wǎng)絡(luò)架設(shè)，更解決了網(wǎng)絡(luò)終端移動通信的問題。比起有線網(wǎng)絡(luò)無線網(wǎng)絡(luò)為用戶提供了更大的便攜性和靈活性，同時，相較于有線網(wǎng)絡(luò)省去了線纜等設(shè)備的費用，也更容易進行安裝、調(diào)整、以及故障排除，更為經(jīng)濟實用。但無線局域網(wǎng)的另一特點，網(wǎng)絡(luò)的開放性（頻段開放性和空間開放性）也帶來了無線網(wǎng)絡(luò)的安全問題——接入控制和數(shù)據(jù)加密。

2 無線局域網(wǎng)的安全隱患

頻段的開放。無線局域網(wǎng)使用的頻段為2.412-2.462Hz、5.15-5.35GHz和5.725-5.825GHz這個三個頻段，他們和ISM基本兼容。利用標(biāo)準(zhǔn)和開放的電磁波頻段進行無線通信，意味著任何能夠接受這些頻段信號的無線設(shè)備都能夠截獲無線局域網(wǎng)用于數(shù)據(jù)通信的無線電信號并根據(jù)無線局域網(wǎng)的調(diào)制原理還原出數(shù)據(jù)。

空間的開放。無線通信方式下，電磁波在自由的空間傳播，信號的傳播范圍取決于信號發(fā)射時的能量，任何處于信號傳播范圍內(nèi)的接收設(shè)備都能接收到該發(fā)射裝置所發(fā)射的電磁波信號，和接入點（ap）進行通信，并通過ap進入內(nèi)部網(wǎng)絡(luò)。

同理，電磁波自由傳播的特性使得基本服務(wù)集（BBS）內(nèi)的任何一個終端都能接收到其他終端和ap之間交換的數(shù)據(jù)，因此，如果不對通過無線局域網(wǎng)傳輸?shù)臄?shù)據(jù)加密，數(shù)據(jù)將無法保證保密性。

開放性帶來了兩個安全問題：一是接入控制，二是數(shù)據(jù)加密。

3 無線局域網(wǎng)安全問題的解決措施

解決無線局域網(wǎng)安全問題的措施是認證與加密。

認證解決接入控制的問題，確保只有自己的終端才能和ap通信，并通過ap連接內(nèi)部網(wǎng)絡(luò)。為了能在無線局域網(wǎng)中實現(xiàn)認證機制，必須讓終端和ap間有一個虛擬連接建立過程，在建立連接后，對請求接入終端的身份進行認證，保證只有授權(quán)終端才能ap通信。

3.1 WEP認證

開放系統(tǒng)認證。開放系統(tǒng)認證是缺省使用的認證機制，也是最簡單的認證算法，即不認證。如果認證類型設(shè)置為開放系統(tǒng)認證，則所有請求認證的客戶端都會通過認證。

開放系統(tǒng)認證包括兩個步驟：第一步是請求認證，第二步是返回認證結(jié)果。

共享密鑰認證。共享密鑰認證是除開放系統(tǒng)認證以外的另外一種認證機制。共享密鑰認證需要客戶端和設(shè)備端配置相同的共享密鑰。

共享密鑰認證的認證過程為：客戶端先向設(shè)備發(fā)送認證請求，無線設(shè)備端會隨機產(chǎn)生一個Challenge包（即一個字符串）發(fā)送給客戶端；客戶端會將接收到字符串拷

貝到新的消息中，用密鑰加密后再發(fā)送給無線設(shè)備端；無線設(shè)備端接收到該消息后，用密鑰將該消息解密，然后對解密后的字符串和最初給客戶端的字符串進行比較。

如果相同，則說明客戶端擁有無線設(shè)備端相同的共享密鑰，即通過了Shared Key認證；否則Shared Key認證失敗。

3.2 802.1x認證

IEEE在2001正式頒布了IEEE 802.1x標(biāo)準(zhǔn)，用于基于以太的局域網(wǎng)、城域網(wǎng)和各種寬帶接入手段的用戶/設(shè)備接入認證。這種認證采用基于以太網(wǎng)端口的用戶訪問控制技術(shù)，只有網(wǎng)絡(luò)系統(tǒng)允許并授權(quán)的用戶可以訪問網(wǎng)絡(luò)系統(tǒng)的各種業(yè)務(wù)（如以太網(wǎng)連接、網(wǎng)絡(luò)層路由、Internet接入等業(yè)務(wù)）。

802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問LAN/MAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。

以太網(wǎng)的每個物理端口分為受控和不受控兩個邏輯端口，物理端口收到的每個幀都被送到受控和不受控端口。對受控端口的訪問，受限于受控端口的授權(quán)狀態(tài)。認證者的PAE根據(jù)認證服務(wù)器認證過程的結(jié)果，控制“受控端口”的授權(quán)/未授權(quán)狀態(tài)。處在未授權(quán)狀態(tài)的控制端口，拒絕用戶/設(shè)備的訪問

加密解決終端和ap之間傳輸?shù)臄?shù)據(jù)的保密性問題，對終端和ap之間傳輸?shù)臄?shù)據(jù)進行加密操作，只有擁有密鑰的終端才能還原出明文，其他終端即使截獲到加密后的數(shù)據(jù)，也無法得到明文，以此確保數(shù)據(jù)的保密性。