通信工程师互联网技术考试培训无线局域网的安全

4.6.4 无线局域网的安全

由于无线局域网采用公共的电磁波作为载体，电磁波能够穿过天花板、楼层、墙等物体，因此在一个无线局域网接入点所服务的区域中，任何一个无线客户端都可以接收到此接入点的电磁波信号，这样那些非授权用户也能接收到数据信号。也就是相对于有线局域网来说，窃听或干扰无线局域网中的信息就容易得多，为了阻止这些非授权用户访问无线网络，应该在无线局域网中引入相应安全的措施。

通常数据网络的安全性主要体现在用户访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密保证发射的数据只能被所期望的用户所接收和理解。

1.认证

在无线客户端和中心设备交换数据之前，必须先对客户端进行认证在IEEE802.llb中规定，在一个设备和中心设备对话后，就立即开始认证工作，在通过认证之前，设备无法进行其他关键通信。

WPA的认证分为两种。第一种采用IEEE802.1x+EAP的方式。IEEE802.1x是一种基于端口的网络接入控制技术，在网络设备的物理接入级对接入设备进行认证和控制IEEE802.lx提供一个可靠的用户认证和密钥分发框架，控制用户只有在认证通过以后才能连接网络。IEEE802.1X本身并不提供实际的认证机制，需要和上层认证协议（EAP）配合来实现用户认证和密钥分发。EAP允许无线终端支持不同的认证类型，能与后台不同的认证服务器，如远程接入拨入用户服务（RADIUS），进行通信》在大型企业网络中，通常采用这种方式。但是对于一些中小型的企业网络或者家庭用户，架设一台专用的认证服务器未免代价过于昂贵，维护也很复杂。因此WPA提供了第二种简化的模式，它不需要专门的认证服务器。这种模式叫做WPA预共享密钥（WPA-PSK），仅要求在每个WLAN节点（如AP、无线路由器、网卡等）预先输入一个密钥即可实现。只要密钥吻合，客户就可以获得WLAN的访问权。这种方式通常用于家庭网络。

2.数据加密

数据加密可以通过WEP（WiredEquivalentPrivacy）协议来进行。WEP是IEEE802.11b协议中最基本的无线安全加密措施。WEP是所有经过Wi-Fi认证的无线局域网络产品都支持的一项标准功能。

WEP加密采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享密钥将此值加密后送回存取点进行认证比对，如果正确无误，才能获准存取网络的资源。

WEP虽然通过加密提供网络的安全性，但也存在一些缺点，使得具有中等技术水平的入侵者就能非法接入WLAN.首先，用户的加密密钥必须与AP的密钥相同，并且一个服务区内的所有用户都共享同一把密钥。倘若一个用户丢失密钥，则将殃及整个M络。其次，WEP在接入点和客户端之间以“RC4”方式对分组信息进行加密，密码很容易被破解。

目前Wi-Fi推荐的无线局域网安全解决方案WPA（Wi-Fi Protected Access）采用了TRIP（Temporal Key Integrity Protocol）作为一种过渡性安全解决方案。TKIP与WEP-样基于RC4加密算法，且对现有的WEP进行了改进，在现有的WEP加密引擎中追加了“密钥细分（每发一个包重新生成一个新的密钥）”、“消息完整性检查（MIC）”、“具有序列功能的初始向荡”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。

IEEE802.lli中还定义了一种基于高级加密标准（AdvancedEncryptionStandard,AES）的全新加密算法，以实施更强大的加密和信息完整性检査。AES是一种对称的块加密技术，提供比WEP/TKIP中RC4算法更高的加密性能，为无线网络带来更强大的安全防护。