沈　鸣

[摘要]从无线局域网安全防范的角度分析并阐述企业部署无线局域网所涉及的各种安全技术，提出根据不同企业用户对于无线局域网安全的需求，可以选择相适应的安全认证及加密机制来满足安全组网要求。

[关键词]WLAN 802.1i 认证机制 加密机制

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0310065－01

随着企业信息化的不断发展，越来越多的企业开始使用无线局域网（WLAN）作为有线网的一种辅助措施来提升内部员工的工作效率。WLAN技术以其接入速率高、组网灵活，特别是在移动办公方面具有得天独厚的优势。但随着WLAN应用领域的不断扩展，其安全性也越来越得到人们的重视。

一、企业WLAN常用安全措施分析

（一）禁止SSID广播

在WLAN中，通过无线接入点AP设置服务集标识符SSID（Service Set Identifier），无线客户端只有提供了正确的SSID才能访问AP，因此可以SSID看作是一个简单的口令，通过SSID口令认证机制，实现一定的网络安全。

无线广播信标帧是802.11协议的一种正常二层帧，一般情况下是允许接入者不需要任何凭证的情况下合法获得的（默认100毫秒发送一次），其中包含该WLAN的SSID名称字段。虽然在接入点可通过“禁止SSID广播”的方式在广播帧中以NULL字段填充原有SSID名字段空间以减少被攻击的可能，但攻击者依然可通过一些黑客工具（例如Network Stumbler、SSID_Jack等）轻松掌握SSID号。

（二）MAC地址过滤控制

MAC地址（物理地址）过滤控制是采用硬件控制的机制来实现对接入无线终端的识别。由于无线终端的网卡都具备唯一的48位MAC地址，因此可以通过检查无线终端数据包的源MAC地址来确认无线终端的合法性。

但MAC地址过滤的方法要求AP中的MAC地址列表必须手工添加和删除，因此维护不便，可扩展性也很差。另外由于很多无线网卡支持重新配置MAC地址，因此非法入侵者很有可能从开放的无线电波中截获数据帧，分析出合法用户的MAC地址，然后伪装成合法用户，非法接入WLAN，使得网络安全遭到破坏。

（三）使用WEP协议进行加密

有线等效保密（Wired Equivalent Privacy,WEP）协议就是通过某些安全措施，使无线网络能够实现有线网络一样的安全防范。WEP使用64位和128位密钥，采用RC4对称加密算法，在链路层实现加密数据和访问控制。只有用户的加密密钥与AP的密钥相同时才能获准访问网络的资源，从而防止非法授权用户的监听以及非法用户的访问。

WEP标准在保护网络安全方面存在固有缺陷，具体主要包括：WEP的完整性算法CRC-32不能阻止攻击者篡改数据；WEP没有提供抵抗重放攻击的对策；WEP的RC4算法容易产生弱密钥等。目前很多免费的工具都可以探测到WLAN流量，可以对其分析并得到WEP密钥。

二、如何构建更加安全的企业WLAN

网络的安全技术主要体现在两个方面：一个是身份认证，它用于保证网络只能由授权用户进行访问；另一个是数据加密，它用于保证网络中传送的数据只被所允许的用户所接收。因此为了提高WLAN的安全性，必须引入更加安全的认证机制及加密机制。

（一）802.1X协议

802.1X被称为基于端口的网络访问控制协议（Port Based Network Access Control Protocol），尽管802.1X标准最初是为有线以太网设计制定的，但它也适用于符合802.11标准的无线局域网。当无线终端与AP关联后，是否可以使用AP的服务要取决于802.1X的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户接入网络。802.1X要求无线工作站安装802.1X客户端软件，无线访问点要内嵌802.1X认证代理，同时它还作为RADIUS客户端，将用户的认证信息转发给RADIUS服务器。

802.1X技术结合EAP认证或PEAP认证可以为WLAN提供灵活多样的安全技术解决方案。例如EAP-TLS能提供较高的安全性，但也增加了在服务器端和客户端都要安装证书的管理难度，比较适合对安全要求比较高的大中型企业使用；而PEAP安全性虽略低于前者，但却可以基于用户名和密码认证，省去了客户端安装证书的麻烦，比较适合对安全要求一般的中小型企业使用。由此可见，802.1X是WLAN的一种增强的网络安全解决方案，可以看成是完善的无线局域网安全技术出现之前的过渡方案。

（二）IEEE 802.1i安全标准与WPA、WPA2

为了进一步加强无线网络的安全性，IEEE 802.11工作组于2004年6月正式批准了IEEE 802.11i安全标准。IEEE 802.11i规范了802.1X认证和密钥管理方式，定义了强健安全网络RSN（Robust Security Network）的概念，在数据加密方面，定义了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）加密机制。其中TKIP加密算法依然是RC4，但通过提供一种增强型WEP加密引擎，从而弥补了原有WEP易受攻击的弱点。通过TKIP，原先不支持802.11i的设备可以通过升级驱动程序的方法提高安全性。CCMP机制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter-Mode/CBC-MAC）认证方式，使得WLAN的安全性大大提高，是实现RSN的强制性要求。AES是一种对称的块加密技术，提供比WEP/TKIP中RC4算法更高的加密性能。

由于WEP存在安全缺陷无法满足WLAN发展的需要，在IEEE 802.11i安全标准推出之前，Wi-Fi联盟适时推出了WPA（Wi-Fi Protected Access）技术，作为临时代替WEP的无线安全标准协议。WPA实际上是IEEE 802.11i的一个子集，其核心就是IEEE 802.1X和TKIP。

WPA2是Wi-Fi联盟发布的第二代WPA标准，WPA2和802.11i强健安全网络RSN的特性基本上是相同的，他们都采用CCMP加密机制来代替TKIP。WPA2已成为无线产品是否符合802.11i安全的认证标准。

目前很多无线设备厂家都提供了WPA和WPA2 PSK模式WPA-PSK/WPA2-PSK，也就是以预共享密钥PSK（Pre-Share Key）的验证模式来替代IEEE 802.1X/EAP的验证模式，PSK模式下无须使用验证服务器RADIUS，因此特别适合SOHO（Small Office/Home Office）环境使用。

三、结束语

综上所述，在IEEE等标准化组织以及Wi-Fi联盟和WLAN设备厂商的通力合作下，WLAN的安全性能已经得到了很大的提高。如今，部署和使用WLAN大可不必担心WLAN的安全性，只要重视安全性问题并选择适当有效的认证和加密机制，WALN完全能满足不同企业用户的安全组网要求。

参考文献：

[1]陈群，选择无线局域网的安全策略[J].计算机安全，2008.10.

[2]王婧姝，浅析无线网络安全性解决方案[J].科技广场，2007.11.

[3]王蒙、燕爱华，基于改进WEP协议的无线局域网安全研究[J].网络安全技术与应用，2005.9.

[4]鲁艳、毛旭，基于WiFi的无线网络安全方案对比分析[J].网络安全，2007.3.

[5]董争鸣、史进，无线局域网安全性解析[J].网络安全技术与应用，2007.9.

[6]余以胜、蒋麟军，IEEE 802.11安全架构的网络性能分析[J].小型微型计算系统，2008.10.