史磊磊

摘 要：随着网络的快速发展，网络技术的另一新宠——无线局域网技术日益渗透到人们生活中，给人们的生活带来了极大的方便，与此同时，无线网络安全也面临着空前的挑战。因此，怎么样让无线网络安全的威胁降到最低，也成为了无线网络带来的一大问题。实施防护措施，主要基于系统本身的安全性，而对无线局域网的安全，解决接入控制和数据加密问题是关键因素。

关键词：无线局域网；网络安全；接入控制；数据加密

1 无线局域网特点

无线局域网是一种利用无线电波在自由空间的传播实现终端之间通信的网络，用无线局域网通信的最大好处就是终端之间不需要铺设线缆，能够通过无线接入点（ap）将客户端连接网上，从而摆脱线缆的麻烦，这不仅使其适应于各种环境下的网络架设，更解决了网络终端移动通信的问题。比起有线网络无线网络为用户提供了更大的便携性和灵活性，同时，相较于有线网络省去了线缆等设备的费用，也更容易进行安装、调整、以及故障排除，更为经济实用。但无线局域网的另一特点，网络的开放性（频段开放性和空间开放性）也带来了无线网络的安全问题——接入控制和数据加密。

2 无线局域网的安全隐患

频段的开放。无线局域网使用的频段为2.412-2.462Hz、5.15-5.35GHz和5.725-5.825GHz这个三个频段，他们和ISM基本兼容。利用标准和开放的电磁波频段进行无线通信，意味着任何能够接受这些频段信号的无线设备都能够截获无线局域网用于数据通信的无线电信号并根据无线局域网的调制原理还原出数据。

空间的开放。无线通信方式下，电磁波在自由的空间传播，信号的传播范围取决于信号发射时的能量，任何处于信号传播范围内的接收设备都能接收到该发射装置所发射的电磁波信号，和接入点（ap）进行通信，并通过ap进入内部网络。

同理，电磁波自由传播的特性使得基本服务集（BBS）内的任何一个终端都能接收到其他终端和ap之间交换的数据，因此，如果不对通过无线局域网传输的数据加密，数据将无法保证保密性。

开放性带来了两个安全问题：一是接入控制，二是数据加密。

3 无线局域网安全问题的解决措施

解决无线局域网安全问题的措施是认证与加密。

认证解决接入控制的问题，确保只有自己的终端才能和ap通信，并通过ap连接内部网络。为了能在无线局域网中实现认证机制，必须让终端和ap间有一个虚拟连接建立过程，在建立连接后，对请求接入终端的身份进行认证，保证只有授权终端才能ap通信。

3.1 WEP认证

开放系统认证。开放系统认证是缺省使用的认证机制，也是最简单的认证算法，即不认证。如果认证类型设置为开放系统认证，则所有请求认证的客户端都会通过认证。

开放系统认证包括两个步骤：第一步是请求认证，第二步是返回认证结果。

共享密钥认证。共享密钥认证是除开放系统认证以外的另外一种认证机制。共享密钥认证需要客户端和设备端配置相同的共享密钥。

共享密钥认证的认证过程为：客户端先向设备发送认证请求，无线设备端会随机产生一个Challenge包（即一个字符串）发送给客户端；客户端会将接收到字符串拷

贝到新的消息中，用密钥加密后再发送给无线设备端；无线设备端接收到该消息后，用密钥将该消息解密，然后对解密后的字符串和最初给客户端的字符串进行比较。

如果相同，则说明客户端拥有无线设备端相同的共享密钥，即通过了Shared Key认证；否则Shared Key认证失败。

3.2 802.1x认证

IEEE在2001正式颁布了IEEE 802.1x标准，用于基于以太的局域网、城域网和各种宽带接入手段的用户/设备接入认证。这种认证采用基于以太网端口的用户访问控制技术，只有网络系统允许并授权的用户可以访问网络系统的各种业务（如以太网连接、网络层路由、Internet接入等业务）。

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/MAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。

以太网的每个物理端口分为受控和不受控两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。对受控端口的访问，受限于受控端口的授权状态。认证者的PAE根据认证服务器认证过程的结果，控制“受控端口”的授权/未授权状态。处在未授权状态的控制端口，拒绝用户/设备的访问

加密解决终端和ap之间传输的数据的保密性问题，对终端和ap之间传输的数据进行加密操作，只有拥有密钥的终端才能还原出明文，其他终端即使截获到加密后的数据，也无法得到明文，以此确保数据的保密性。