WLAN无线局域网安全技术的选用

　　引:随着WLAN(无线局域网)技术的快速发展，WLAN市场、服务和应用的增长速度非常惊人，各级组织在选用WLAN产品时如何使用安全技术手段来保护WLAN中传输的数据--特别是敏感的、重要的数据的安全，是值得考虑的非常重要的问题，必须确保数据不外泄和数据的完整性。　

　　WLAN安全技术

　　有线网络和无线网络有着不同的传输方式。有线网络的访问控制往往以物理端口接入方式进行监控，数据通过双绞线、光纤等介质传输到特定的目的地，有线网络辐射到空气中的电磁信号强度很小，很难被窃听，一般情况下，只有在物理链路遭到盗用后数据才有可能泄漏。而无线网络的数据传输是利用电磁波在空气中辐射传播，只要在接入点(AP，Access Point)覆盖的范围内，所有的无线终端都可以接收到无线信号。无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因。

　　无线局域网络产品的IEEE 802.11系列标准主要有802.11a(5GHz-1999年获得通过)、802.11b(11Mbps 2.4GHz-1999年获得通过)、802.11d(额外的规章制度)、802.11e(服务质量)、802.11f(接入点间协议IAPP)、802.11g(2.4GHz-更高的数据速率>20Mbps-2003年5月获得通过)、802.11h(灵活的频率选择与传输电源控制机制)、802.11i(验证与安全性-2004年6月获得通过)、802.1x(基于端口的网络接入控制EAP-2003年6月获得通过)，下面将标准中涉及的安全技术加以阐述。

　　通常网络的安全性主要体现在两个方面：一是访问控制，它用于保证敏感数据只能由授权用户进行访问；另一个是数据加密，它用于保证传送的数据只被所期望的用户所接收和理解。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号，其他方面的安全问题两者是相同的。

　　* WLAN的访问控制技术

　　* 服务集标识SSID(Service Set Identifier)匹配

　　通过对多个无线AP设置不同的SSID标识字符串(最多32个字符)，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。但是SSID只是一个简单的字符串，所有使用该无线网络的人都知道该SSID，很容易泄漏；而且如果配置AP向外广播其SSID，那么安全程度还将下降，因为任何人都可以通过工具或Windows XP自带的无线网卡扫描功能就可以得到当前区域内广播的SSID。所以，使用SSID只能提供较低级别的安全防护。

　　* 物理地址(MAC，Media Access Control)过滤

　　由于每个无线工作站的网卡都有唯一的类似于以太网的48位的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现基于物理地址的过滤。如果各级组织中的AP数量很多，为了实现整个各级组织所有AP的无线网卡MAC地址统一认证，现在有的AP产品支持无线网卡MAC地址的集中RADIUS认证。物理地址过滤的方法要求AP中的MAC地址列表必须及时更新，因此此方法维护不便、可扩展性差；而且MAC地址还可以通过工具软件或修改注册表伪造，因此这也是较低级别的访问控制方法。
* 端口访问控制技术(IEEE 802.1x)和可扩展认证协议(EAP)

　　由于以上两种访问控制技术的可靠性、灵活性、可扩展性都不是很好，802.1x协议应运而生，802.1x定义了基于端口的网络接入控制协议(Port Based Network Access Control)，其主要目是为了解决无线局域网用户的接入认证问题，802.1x架构的优点是集中式、可扩展，双向用户验证。有线局域网通过固定线路连接组建，计算机终端通过网线接入固定位置物理端口，实现局域网接入，这些固定位置的物理端口构成有线局域网的封闭物理空间。但是，由于无线局域网的网络空间具有开放性和终端可移动性，所以很难通过网络物理空间来界定终端是否属于该网络，因此，如何通过端口认证来防止非法的移动终端接入本单位的无线网络就成为一项非常现实的问题。

　　IEEE 802.1x提供了一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接到网络。但IEEE 802.1x本身并不提供实际的认证机制，需要和扩展认证协议EAP(Extensible Authentication Protocol)配合来实现用户认证和密钥分发。EAP允许无线终端使用不同的认证类型，与后台的认证服务器进行通讯，如远程认证拨号用户服务器(RADIUS)交互。EAP的类型有EAP-TLS、EAP-TTLS、EAP-MD5、PEAP等类型，EAP-TLS是现在普遍使用的，因为它是唯一被IETF(因特网工程任务组)接受的类型。当无线工作站与无线AP关联后，是否可以使用AP的受控端口要取决于802.1x的认证结果，如果通过非受控端口发送的认证请求通过了验证，则AP为无线工作站打开受控端口，否则一直关闭受控端口，用户将不能上网。认证过程如图1所示。