无线局域网产业是目前整个数据通信技术领域当中最为快速发展的产业之一。无线局域网解决方案在部分场合作为传统有线局域网络的补充或替代以其灵活性、移动性及较低的投资成本等优势获得了家庭网络用户/中小型办公室用户、广泛企业用户及及电信运营商的青睐,得到了快速的应用。
由于无线局域网采用公共的电磁波作为载体,电磁波能够穿过天花板,玻璃,楼层,砖,墙等物体,因此在一个无线局域网接入点(Access Point)所服务的区域中任何一个无线客户端都可以接受到此接入点的电磁波信号,这样就可能包括有网络管理员并不希望其接收数据的客户端也能接收到数据信号。也就是说正由于采用电磁波来传输信号,非授权用户在无线局域网中相对于在有线局域网当中,去窃听或干扰信息就来得容易得多,为了阻止这些非授权用户访问无线网络,从无线局域网应用的第一天开始便引入相应安全的措施。
通常数据网络的安全性主要体现在用户访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问,而数据加密则保证发射的数据只能被所期望的用户所接收和理解。
当然无线局域网相对于有线局域网而言,其所增加的要解决的安全问题主要是由于其采用了公共的电磁波作为载体来传输数据信号,而其他各方面的安全问题两者是相同的。 无线局域网安全技术的发展
无线局域网的安全技术这几年来随着无线局域网的高速发展,也得到了快速的发展和应用。下面我们从无线局域网安全技术的发展历程来对无线局域网当中采用的主要安全技术进行介绍。
一、早期基本的无线局域网安全技术包括有:
无线网卡物理地址(MAC)过滤
每个无线工作站网卡都由唯一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。
如果企业当中的AP数量太多,为了实现整个企业当中所有AP统一的无线网卡MAC地址认证,现在的AP也支持无线网卡MAC地址的集中Radius认证。
服务区标识符(SSID)匹配
无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝他通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。
在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。 有线等效保密(WEP)
有线等效保密(WEP)协议是由802.11标准定义的,用于在无线局域网中保护链路层数据。WEP使用40位钥匙,采用RSA开发的RC4对称加密算法,在链路层加密数据。
WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。40位WEP具有很好的互操作性,所有通过Wi-Fi 组织认证的产品都可以实现WEP互操作。现在的WEP也一般支持128位的钥匙,提供更高等级的安全加密。 二、在802.11i或者说WPA之前的安全解决方案: 端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。
802.1x要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。现主流的PC机操作系统Win XP 以及Win2000都已经有802.1x的客户端功能。
现在安全功能比较全的AP在支持IEEE 802.1x 和Radius的集中认证时,支持的可扩展认证协议类型有:EAP –MD5 & TLS、TTLS和PEAP。 无线客户端二层隔离技术
在电信运营商的公众热点场合,为确保不同无线工作站之间的数据流隔离,无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离,确保用户的安全。
VPN-Over-Wireless技术
目前已广泛应用于广域网络及远程接入等领域的VPN(Virtual Private Networking)安全技术也可用于无线局域网域,与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES,3DES以及AES等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802.11b安全技术结合起来,这是目前较为理想的无线局域网络的安全解决方案之一。 三、2003年快速发展的WPA (Wi-Fi 保护访问) 技术
在IEEE 802.11i 标准最终确定前,WPA(Wi-Fi Protected Access)技术是在2003年正式提出并推行的的一项无线局域网安全技术,将成为代替WEP的无线,其将为现有的大量的无线局域网的硬件产品提供一个过渡性的高安全的解决方案。WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。
新一代的加密技术TKIP与WEP一样基于RC4加密算法,且对现有的WEP进行了改进,在现有的WEP加密引擎中增加了“密钥细分(每发一个包重新生成一个新的密钥)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”等4种算法,极大地提高了加密安全强度。另外WPA增加了为无线客户端和无线AP提供认证的IEEE 802.1x 的 RADIUS机制。
WPA 在WEP的基础之上为现有的无线局域网设备大大提高了数据加密安全保护和访问认证控制。为了更好地支持用户对WPA的实施,WPA针对中小办公室/家庭用户推出了WPA-PSK、而针对企业用户则采用完整的WPA-Enterprise的形式。WPA是完全基于标准的并且在现有已存的大量无线局域网硬件设备上只需简单地进行软件升级便可完成,并且也能保证兼容将来要推出的 IEEE 802.11i 安全标准。
从2003年的下半年开始,Wi-Fi组织已经开始对支持WPA的无线局域网设备进行认证。目前市场上新推出来的无线局域网设备基本上都将支持WPA安全技术。 四、高级的无线局域网安全标准 ---IEEE 802.11i
为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11工作组目前正在开发作为新的安全标准的IEEE 802.11i,并且致力于从长远角度考虑解决IEEE 802.11无线局域网的安全问题。IEEE 802.11i标准草案中主要包含加密技术:TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard),以及认证协议IEEE 802.1x。预计完整的IEEE 802.11i的标准将在2004年的上半年得到正式批准。IEEE 802.11i将为无线局域网的安全提供可信的标准支持。 五、总结
无线局域网总的发展方向是速度会越来越快(目前已见的是11Mbps的IEEE 802.11b,54Mbps的IEEE 802.11g 与IEEE 802.11a标准),安全性会越来越高。当然无线局域网的各项技术均正处在快速的发展过程当中,但54Mbps的无线局域网规范IEEE 802.11g及Wi-Fi组织2003年强烈推荐的WPA无线局域网安全规范、还有即将推出的无线局域网的高级安全标准IEEE 802.11i等将是2004年整个无线局域网业的热点。
| 
