新環(huán)境下的支撐：無線局域網(wǎng)的安全保障

在無線網(wǎng)絡(luò)的發(fā)展中，安全問題是所有問題的焦點，盡管諸如802.11i等各標(biāo)準(zhǔn)中都加入了安全措施，加強了無線網(wǎng)的安全性，較好解決了現(xiàn)有無線網(wǎng)絡(luò)的安全缺陷和隱患，同時，這些安全標(biāo)準(zhǔn)的完善，也極大地推動了WLAN應(yīng)用。但是，網(wǎng)絡(luò)的安全不僅僅與加密認(rèn)證等機制有關(guān)，而且還需要入侵檢測、防火墻等技術(shù)的配合來共同保障，因此無線局域網(wǎng)的安全需要從多層次來考慮，綜合利用各種技術(shù)來實現(xiàn)。

作為以無線信道作為傳輸媒介的計算機局域網(wǎng)絡(luò)（WLAN），無線局域網(wǎng)是在有線網(wǎng)的基礎(chǔ)上發(fā)展起來的，使網(wǎng)上的計算機具有可移動性，能快速、方便地解決有線方式不易實現(xiàn)的網(wǎng)絡(luò)信道的連通問題。

無線局域網(wǎng)系列標(biāo)準(zhǔn)

IEEE802.11標(biāo)準(zhǔn)早在1997年11月26日正式發(fā)布。IEEE802.11規(guī)定了統(tǒng)一的MAC層，使得各種不同廠商的無線產(chǎn)品得以互聯(lián)。物理層標(biāo)準(zhǔn)定義了兩個RF（射頻）傳輸方法和一個紅外傳輸方法。在被稱為Wi-Fi的IEEE802.11b標(biāo)準(zhǔn)發(fā)布以后，無線局域網(wǎng)得到了真正的推廣。

1999年，IEEE802.11無線局域網(wǎng)標(biāo)準(zhǔn)工作組發(fā)布了兩個物理層的擴充規(guī)范，即IEEE802.11b、IEEE802.11a，2003年又發(fā)布了 IEEE 802.11g標(biāo)準(zhǔn)。表1為三種不同的IEEE 802.11擴展標(biāo)準(zhǔn)的特性比較。

表1  無線局域網(wǎng)三種協(xié)議性能比較

802.11a的產(chǎn)品于2001年年底開始在市場上銷售，因其工作在更高的頻段，具有更多不重疊的子頻道和更高的數(shù)據(jù)通信帶寬，得到了較為廣泛的應(yīng)用。而802.11a標(biāo)準(zhǔn)和802.11b標(biāo)準(zhǔn)工作在兩個完全不同的頻帶，采用完全不同的調(diào)制技術(shù)，兩者是完全不兼容的，但可以共存于同一區(qū)域中而互不干擾。

802.11g有兩個最主要的特征：高速率和兼容802.11b。802.11g標(biāo)準(zhǔn)是下一個主流的無線局域網(wǎng)標(biāo)準(zhǔn)，它提供了高速數(shù)據(jù)通信帶寬，并以較為經(jīng)濟的成本提供了對原有主流無線局域網(wǎng)標(biāo)準(zhǔn)的兼容。

另外，IEEE除了制定上述的三個主要無線局域網(wǎng)協(xié)議之外，還在不斷完善推出或擬推出一些新的協(xié)議。

2003年，我國發(fā)布了WLAN國家標(biāo)準(zhǔn)，此標(biāo)準(zhǔn)的一個重要組成部分就是由寬帶無線IP標(biāo)準(zhǔn)工作組制定的新的安全機制——無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)（WAPI）。WAPI是中國擁有自主知識產(chǎn)權(quán)的無線局域網(wǎng)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)較好地解決了無線局域網(wǎng)的安全問題。它和IEEE802.11的主要區(qū)別在于安全加密技術(shù)的不同，它針對IEEE802.11中WEP協(xié)議安全問題，在中國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11中提出了WLAN安全解決方案，主要特點是采用基于公鑰密碼體系的證書機制，真正實現(xiàn)了移動終端(MT)與無線接入點(AP)間雙向鑒別。

此外，還有另一種WLAN技術(shù)—HomeRF，HomeRF是由HomeRF工作組開發(fā)，由美國家用射頻委員會領(lǐng)導(dǎo)的，專門為家庭用戶設(shè)計的標(biāo)準(zhǔn)。其主要任務(wù)是為家庭用戶建立具有互操作性的話音和數(shù)據(jù)通信網(wǎng)，它是PC和用戶電子設(shè)備之間實現(xiàn)無線數(shù)字通信的開放性工業(yè)標(biāo)準(zhǔn)。作為無線技術(shù)方案，它代替了需要鋪設(shè)昂貴傳輸線的有線家庭網(wǎng)絡(luò)，為網(wǎng)絡(luò)中的設(shè)備和Internet應(yīng)用提供了漫游功能。該標(biāo)準(zhǔn)極大地促進(jìn)了低成本無線數(shù)據(jù)網(wǎng)絡(luò)技術(shù)的發(fā)展，但由于HomeRF占據(jù)了與802.11b相同的2.4GHz頻率段，并且在功能上局限于家庭應(yīng)用，而同時802.11b在辦公領(lǐng)域已取得一定地位，所以，目前HomeRF不被看好。

目前，由IEEE制定的802.11協(xié)議己經(jīng)成為WLAN普及的主體標(biāo)準(zhǔn)，符合此協(xié)議的產(chǎn)品也最多，因此，目前它在市場依然占據(jù)著主導(dǎo)地位（注：在本論文對WLAN的論述中，除特別指出外，WLAN均指的是802.11WLAN）。

無線局域網(wǎng)適用特點

安裝便捷

一般在網(wǎng)絡(luò)建設(shè)中，施工周期最長、對周邊環(huán)境影響最大的，就是網(wǎng)絡(luò)布線施工工程，在施工過程中，往往需要破墻、穿線架管。而無線局域網(wǎng)最大的優(yōu)勢就是免去或減少了網(wǎng)絡(luò)布線的工作量，一般只要安裝一個或多個接入點AP(AccessPoint)設(shè)備，就可建立覆蓋整個建筑或地區(qū)的局域網(wǎng)絡(luò)。

使用靈活

在有線網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備的安放位置受網(wǎng)絡(luò)信息點位置的限制，而一旦無線局域網(wǎng)建成后，在無線網(wǎng)的信號覆蓋區(qū)域內(nèi)任何一個位置都可以接入網(wǎng)絡(luò)。

經(jīng)濟節(jié)約

由于有線網(wǎng)絡(luò)缺少靈活性，這就要求網(wǎng)絡(luò)規(guī)劃者盡可能地考慮未來發(fā)展的需要，這就往往導(dǎo)致在前期設(shè)計時預(yù)設(shè)大量利用率較低的信息點，一旦網(wǎng)絡(luò)的發(fā)展超出了設(shè)計規(guī)劃，網(wǎng)絡(luò)建設(shè)方又要花費較多費用進(jìn)行網(wǎng)絡(luò)改造。而無線局域網(wǎng)可以避免或減少以上情況的發(fā)生。

易于擴展

無線局域網(wǎng)有多種配置方式，能夠根據(jù)需要靈活選擇。這樣，無線局域網(wǎng)就能勝任從只有幾個用戶的小型局域網(wǎng)到上千用戶的大型網(wǎng)絡(luò)，另外還可提供無線覆蓋范圍內(nèi)的全功能漫游服務(wù)等功能。

由于無線局域網(wǎng)具有以上多方面優(yōu)點，所以發(fā)展十分迅速。在最近幾年里，無線局域網(wǎng)已經(jīng)在醫(yī)院、工廠和院校等不適合網(wǎng)絡(luò)布線的場合得到了廣泛應(yīng)用。

同時，這種優(yōu)點也同時帶來了新的挑戰(zhàn)，這些挑戰(zhàn)中較重要的就是安全問題。

無線局域網(wǎng)安全隱患

目前，安全問題已成為無線局域網(wǎng)（WLAN）發(fā)展中遇到的一個最為關(guān)鍵的問題。無線局域網(wǎng)相對于有線局域網(wǎng)而言，所增加的安全問題主要是由于其采用了公共的電磁波作為載體來傳輸數(shù)據(jù)信號造成的。

由于無線局域網(wǎng)通過無線電波在空中傳輸數(shù)據(jù)，所以在數(shù)據(jù)發(fā)射機覆蓋區(qū)域內(nèi)的幾乎任何一個無線局域網(wǎng)用戶都能接觸到這些數(shù)據(jù)。無論接觸數(shù)據(jù)者是在哪一個房間、哪一層樓或是建筑之外，無線就意味著會讓人接觸到數(shù)據(jù)。顯然，要將無線局域網(wǎng)發(fā)射的數(shù)據(jù)僅僅傳送給一名目標(biāo)接收者是不可能的，而防火墻對通過無線電波進(jìn)行的網(wǎng)絡(luò)通信不起作用，任何人在視距范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。

可以看出，無線局域網(wǎng)（WLAN）存在的安全問題主要包括兩方面：一是訪問控制，二是數(shù)據(jù)保密性。訪問控制，即確保敏感的數(shù)據(jù)僅由獲得授權(quán)的用戶才能訪問；保密性，即確保傳送的數(shù)據(jù)只被目標(biāo)接收人接收和理解�？梢姡瑪�(shù)據(jù)保密性很重要，但訪問控制同樣不可忽視。所以，如果在安全性方面沒有進(jìn)行精心的設(shè)計，布署無線局域網(wǎng)將會給黑客和網(wǎng)絡(luò)犯罪開啟方便之門。

在無線局域網(wǎng)的安全威脅中，除所有常規(guī)有線網(wǎng)絡(luò)的安全威脅和隱患（例如病毒，惡意攻擊，非授權(quán)訪問等）都存在外，由于無線網(wǎng)絡(luò)中每個AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個新的入口，維護人員對這個入口的管理并不像傳統(tǒng)網(wǎng)絡(luò)那么容易。因此，未授權(quán)實體就可以在公司外部或者內(nèi)部進(jìn)入網(wǎng)絡(luò)。例如：

●外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻，對公司網(wǎng)絡(luò)進(jìn)行非授權(quán)存��；

●無線網(wǎng)絡(luò)傳輸?shù)男畔⒁驔]有加密或者加密很弱，容易被竊取、竄改和插入；

●無線網(wǎng)絡(luò)易被拒絕服務(wù)攻擊（DenialofService，DoS）和干擾；

●內(nèi)部員工可以設(shè)置無線網(wǎng)卡為對等(P2P)模式與外部員工連接。

保障WLAN安全的關(guān)鍵技術(shù)

許多潛在的用戶對于WLAN技術(shù)所帶來的靈活性十分感興趣，但也由于WLAN不能得到可靠的安全保護而對是否采用WLAN系統(tǒng)猶豫不決，這使得無線局域網(wǎng)技術(shù)陷入了十分尷尬的境地。那么，為了使WLAN從這種被動局面中解脫出來，無線局域網(wǎng)（WLAN）采用了哪些安全技術(shù)呢？

為了阻止非授權(quán)用戶訪問無線局域網(wǎng)絡(luò)，無線局域網(wǎng)引入了相應(yīng)的安全措施。通常數(shù)據(jù)網(wǎng)絡(luò)的安全性主要體現(xiàn)在用戶訪問控制、數(shù)據(jù)加密兩個方面。訪問控制保證敏感數(shù)據(jù)只能由授權(quán)用戶進(jìn)行訪問，而數(shù)據(jù)加密則保證發(fā)射的數(shù)據(jù)只能被所期望的用戶接收和理解。

針對無線局域網(wǎng)絡(luò)WLAN主要有幾類安全技術(shù)。

●無線網(wǎng)卡物理地址（MAC）過濾

每個無線工作站網(wǎng)卡都由惟一的物理地址表示，該物理地址編碼方式類似于以太網(wǎng)物理地址，是48位。網(wǎng)絡(luò)管理員可在無線局域網(wǎng)訪問點AP（AccessPoint，無線訪問點）中手工維護一組允許訪問或不允許訪問的MAC地址列表，以實現(xiàn)物理地址的訪問過濾。

●服務(wù)區(qū)標(biāo)識符(SSID)匹配

該技術(shù)要求無線工作站（STA）必須出示正確的SSID，判定與AP的SSID相同后，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。

●端口訪問控制技術(shù)（IEEE802.1x）和可擴展認(rèn)證協(xié)議（EAP）

該技術(shù)是用于無線局域網(wǎng)的一種增強性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站與無線訪問點AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為無線工作站打開這個邏輯端口，否則不允許用戶上網(wǎng)。

802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問點要內(nèi)嵌802.1x認(rèn)證代理，同時它還作為Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。在現(xiàn)有主流的PC機操作系統(tǒng)WinXP以及Win2000上都集成802.1x的客戶端功能。

●無線客戶端二層隔離技術(shù)

在電信運營商的公眾場合，為確保不同無線工作站之間的數(shù)據(jù)流隔離，無線接入點AP也可支持其所關(guān)聯(lián)的無線客戶端工作站二層數(shù)據(jù)隔離，確保用戶的安全。

●VPN-Over-Wireless技術(shù)

目前已廣泛應(yīng)用于廣域網(wǎng)領(lǐng)域的VPN（VirtualPrivateNetworking）安全技術(shù)也可用于無線局域網(wǎng)。與IEEE802.11b標(biāo)準(zhǔn)所采用的安全技術(shù)不同，VPN主要采用DES、3DES加密算法等技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩�。對于安全性要求更高的用戶，現(xiàn)有的VPN安全技術(shù)與IEEE 802.11b安全技術(shù)結(jié)合，是目前較為理想的無線局域網(wǎng)絡(luò)安全解決方案之一。

●WPA技術(shù)

在IEEE802.11i標(biāo)準(zhǔn)最終確定前，WPA（Wi-FiProtectedAccess）技術(shù)將成為代替WEP的無線安全標(biāo)準(zhǔn)協(xié)議，它為IEEE 802.11 WLAN提供了更強大的安全性能保證。WPA是IEEE 802.11i的一個子集，其核心就是IEEE 802.1x和TKIP。

新一代的加密技術(shù)TKIP與WEP一樣基于RC4加密算法，且對現(xiàn)有的WEP進(jìn)行了改進(jìn)。WPA繼承了WEP的基本原理又解決了WEP的安全的脆弱性缺點。WEP安全的脆弱性表現(xiàn)在：為了在接入點和客戶端之間將IV密鑰告訴給通信對象，IV密鑰不經(jīng)加密就直接嵌入到分組信息中被發(fā)送出去，所以如果有人通過無線竊聽，收集到包含特定IV密鑰的分組信息并對其進(jìn)行解析，那么通用密鑰就可能被計算出來。WPA加強了WEP加密密鑰的算法，即便有人收集到分組信息并對其進(jìn)行解析，要想破解通用密鑰也幾乎是不可能的。WPA通過在現(xiàn)有的WEP加密引擎中增加每發(fā)一個包重新生成一個新的密鑰(“即密鑰細(xì)分”)、“消息完整性檢查（MIC）”等算法，大大提高了加密安全強度。

●高級的無線局域網(wǎng)安全標(biāo)準(zhǔn)—IEEE802.11i

為了進(jìn)一步加強無線局域網(wǎng)的安全性，保證不同廠家之間無線安全技術(shù)的兼容，IEEE802.11工作組已制定了新的安全標(biāo)準(zhǔn)IEEE802.11i，并且致力于從長遠(yuǎn)角度考慮解決IEEE802.11無線局域網(wǎng)的安全問題。IEEE 802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式。IEEE 802.11i標(biāo)準(zhǔn)中主要包含的數(shù)據(jù)加密技術(shù)有：TKIP (Temporal Key Integrity Protocol) 和 AES（Advanced Encryption Standard）、密鑰管理技術(shù)以及認(rèn)證協(xié)議IEEE 802.1x，IEEE 802.11i將為無線局域網(wǎng)的安全提供可信的標(biāo)準(zhǔn)支持。