无线局域网安全机制及安全措施.docVIP

无线局域网安全机制及安全措施 　　摘要：无线局域网是指采用无线传输媒介的计算机局域网。但由于WLAN采用公共的电磁波作为载体，因此对越权存取和窃听的行为也更不容易防范。WLAN的安全问题严重的束缚了WLAN的高速和健康发展。本文通过研究当前无线局域网使用的各种安全机制的特点及其缺陷，提出了一些相应的安全措施手段，以此来提高无线局域网的安全性。 　　关键词：无线局域网 安全机制 安全措施 　　 　　0 引言 　　通常网络的安全性主要体现在两个方面：一是访问控制，另一个是数据加密。无线局域网相对于有线局域网所增加的安全问题主要是由于其采用了电磁波作为载体来传输数据信号。虽然目前局域网建网的地域变得越来越复杂，利用无线技术来建设局域网也变得越来越普遍，但无线网络的这种电磁辐射的传输方式是无线网络安全保密问题尤为突出的主要原因，也成为制约WLAN快速发展的主要问题。 　　1 现有安全机制特点及其缺陷 　　1.1 物理地址（MAC）过滤控制 　　每个无线客户端网卡都有唯一的物理地址标识，因此可以在AP中手工维护一组答应访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作；但其扩展能力很差，因此只适合于小型网络。另外，非法用户利用网络侦听手段很轻易窃取合法的MAC地址，而且MAC地址并不难修改，因此非法用户完全可以盗用合法的MAC地址进行非法接入。 　　1.2 有线对等保密机制（WEP） 　　WEP认证采用共享密钥认证，通过客户和接入点之间命令和回应信息的交换，命令文本明码发送到客户，在客户端使用共享密钥加密，并发送回接入点。WEP使用RC4流密码进行加密。RC4加密算法是一种对称的流密码，支持长度可变的密钥。但WEP也存在缺少密钥治理、完整性校验值算法不合适、RC4算法存在弱点等严重安全缺陷。 　　1.3 无线保护访问（WPA） 　　无线保护访问(WPA)是WiFi 联盟推出的一个过渡性标准，主要是考虑当前无线局域网发展的现状，为了兼容有线对等保密机制，故采用TKIP和AES两种措施进行加密。而随后的WPA2是WiFi联盟在此基础上再次推出的第二代标准，它推荐使用一种安全性能更高的加密标准，那就是CCMP，同时也兼容TKIP，WEP，当然WPA和WPA2两种标准都是在802.11i的基础上发展起来的。 　　不过WPA在三个方面存在缺憾：不能为独立基础服务集（IBSS）网络（即对等无线网络）提供安全支持；不能在网络上对多个接入点进行预检；不能支持高级加密标准（AES），假如使用AES的话就需要为客户机增加额外的计算能力，也就意味着增加了成本。 　　1.4 虚拟专用网络（VPN） 　　虚拟专用网络（Virtual Private Network，VPN）是一门网络新技术，它提供一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式，同时以另外一种强大的加密方式保证数据传输的安全性，并可与其它的无线安全技术兼容。IP VPN一方面可相当方便地代替租用线以及传统的ATM/帧中继(FR)VPN来连接计算机或局域网(LAN)，另一方面还可提供峰值负载分担、租用线的备份、冗余等，以此大大降低成本费用，最后它也支持中央安全管理，它的缺点是需要在客户机中进行数据的加密和解密，这会大大增加系统的负担，实际应用当中还存在无线环境运行脆弱、吞吐量能力存在制约性、网络扩展受局限等诸多问题。 　　1.5 802.1X端口访问控制机制 　　802.1X端口访问控制机制是一种基于端口访问控制技术的安全机制，它被认为是无线局域网的一种加强版的网络安全解决方案。它工作的主要模式是：当一个外来设备发出需接入AP的请求时，用户得提供一定形式的证明让AP通过一个标准的远程拨号用户认证服务（RADIUS)服务器进行鉴别以及授权。一旦无线终端与AP相关联以后，802.1x标准的认证是用户是否可以使用AP服务的关键。换句话说，如果802.1x标准认证通过，则AP为用户打开此逻辑端口，否则AP不允许该用户接入网络。 　　802.1X端口访问控制机制除了为无线局域网提供认证和加密外，还可提供快速重置密钥、密钥管理功能等相关功能。使用802.1x标准可周期性地把这些密钥传送给相关各用户。不过此机制的不足之处是802. 1x的客户端认证请求方法仅属于过渡期方法且各厂商在实际运用当中的实现方法又有所不同，这直接造成兼容问题，同时另一个问题是该方法还需要专业知识部署和Radius服务器支持， 费用偏高。 　　2 对无线局域网采取的安全措施 　　2.1 对无线网络进行加密 　　对无线网络进行加密是最基本的。就目前来说，常见的安全类型有WEP、WPA、WP