无线局域网（WLAN）安全机制分析.doc

无线局域网（WLAN）安全机制分析 胡萍　王长林 （西南交通大学计算机与通信工程学院，四川　成都　610031） 摘 要：无线局域网(Wireless LAN,以下简称WLAN)是近年来发展迅速的无线数据通讯网。安全性能，成为无线局域网的关键性能之一。本文分析了目前无线局域网主要使用的基本安全机制的主要技术特点和缺点，介绍了必威体育精装版发展的几种无线局域网安全机制。最后提出无线局域网安全机制的发展方向。 关键词：WLAN 安全机制 加密 认证 由于无线通信开放的传输介质，使得WLAN的安全性能一直是人们关注的焦点，尽管802.11b/a/g等一系列无线局域网标准相继出台，但是WLAN的安全性能仍有待进一步提升。 1 WLAN目前最常用安全措施 虽然802.11a/g标准已经制定，但是目前最广泛使用的WLAN产品仍然是802.11b产品。802.11b主要定义了以下几种无线局域网基本安全机制： （1）服务集标识符（SSID）； （2）物理地址（MAC）过滤控制； （3）有线对等必威体育官网网址机制（WEP）。 1.1 服务集标识符（SSID） 无线局域网中，首先为多个接入点（Access Point, AP）配置不同的服务集标识符(Service Set Identifier,SSID),无线终端必须知道SSID以便在网络中发送和接收数据。若某移动终端企图接入WLAN，Access Point首先检查无线终端出示的SSID，符合则允许接入WLAN。 SSID机制在WLAN中实际上为客户端和AP提供了一个共享密钥，SSID由AP对外广播，非常容易被非法入侵者窃取，通过AP入侵WLAN。甚至非法入侵者亦可伪装为AP，达到欺骗无线终端的目的。 1.2 物理地址（MAC）过滤控制 物理地址过滤控制是采用硬件控制的机制来实现对接入无线终端的识别。由于无线终端的网卡都具备唯一的MAC地址，因此可以通过检查无线终端数据包的源MAC地址来识别无线终端的合法性。地址过滤控制方式要求预先在AP服务器中写入合法的MAC地址列表，只有当客户机的MAC地址和合法MAC地址表中的地址匹配，AP才允许客户机与之通信，实现物理地址过滤。 但是由于很多无线网卡支持重新配置MAC地址，因此非法入侵者很有可能从开放的无线电波中截获数据帧，分析出合法用户的MAC地址，然后伪装成合法用户，非法接入WLAN，使得网络安全遭到破坏。另外，随着无线终端的增减，MAC地址列表需要随时更新，但是AP设备中的合法MAC地址列表目前都是手工维护，因此这种方式的扩展能力很差，只适合于小型无线网络使用。 1.3 有线对等必威体育官网网址机制（WEP） 在802.11中有一个对数据基于共享密钥的加密机制,称为“有线对等必威体育官网网址WEP”(Wired Equivalent Privacy)的技术, WEP是一种基于RC-4算法的40bit或128bit加密技术。移动终端和AP可以配置4组WEP密钥, 加密传输数据时可以轮流使用,允许加密密钥动态改变。 由于WEP机制中所使用密钥只能是4组中的一个,因此其实质上还是静态WEP加密。 同时,AP和它所联系的所有移动终端都使用相同的加密密钥,使用同一AP的用户也使用相同的加密密钥, 因此带来如下问题: 一旦其中一个用户的密钥泄漏,其他用户的密钥也无法必威体育官网网址了。 2 构建安全的无线局域网 为了提高无线局域网的安全性，必须引入更加安全的认证机制、加密机制以及控制机制。 2.1 虚拟专用网络（VPN） 虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，只要具有IP的连通性，就可以建立VPN。VPN技术不属于802.11标准定义，它是一种以更强大更可靠的加密方法来保证传输安全的一种新技术。 对于无线商用网络，基于VPN 的解决方案是当今WEP机制和MAC地址过滤机制的最佳替代者。VPN方案已经广泛应用于Internet远程用户的安全接入。在远程用户接入的应用中，VPN在不可信的网络(如Internet)上提供一条安全、专用的通道或隧道。各种隧道协议，包括点到点的隧道协议（PPTP）和第二层隧道协议（L2TP）都可以与标准的、集中的认证协议一起使用，例如远程用户接入认证服务协议(RADIUS)。同样的，VPN技术可以应用在无线的安全接入上，在这个应用中，不可信的网络是无线网络。AP可以被定义成无WEP机制的开放式接入（各AP仍应定义成采用SSID机制把无线网络分割成多个无线服务子网），但是无线接入网络已经被VPN 服务器和VLAN(AP和VPN 服务器之间的线路)从企业内部网络中隔离开来。VPN服务器提供无线网络的认证和加密，并充当企业内部网络的网关。与WEP机制和MAC地址过滤接入不同，VPN方案具有较强的扩充、升级性能，可应用于大规模的