无线局域网安全技术研究与测试(1)

1、引言

随着无线局域网应用的日益广泛，其安全问题也越来越受到人们的关注。对于有线网络，数据通过电缆传输到特定的目的地，通常在物理链路遭到破坏的情况下，数据才有可能泄露；而无线局域网中，数据是在空中传播，只要在无线接入点（AP）覆盖的范围内，终端都可以接收到无线信号，无线接入点（AP）不能将信号定向到一个特定的接收设备，因此无线局域网的安全问题显得尤为突出。

2、无线局域网安全技术研究

为了保证安全通信，无线局域网中应采取必要的安全技术，包括访问控制、认证、加密、数据完整性及不可否认性等。

2.1认证

认证提供了关于用户的身份的保证，这意味着当用户声称具有一个特别的身份时，认证将提供某种方法来证实这一声明是正确的。用户在访问无线局域网之前，首先需要经过认证验证身份以决定其是否具有相关权限，再对用户进行授权，允许用户接入网络，访问权限内的资源。

尽管不同的认证方式决定用户身份验证的具体流程不同，但认证过程中所应实现的基本功能是一致的。目前无线局域网中采用的认证方式主要有PPPoE认证、WEB认证和802.1X认证。

2.1.1基于PPPoE的认证

PPPoE认证是出现最早也是最为成熟的一种接入认证机制，现有的宽带接入技术多数采用这种接入认证方式。在无线局域网中，采用PPPoE认证，只需对原有的后台系统增加相关的软件模块，就可以到达认证的目的，从而大大节省投资，因此使用较为广泛。图1是基于PPPoE认证的无线局域网网络框架。

图1  基于PPPoE认证的无线局域网网络框架

PPPoE认证是一种成熟的认证方式，实现方便。但是由于它是基于用户名／口令的认证方式，并只能实现网络对用户的认证。安全性有限；网络中的接入服务器需要终结大量的PPP会话，转发大量的IP数据包，在业务繁忙时，很可能成为网络性能的瓶颈，因此使用PPPoE认证方式对组网方式和设备性能的要求较高；而且由于接入服务器与用户终端之间建立的是点到点的连接。即使几个用户同属于一个组播组，也要为每个用户单独复制一份数据流，才能够支持组播业务的传输。

2.1.2基于WEB的认证

WEB认证相比于PPPoE认证，一个非常重要的特点就是客户端除了IE浏览器外不需要安装认证客户端软件，给用户免去了安装、配置与管理客户端软件的烦恼，也给运营维护人员减少了很多相关的维护压力。同时，WEB认证配合Portal服务器，还可在认证过程中向用户推送门户网站，有助于开展新的增值业务。图2是基于WEB认证的无线局域网网络框架。

图2  基于WEB认证的无线局域网网络框架

在WEB认证过程中，用户首先通过DHCP服务器获得IP地址，使用这个地址可以与Portal服务器通信，也可访问一些内部服务器。在认证过程中，用户的认证请求被重定向到Portal服务器，由Portal服务器向用户推送认证界面。

2.1.3基于802.1X的认证

802.1X认证是采用IEEE802.1X协议的认证方式的总称。IEEE802.1X协议由IEEE于2001年6月提出，是一种基于端口的访问控制协议（PortBasedNetwork Access Control Protocol），能够实现对局域网设备的安全认证和授权。802.1X协议的基础在于EAP（Extensible Authentication Protocol）认证协议，即IETF提出的PPP协议的扩展。EAP消息包含在IEEE 802.1X消息中，被称为EAPOL（EAP over LAN）。IEEE 802.1X协议的体系结构包括三个重要的部分，客户端、认证系统和认证服务器。三者之间通过EAP协议进行通信，基于802.1X认证的无线局域网网络框图如图3所示。可知，在一个802.1X的无线局域网认证系统中，认证不是由接入点AP完成，而是由一个专门的中心服务器完成。如果服务器使用Radius协议时，则称为Radius服务器。用户可以通过任何一台PC登陆到网络上，而且很多AP可以共享一个单独的Radius服务器来完成认证，这使得网络管理者能更容易地控制网络接入。