1、引言

隨著無線局域網應用的日益廣泛，其安全問題也越來越受到人們的關注。對于有線網絡，數據通過電纜傳輸到特定的目的地，通常在物理鏈路遭到破壞的情況下，數據才有可能泄露；而無線局域網中，數據是在空中傳播，只要在無線接入點（AP）覆蓋的范圍內，終端都可以接收到無線信號，無線接入點（AP）不能將信號定向到一個特定的接收設備，因此無線局域網的安全問題顯得尤為突出。

2、無線局域網安全技術研究

為了保證安全通信，無線局域網中應采取必要的安全技術，包括訪問控制、認證、加密、數據完整性及不可否認性等。

2.1認證

認證提供了關于用戶的身份的保證，這意味著當用戶聲稱具有一個特別的身份時，認證將提供某種方法來證實這一聲明是正確的。用戶在訪問無線局域網之前，首先需要經過認證驗證身份以決定其是否具有相關權限，再對用戶進行授權，允許用戶接入網絡，訪問權限內的資源。

盡管不同的認證方式決定用戶身份驗證的具體流程不同，但認證過程中所應實現的基本功能是一致的。目前無線局域網中采用的認證方式主要有PPPoE認證、WEB認證和802.1X認證。

2.1.1基于PPPoE的認證

PPPoE認證是出現最早也是最為成熟的一種接入認證機制，現有的寬帶接入技術多數采用這種接入認證方式。在無線局域網中，采用PPPoE認證，只需對原有的后臺系統增加相關的軟件模塊，就可以到達認證的目的，從而大大節省投資，因此使用較為廣泛。圖1是基于PPPoE認證的無線局域網網絡框架。

498)this.style.width=498;" border=0>

圖1 基于PPPoE認證的無線局域網網絡框架

PPPoE認證是一種成熟的認證方式，實現方便。但是由于它是基于用戶名／口令的認證方式，并只能實現網絡對用戶的認證。安全性有限；網絡中的接入服務器需要終結大量的PPP會話，轉發大量的IP數據包，在業務繁忙時，很可能成為網絡性能的瓶頸，因此使用PPPoE認證方式對組網方式和設備性能的要求較高；而且由于接入服務器與用戶終端之間建立的是點到點的連接。即使幾個用戶同屬于一個組播組，也要為每個用戶單獨復制一份數據流，才能夠支持組播業務的傳輸。

2.1.2基于WEB的認證

WEB認證相比于PPPoE認證，一個非常重要的特點就是客戶端除了IE瀏覽器外不需要安裝認證客戶端軟件，給用戶免去了安裝、配置與管理客戶端軟件的煩惱，也給運營維護人員減少了很多相關的維護壓力。同時，WEB認證配合Portal服務器，還可在認證過程中向用戶推送門戶網站，有助于開展新的增值業務。圖2是基于WEB認證的無線局域網網絡框架。

498)this.style.width=498;" border=0>

圖2 基于WEB認證的無線局域網網絡框架

在WEB認證過程中，用戶首先通過DHCP服務器獲得IP地址，使用這個地址可以與Portal服務器通信，也可訪問一些內部服務器。在認證過程中，用戶的認證請求被重定向到Portal服務器，由Portal服務器向用戶推送認證界面。

2.1.3基于802.1X的認證

802.1X認證是采用IEEE802.1X協議的認證方式的總稱。IEEE802.1X協議由IEEE于2001年6月提出，是一種基于端口的訪問控制協議（PortBasedNetwork Access Control Protocol），能夠實現對局域網設備的安全認證和授權。802.1X協議的基礎在于EAP（Extensible Authentication Protocol）認證協議，即IETF提出的PPP協議的擴展。EAP消息包含在IEEE 802.1X消息中，被稱為EAPOL（EAP over LAN）。IEEE 802.1X協議的體系結構包括三個重要的部分，客戶端、認證系統和認證服務器。三者之間通過EAP協議進行通信，基于802.1X認證的無線局域網網絡框圖如圖3所示。可知，在一個802.1X的無線局域網認證系統中，認證不是由接入點AP完成，而是由一個專門的中心服務器完成。如果服務器使用Radius協議時，則稱為Radius服務器。用戶可以通過任何一臺PC登陸到網絡上，而且很多AP可以共享一個單獨的Radius服務器來完成認證，這使得網絡管理者能更容易地控制網絡接入。