无线局域网安全机制解析

由于无线局域网采用公共的电磁波作为载体，因此与有线线缆不同，任何人都有条件窃听或干扰信息，因此在无线局域网中，网络安全很重要。WLAN目前所使用的安全机制主要有以下几项。

1.SSID

SSID是用于识别无线设备的服务配置标示符，相当于无线AP的名称。它可提供最低级别的访问控制功能，当用户连接不提供SSID广播功能的无线路由器时，必须知晓该无线路由器的SSID，否则就无法连接。

无线工作站必须出示正确的SSID才能访问AP，因此可认为SSID是一个简单口令，从而提供一定安全性。如果配置AP向外广播其SSID，那么安全程度将下降。由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。目前有的厂家支持“any”SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。

2.WEP无线加密协议

WEP是无线局域网上信息加密的一种标准方法。它一方面用于防止没有正确的WEP密钥的非法用户接入网络，另一方面只允许具有正确的WEP密钥的用户对数据进行加密和解密。

在链路层采用RC4对称加密技术，钥匙长40位，从而防止非授权用户的监听以及非法用户访问。用户的加密钥匙必须与AP钥匙相同，并且一个服务区内的所有用户都共享同一把钥匙。WEP虽然通过加密提供网络安全性，但也存在许多缺陷：一个用户丢失钥匙将使整个网络不安全；40位钥匙在今天很易被破解；钥匙是静态的，并要手工维护，扩展能力差。

3.WPA安全机制(www.xing528.com)

WPA（Wi-Fi Protected Access，Wi-Fi保护接入）是WEP的替代方案，由IEEE 802.11i安全规范派生而来，并与其兼容。它可保护IEEE 802.11所有版本，而且其安全性比目前广泛采用的WEP技术更好。

4.物理地址过滤

每个无线工作站的网卡都由唯一的物理地址标识，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。物理地址过滤属于硬件认证，而非用户认证。这种方式要求AP中MAC地址列表须随时更新，目前均为手工操作，如用户增加，它的扩展能力差，因此只适合小型网络规模。

5.端口访问控制技术

端口访问控制技术（802.1x）无线局域网的一种增强型网络安全解决方案。当无线工作站STA与无线访问点AP关联后，是否可使用AP的服务要取决于802.1x的认证结果。如认证通过，则AP为STA打开逻辑端口，否则不允许上网。802.1x要求无线工作站安装802.1x客户端软件，无线访问点要内嵌802.1x认证代理，同时它还作为Radius客户端，将用户认证信息转发给Radius服务器。802.1x除了提供端口访问控制能力之外，还提供基于用户的认证系统及计费，因此，适合于公共无线接入。

另外，无线路由器还提供IP地址过滤、URL过滤等功能，对于提高网络安全性也大有帮助。对家庭用户，因家庭无线局域网覆盖区域有限，在无需严格保护敏感数据的情况下，一般拥有SSID和WEP（或WPA）的保护手段基本上就够用了。