无线局域网安全无线局域网安全(一)一、无线局域网无线局域网是用无线通信技术将终端设备互联起来，构成可以互相通信和实现资源共享的局域网络体系。无线局域网特点是通过无线的方式建立连接，利用无线技术在空中传输数据，从而使网络的构建和终端的移动更加灵活。无线局域网常规的有效使用距离在100m以内。无线局域网在一定程度上扔掉了有线网络必须依赖的网线。这样，用户可以坐在家里的任何一个角落，抱着笔记本电脑，享受网络的乐趣，而不像从前那样必须要迁就于网络接口的布线位置。无线局域网包括2种基本的工作模式：如图1所示的带无线路由器工作模式和如图2所示的不带无线路由器工作模式。在带无线路由器工作模式下，通信需要一个专门的无线局域网设备：无线路由器;在不带无线路由器工作模式下，无线终端相互之间直接发送数据。在日常的使用中，用户基本上使用带无线路由器的模式。全球范围内，无线局域网技术主要包括IEEE802.11系列、HiperLAN技术、HomeRF和蓝牙技术，目前，应用比较广泛是IEEE802.11系列和HiperLAN。(1)ISO/IEC802.11系列标准技术：是美国电气和电子工程师协会(IEEE)颁布的无线局域网标准。IEEE802.11系列技术和产品的安全性一直没能很好地解决。近年来，IEEE802.11技术和产品不断爆出重大安全性问题，造成用户巨大的经济损失。(2)HiperLAN:HiperLAN是以欧洲电信标准协会(ETSI)颁布的无线局域网标准为核心的技术和产品的总称。二、无线局域网安全概述安全是无线局域网面临的最大问题，这是由无线信号在空中几乎无边界的传播特性造成的，不论信号中的数据要发送的目的地是哪里，任何无线终端在无线信号覆盖的范围内都可以接收到。为了保证安全通信，无线局域网中应采取必要的安全技术，包括鉴别、加密、数据完整性保护等。1、鉴别鉴别提供了用户身份合法性的保证，这意味着当用户声称具有一个特定的身份时，鉴别技术将提供某种方法来证实这一声明是正确的。用户在登录无线局域网的时候，需要输入特定的密码或身份信息等来进行身份合法性的验证。尽管不同的鉴别方式决定用户身份验证的具体流程不同，但基本功能是一致的。目前，无线局域网中采用的鉴别方式主要有基于浏览器页面的身份鉴别、基于密码的身份鉴别、基于数字证书的身份鉴别。(1)基于浏览器页面的身份鉴别基于浏览器页面的身份鉴别一个非常重要的特点是客户端只需要在浏览器上输入正确的接入信息凭证即可。这类身份鉴别的技术在公共场所(如机场、酒店、商场等地方)经常用到，用户输入手机号码，通过手机获得相关的登录验证码，然后将登录验证码输入到浏览器中即可使用网络服务。这种身份鉴别技术属于安全性最低的一种方案，它只是在无线局域网的上层应用简单进行身份信息的对比，实现对用户使用某种服务的控制。基于浏览器页面的身份鉴别技术并没有融入密码学相关技术来实现身份信息的保密性和不可篡改性。在无线局域网底层没有调用任何安全技术的保护，所有通信信息明文传输，存在较大的安全风险。这种方案类似于所有访客，先进入大门，然后再用笔写下自己的联系方式。(2)基于密码的身份鉴别基于密码的身份鉴别是指用户利用手机或者笔记本电脑原始控制接入无线局域网的界面，输入所选择的无线网络的接入密码实现网络登录。这类身份鉴别的技术在家庭、办公室等场景经常用到。这种身份鉴别技术属于安全性中等的一种方案，它通过绑定密码学的技术实现用户接入身份的鉴别，同时完成对通信数据的加密处理。这种技术的缺点在于密码容易传播，且所有人使用相同的密码，容易造成无法追溯或者“好人办坏事”的情况。这种方案类似于所有访客，使用同一张卡进入同一个大门。(3)基于数字证书的身份鉴别基于数字证书的身份鉴别是指用户登录到无线局域网之前，需要由特定的机构对用户的身份进行严格的审核，并为用户颁发数字证书，通过公钥加密技术对用户的公钥信息和用户的身份信息做数字签名，把用户的身份信息与公钥绑定在一起。用户使用证书进行身份鉴别时，可基于对权威鉴别机构的信赖而信赖证书所对应的实体身份，实现对身份的鉴别。这种技术属于安全性最高的一种方案，它通过密码学的技术不但绑定用户接入身份的鉴别流程，而且还绑定用户身份本身，同时也完成对通信数据的加密处理。使用这样的方法，每个用户都有属于自己个人的接入凭证，无法抵赖。这种方案类似于所有访客，使用唯一标识自己身份的一张卡进入同一个大门。2、加密加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。通常需要选择特定的密码算法来实现。常见的密码算法如下。(1)数据加密标准DES(DataEncryptionStandard)：DES的出现引起了学术界和企业界的广泛重视，许多厂家很快生产出实现DES算法的产品，但其最大的缺点在于DES的密钥太短，不能抵抗无穷搜索