隨著無線技術運用的日益廣泛，無線網(wǎng)絡的安全問題越來越受到人們的關注。通常網(wǎng)絡的安全性主要體現(xiàn)在訪問控制和數(shù)據(jù)加密兩個方面。訪問控制保證敏感數(shù)據(jù)只能由授權用戶進行訪問，而數(shù)據(jù)加密則保證發(fā)射的數(shù)據(jù)只能被所期望的用戶所接收和理解。

對于有線網(wǎng)絡來說，訪問控制往往以物理端口接入方式進行監(jiān)控，它的數(shù)據(jù)輸出通過電纜傳輸?shù)教囟ǖ哪康牡?，一般情況下，只有在物理鏈路遭到破壞的情況下，數(shù)據(jù)才有可能被泄漏，而無線網(wǎng)絡的數(shù)據(jù)傳輸則是利用微波在空氣中進行輻射傳播，因此只要在Access Point (AP)覆蓋的范圍內(nèi)，所有的無線終端都可以接收到無線信號，AP無法將無線信號定向到一個特定的接收設備，因此無線的安全保密問題就顯得尤為突出。

無線安全基本技術

訪問控制：利用ESSID、MAC限制，防止非法無線設備入侵

為了提高無線網(wǎng)絡的安全性，在IEEE802.11b協(xié)議中包含了一些基本的安全措施，包括：無線網(wǎng)絡設備的服務區(qū)域認證ID (ESSID)、MAC地址訪問控制以及WEP加密等技術。IEEE802.11b利用設置無線終端訪問的 ESSID來限制非法接入。在每一個AP內(nèi)都會設置一個服務區(qū)域認證ID ，每當無線終端設備要連上AP時，AP會檢查其ESSID是否與自己的ID一致，只有當AP和無線終端的ESSID相匹配時，AP才接受無線終端的訪問并提供網(wǎng)絡服務,如果不符就拒絕給予服務。利用ESSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題。

498)this.style.width=498;" border=0>

每個AP可以設置特定的ESSID(可以相同)，同時每塊無線網(wǎng)卡也可以設置ESSID,只有當AP和網(wǎng)卡的ESSID匹配時，AP才接受無線網(wǎng)卡的訪問。利用ESSID,可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題　

另一種限制訪問的方法就是限制接入終端的MAC地址以確保只有經(jīng)過注冊的設備才可以接入無線網(wǎng)絡。由于每一塊無線網(wǎng)卡擁有唯一的MAC地址，在AP內(nèi)部可以建立一張“MAC地址控制表”（Access Control），只有在表中列出的MAC才是合法可以連接的無線網(wǎng)卡，否則將會被拒絕連接MAC地址控制可以有效地防止未經(jīng)過授權的用戶侵入無線網(wǎng)絡。

498)this.style.width=498;" border=0>

每一塊無線網(wǎng)卡擁有唯一的MAC地址，由廠方出廠前設定，無法更改。AP內(nèi)部可以建立一張“MAC地址控制表”，只有在表中列出的MAC才是合法可以連接的無線網(wǎng)卡，否則會被拒絕連接　

使用ESSID和MAC地址限制來控制訪問權限的方法相當于在無線網(wǎng)絡的入口增加了一把鎖，提高了無線網(wǎng)絡使用的安全性。在搭建小型無線局域網(wǎng)時，使用該方法最為簡單、快捷，網(wǎng)絡管理員只需要通過簡單的配置就可以完成訪問權限的設置，十分經(jīng)濟有效。

數(shù)據(jù)加密：基于WEP的安全解決方案

無線網(wǎng)絡安全的另一重要方面數(shù)據(jù)加密可以通過 WEP(Wired Equivalent Privacy)協(xié)議來進行。WEP是IEEE802.11b協(xié)議中最基本的無線安全加密措施。WEP是所有經(jīng)過 WiFiTM認證的無線局域網(wǎng)絡產(chǎn)品所支持的一項標準功能，由國際電子與電氣工程師協(xié)會（IEEE）制定，其主要用途是：

提供接入控制，防止未授權用戶訪問網(wǎng)絡；

WEP加密算法對數(shù)據(jù)進行加密，防止數(shù)據(jù)被攻擊者竊聽；　

防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造。

WEP加密采用靜態(tài)的保密密鑰，各WLAN終端使用相同的密鑰訪問無線網(wǎng)絡。WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，如果正確無誤，才能獲準存取網(wǎng)絡的資源。AboveCable所有型號的AP都支持64位或(與)128位的靜態(tài)WEP加密，有效地防止數(shù)據(jù)被竊聽盜用。

498)this.style.width=498;" border=0>

利用128位WEP加密，使得數(shù)據(jù)在無線發(fā)射之前進行復雜的編碼處理，在接受之后通過反向處理獲取原數(shù)據(jù)。這種加密方式確保數(shù)據(jù)如果泄漏，也不會暴露數(shù)據(jù)的原值　

由于WEP密鑰必須通過人工手動設置，因此AboveCable建議在無線覆蓋范圍不是很大，終端用戶數(shù)量不是很多，且對安全要求不是很高的應用環(huán)境下使用該技術是最經(jīng)濟且方便的。

無線安全基本技術特別適合一些小型企業(yè) 、家庭用戶等小型環(huán)境的無線網(wǎng)絡應用 ，無需額外的設備支出，配置方便，且安全防護性好，從終端的訪問控制到數(shù)據(jù)鏈路中的數(shù)據(jù)加密都定義了有效的解決方案。有了這些技術，用戶可以快速地建立起一個安全的無線網(wǎng)絡環(huán)境，即節(jié)約了成本又可達到預計的安全目標， 使無線網(wǎng)絡的使用價值大大提高。

新一代無線安全技術——IEEE802.11i

在某些場合，如大型企業(yè)、銀行、證券行業(yè)，其現(xiàn)有的網(wǎng)絡結構比較復雜且對網(wǎng)絡的安全性要求很高，僅使用基本的安全措施并不能完全達到其安全需求。為了進一步加強無線網(wǎng)絡的安全性， IEEE802.11工作組目前正在開發(fā)作為新的安全標準的“IEEE802.11i”，并且致力于從長遠角度考慮解決IEEE 802.11無線局域網(wǎng)的安全問題。IEEE 802.11i標準草案中主要包含加密技術：TKIP (Temporal Key Integrity Protocol) 和 AES（Advanced Encryption Standard），以及認證協(xié)議：IEEE802.1x。

在 IEEE 802.11i 標準最終確定前，WPA（WiFiTM Protected Access）技術將成為代替WEP的無線安全標準協(xié)議，為IEEE 802.11 無線局域網(wǎng)提供更強大的安全性能。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。

498)this.style.width=498;" border=0>

IEEE802.11i是新一代的無線安全標準。在 IEEE 802.11i 標準最終確定前，WPA技術將成為代替WEP的無線安全標準協(xié)議。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP　

TKIP

新一代的加密技術TKIP與WEP一樣基于RC4加密算法，且對現(xiàn)有的WEP進行了改進，在現(xiàn)有的WEP加密引擎中追加了“密鑰細分（每發(fā)一個包重新生成一個新的密鑰）”、“消息完整性檢查（MIC）”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”等4種算法，極大地提高了加密安全強度。TKIP與當前WiFiTM 產(chǎn)品向后兼容，而且可以通過軟件進行升級，AboveCable無線產(chǎn)品完全支持WiFiTM標準，只需要簡單的軟件升級就可以實現(xiàn)對TKIP的支持。

AES

IEEE 802.11i中還定義了一種基于“高級加密標準”AES的全新加密算法，以實施更強大的加密和信息完整性檢查。AES是一種對稱的塊加密技術，提供比WEP/TKIP中RC4算法更高的加密性能，它將在IEEE 802.11i最終確認后，成為取代WEP的新一代的加密技術，為無線網(wǎng)絡帶來更強大的安全防護。

端口訪問控制技術（IEEE802.1x）和可擴展認證協(xié)議（EAP）

IEEE802.1x是一種基于端口的網(wǎng)絡接入控制技術，在網(wǎng)絡設備的物理接入級對接入設備進行認證和控制。IEEE802.1x可以提供一個可靠的用戶認證和密鑰分發(fā)的框架，可以控制用戶只有在認證通過以后才能連接網(wǎng)絡。IEEE802.1x本身并不提供實際的認證機制，需要和上層認證協(xié)議（EAP）配合來實現(xiàn)用戶認證和密鑰分發(fā)。EAP允許無線終端可以支持不同的認證類型，能與后臺不同的認證服務器進行通訊，如遠程接入撥入用戶服務（RADIUS）。

AboveCable HotSopt AP已經(jīng)加入了對IEEE802.1x和EAP的支持，大大提高了無線網(wǎng)絡的安全性能，為各行業(yè)安全地使用無線網(wǎng)絡提供了堅實的基礎，完全可以滿足企業(yè)、學校、物流倉儲等對網(wǎng)絡安全要求較高的無線用戶的需求。

IEEE802.1x認證過程如下：

1） 無線終端向AP發(fā)出請求，試圖與AP進行通訊；

2） AP將加密的數(shù)據(jù)發(fā)送給驗證服務器進行用戶身份認證；

3） 驗證服務器確認用戶身份后，AP允許該用戶接入；

4） 建立網(wǎng)絡連接后授權用戶通過AP訪問網(wǎng)絡資源；

WPA（WiFi Protected Access）規(guī)范

WPA是一種可替代 WEP的無線安全技術，在 IEEE 802.11i 標準最終確定前，將為IEEE802.11 無線局域網(wǎng) (WLAN)提供更強大的安全性能。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。

WPA考慮到不同的用戶和不同的應用安全需要，例如：企業(yè)用戶需要很高的安全保護（企業(yè)級），否則可能會泄漏非常重要的商業(yè)機密；而家庭用戶往往只是使用網(wǎng)絡來瀏覽 Internet、收發(fā)email、打印和共享文件，這些用戶對安全的要求相對較低。為了滿足不同要求用戶的需要，WPA中規(guī)定了兩種應用模式：

企業(yè)模式：通過使用認證服務器和復雜的安全認證機制來保護無線網(wǎng)絡通信安全。

家庭模式（包括小型辦公室）：在AP（或者無線路由器）以及連接無線網(wǎng)絡的無線終端上輸入共享密鑰來保護無線鏈路的通信安全。

498)this.style.width=498;" border=0>