随着无线数据网络解决方案的推出,“不论您在任何时间、任何地点都可以轻松上网”这一目标被轻松实现了。具有可移动性、安装简单、高灵活性和扩展能力的无线局域网(Wireless Local Area Network,WLAN)作为传统有线网络的延伸,在许多特殊环境中得到了广泛的应用。
由于无线局域网采用公共的电磁波作为载体,任何人都有条件窃听或干扰信息,因此对越权存取和窃听的行为也更不容易防备。在2001年拉斯维加斯的黑客会议上,安全专家就指出,无线网络将成为黑客攻击的另一块热土。因此,我们在一开始应用无线网络时,就应该充分考虑其安全性。常见的无线网络安全技术有以下几种:
服务集标识符(SSID)
通过对多个无线接入点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。这只是一个简单的口令,只能提供一定的安全;而且如果配置AP向外广播其SSID,那么安全程度还将下降。
物理地址(MAC)过滤
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密金钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。
虚拟专用网络(VPN)
VPN是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性,它不属于802.11标准定义;但是用户可以借助VPN来抵抗无线网络的不安全因素,同时还可以提供基于Radius的用户认证以及计费。
端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为用户打开这个逻辑端口,否则不允许用户上网。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于公共无线接入解决方案。
上海广电应确信有限公司(SVA Networks)在2001年底已经推出了InfiniteAir无线以太网接入产品系列,该系列产品包括无线网卡和无线接入器,它们支持SSID、MAC过滤、64位和128位密钥的WEP加密、VPN及端口访问控制技术,为建立安全的无线网络提供了完整的解决方案。
摘自《中国计算机报》