自無線局域網（WLAN）技術一經推出，給人們的工作和生活帶來極大的改變，然而，眾所周知，無線局域網（WLAN）的安全問題，長期以來一直困擾著WLAN技術的普及應用。

欲更多了解WLAN介紹的請進入。

為此，為了解決WLAN的安全問題，人們在一直的不斷努力以尋求獲得更加安全的機制，多年來，人們開發了不少的方法，但這些方法難盡人意，從已經過時的基于SSID的接入控制和基于MAC過濾的接入控制；到802.11使用的基于OSA認證和基于共享密匙認證，再到后來802.11i使用的基于RADIUS的認證。直到2003年我國的技術人員研究開發出WAPI（WLAN Authentication and Privacy Infrastructure）技術后使之獲得了極大的突破，使WLAN的安全機制得到了空前的提高。下面對WLAN的安全機制的各種技術作以簡單介紹。

1、基于業務集標識符（SSID）的接入控制：

使用為無線接入點（AP，Access Point）設置業務集標識（SSID，Service Set Identifier），強迫無線終端接入固定SSID的AP來實現接入控制。無線終端必需出示正確的SSID才能訪問無線接入點AP，利用SSID，可以很好地進行用戶群體分組，避免任意漫游帶來的安全和訪問性能的問題，因此可以認為SSID是一個簡單的口令，從而為無線局域網提供一定的安全性。然而AP會不加密地廣播包含SSID的信標幀（beacon），非法用戶很容易獲得AP的SSID，從而能方便地通過AP接入網絡。另外，一般情況下，用戶自己配置客戶端系統，所以很多人都知道該SSID，很容易共享給非法用戶；而且許多WLAN的終端上只要將SSID設為“ANY”，就可接入任何一個有效的無線接入點。SSID是唯一的標識網絡的字符串，但它對于網絡上的所有用戶都是相同的字符串，SSID根本沒有帶來安全性方面的好處。

2、基于MAC地址過濾的接入控制：

即AP只允許有合法MAC地址的無線終端接入。每個無線客戶端網卡都由惟一的物理地址標識，因此可以在AP中手工維護一組允許訪問的MAC地址列表，實現物理地址過濾。物理地址過濾屬于硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作，這種方法的效率會隨著終端數目的增加而降低；如果用戶增加，則擴展能力很差，因此只適合于小型網絡規模。而且非法用戶通過網絡偵聽（sniffer）就可獲得合法的MAC地址表，而實際中的許多PCMCIA網卡和操作系統（如Windwos NT、Linux等）都可方便地更改網卡的MAC地址，因而非法用戶完全可以盜用合法用戶的MAC地址來非法接入。

3、開放系統認證（OSA）：

無線網絡在缺省情況下都運行開放系統認證（Open System Authentication），即連接到無線網絡的任何人都被授予訪問權。這主要是用在大學和機場，在那里，最終用戶是臨時的，而且管理加密密鑰是不可行的，只要用在公共場合，就不會使用數據加密的形式。實質上為一種空認證算法，幾乎無任何安全可言。

4、共享密鑰認證（SKA）：

共享密鑰認證（SKA，Shared Key Authentication）方法要求在無線終端和接入點上都使用有線對等保密（WEP，Wired Equivalent Privacy）算法。如果用戶有正確的共享密鑰，那么就授予對WLAN的訪問權。WEP雖然通過加密提供網絡的安全性，但WEP技術本身存在許多缺陷：如缺少密鑰管理、ICV算法不合適、RC4算法存在弱點等，具體解釋詳見下表4中。

表4：WEP技術本身存在的缺陷

因此利用認證與加密的安全漏洞，在短至幾分鐘的時間內，WEP密鑰即可被破解。最初制定的標準使用40位密鑰，而新的版本使用 128 位（實際上是 104 位）密鑰。而這些安全漏洞和WEP對加密算法的使用機制有關，即使增加密鑰長度也不可能增加安全性。

5、基于端口的網絡訪問控制：

基于端口的網絡訪問控制的方法是由802.11i協議所規定的，它實際上是利用IEEE 802.1x協議，802.1x協議提供無線客戶端與RADIUS服務器之間的認證，而不是客戶端與無線接入點AP之間的認證；采用的用戶認證信息僅僅是用戶名與口令，在存儲、使用和認證信息傳遞中存在很大安全隱患，如泄漏、丟失；無線接入點AP與RADIUS服務器之間基于共享密鑰完成認證過程協商出的會話密鑰的傳遞，該共享密鑰為靜態，人為手工管理，存在一定的安全隱患。這是因為802.1x并非專為WLAN設計，沒有充分考慮WLAN的特點。首先，它只提供了端口的單向認證機制，只有認證者（authenticator，相當于AP）對申請者（supplicant, 相當于終端）的認證，這在有線環境下不成問題，但在WLAN中會招致中間人（man-in-middle）攻擊；另外，802.11的認證、登錄狀態和802.1x間的認證狀態不同步，會話可被很簡單地截獲。

在上述幾種方法中都不同程度存在安全隱患。其中1、2種方法由于安全性太低已淘汰使用；第3種方法也僅用于公開場合，也無安全可言；第4、5種方法分別為IEEE 802.11協議和802.11i協議所使用。

6、基于對等訪問控制的安全接入基礎結構（WAPI）

該方法是由我國技術人員研究制定的，發布于GB 15629.11-2003標準中。實現了終端和網絡接入節點（AP）之間的雙向鑒別和保密、適用于當前和下一代主流網絡物理拓撲形態的、支持IP接入網安全接入體系架構，普遍適用于有線和無線IP接入網絡。該安全接入基礎結構提出三元獨立實體T-A-S（終端-接入點-服務器）安全模型，三實體以獨立身份執行安全接入過程，終端和接入點以對等方式完成雙向鑒別，并可直接進行密鑰交換。與傳統安全接入技術如IEEE 802.1x相比，該安全接入基礎結構解除了接入點和鑒別服務器實體間的依賴關系，參與安全接入的各實體具備了身份可區分性，簡化了網絡實現，提高了密鑰協商效率；更重要的是實現了終端和接入點之間的雙向鑒別，為網絡接入的安全性和應用的多樣化奠定了基礎。

無線局域網認證和保密結構（WAPI，WLAN Authentication and Privacy Infrastructure）安全機制由無線局域網認證基礎結構（WAI，WLAN Authentication Infrastructure）和無線局域網保密基礎結構（WPI，WLAN Privacy Infrastructure）兩部分組成，WAI和WPI分別實現對用戶身份的鑒別和對傳輸的數據加密。WAPI能為用戶的WLAN系統提供全面的安全保護。

WAI采用公開密鑰密碼體制，涉及的密碼算法按照1999年10月7日頒布的中華人民共和國國務院令第273號《商用密碼管理條例》執行。WAI利用證書來對WLAN系統中的STA和AP進行認證。WAI定義了一種名為認證服務單元（ASU，Authentication Service Unit）的實體，用于管理參與信息交換各方所需要的證書（包括證書的產生、頒發、吊銷和更新）。證書里面包含有證書頒發者（ASU）的公鑰和簽名以及證書持有者的公鑰和簽名（這里的簽名采用的是WAPI特有的橢圓曲線數字簽名算法），是網絡設備的數字身份憑證。其雙向鑒別過程簡單描述詳見下表6。

表6：WAI定義的STA和AP雙向鑒別過程簡述

從上面的描述我們可以看出，WAI中對STA和AP進行了雙向認證，因此對于采用“假”AP的攻擊方式具有很強的抵御能力。在STA和AP的證書都鑒別成功之后，雙方將會進行密鑰協商。首先雙方進行密鑰算法協商。隨后，STA和AP各自會產生一個隨機數，用自己的私鑰加密之后傳輸給對方。最后通信的兩端會采用對方的公鑰將對方所產生的隨機數還原，再將這兩個隨機數模2運算的結果作為會話密鑰，并依據之前協商的算法采用這個密鑰對通信的數據加密。由于會話密鑰并沒有在信道上進行傳輸，因此就增強了其安全性。為了進一步提高通信的保密性，WAPI還規定，在通信一段時間或者交換一定數量的數據之后，STA和AP之間可以重新協商會話密鑰。

WPI采用對稱密碼算法實現對MAC層MSDU進行的加、解密操作。

在我國國家標準GB 15629-2003中對WAPI進行了詳細的規范，尤其是WAI的鑒別過程，它定義基于端口的接入控制的受控端口和非受控端口。

欲詳細了解國家標準GB 15629-2003具體內容的請進入。

欲進一步了解我國WLAN標準情況的請進入。