摘要 首先分析了802.11无线局域网的组网原理和基本安全手段,重点讨论了广泛应用的安全协议―IEEE 802.1x认证协议,最后简单地介绍了IEEE 802.1x协议的特点、应用和发展方向。
关键词 无线局域网,802.1x,认证服务器,安全协议,WAPI
1 802.11无线局域网的安全机制
802.11无线局域网运作模式基本分为两种:点对点(Ad Hoc)模式和基本(Infrastructure)模式。点对点模式指无线网卡和无线网卡之间的直接通信方式。只要PC插上无线网卡即可与另一具有无线网卡的PC连接,这是一种便捷的连接方式,最多可连接256个移动节点。基本模式指无线网络规模扩充或无线和有线网络并存的通信方式,这也是802.11最常用的方式。此时,插上无线网卡的移动节点需通过接入点AP(Access Point)与另一台移动节点连接。接入点负责频段管理及漫游管理等工作,一个接入点最多可连接1024个移动节点。当无线网络节点扩增时,网络存取速度会随着范围扩大和节点的增加而变慢,此时添加接入点可以有效控制和管理频宽与频段。
与有线网络相比较,无线网络的安全问题具有以下特点:(1)信道开放,无法阻止攻击者窃听,恶意修改并转发;(2)传输媒质―无线电波在空气中的传播会因多种原因(例如障碍物)发生信号衰减,导致信息的不稳定,甚至会丢失;(3)需要常常移动设备(尤其是移动用户),设备容易丢失或失窃;(4)用户不必与网络进行实际连接,使得攻击者伪装合法用户更容易。由于上述特点,利用WLAN进行通信必须具有较高的通信保密能力。
802.11无线局域网本身提供了一些基本的安全机制。802.11接入点AP可以用一个服务集标识SSID(Service Set Identifier)或ESSID(Extensible Service Set Identifier)来配置。与接入点有关的网卡必须知道SSID以便在网络中发送和接收数据。但这是一个非常脆弱的安全手段。因为SSID通过明文在大气中传送,甚至被接入点广播,所有的网卡和接入点都知道SSID。
另外,这一安全机制的一个主要限制是标准没有规定一个分配密钥的管理协议。这就假定了共享密钥是通过独立于802.11的秘密渠道提供给移动节点。当这种移动节点的数量庞大时,将是一个很大的挑战。
2 802.1x协议的体系
IEEE 802.1x协议的体系结构主要包括三部分实体:客户端Supplicant System、认证系统Authenticator System、认证服务器Authentication Server System。