本文分析了目前无线局域网主要使用的基本安全机制的主要技术特点和缺点，介绍了最新发展的无线局域网安全机制，展望了无限局域网安全的发展方向。

    无线局域网（Wireless Local Area Network，WLAN）是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介,利用电磁波完成数据交互,实现传统有线局域网的功能。无线局域网技术具有传统局域网无法比拟的灵活性。最大优点就是实现了网络互连的可移动性，它能大幅提高用户访问信息的及时性和有效性，提高决策效率，还可以克服线缆限制引起的不便性。但是，无线局域网的网络空间具有开放性和终端可移动性，很难通过网络物理空间来界定终端是否属于该网络。由于无线电波暴露在空中，时刻都面临着来自外部的黑客监听的威胁。因此安全性是无线网络需要持续考虑并解决的问题。

    一、 无线局域网的基本安全技术

    1、 访问控制

    为了提高无线网络的安全性,在IEEE802.11b协议中包含了一些基本的安全措施，包括：无线网络设备的服务区域认证ID（ESSID）、MAC地址访问控制以及WEP加密等技术。IEEE802.11b利用设置无线终端访问的ESSID来限制非法接入。在每一个AP内都会设置一个服务区域认证ID，每当无线终端设备要连上AP时，AP会检查其ESSID是否与自己的ID一致,只有当AP和无线终端的ESSID相匹配时，AP才接受无线终端的访问并提供网络服务，如果不符就拒绝给予服务。利用ESSID可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。

    另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址，在AP内部可以建立一张“MAC 地址控制表”，只有在表中列出的MAC才是合法可以连接的无线网卡,否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络。使用ESSID和MAC地址来限制控制访问权限的方法相当于在无线网络的入口增加了一把锁，提高了无线网络使用的安全性。在搭建小型无线局域网时，使用该方法最为简单、快捷，网络管理员只需要通过简单的配置就可以完成访问权限的设置，十分经济有效。

    2、数据加密

    有线对等保密机制（Wired Equivalent Privacy，WEP）用于在无限局域网中保护链路层数据。WEP使用40位、64位和128位钥匙，采用RC4对称加密算法，在链路层加密数据和访问控制。WEP具有很好的互操作性，所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。WEP算法主要是防止无线传输信息被窃听，同时也能防止非法用户入侵网络。在一个运行WEP协议的网络上，所有用户都要使用共享密钥，也就是说用户在终端设备上需设置密码并要和其相连的接入点设置的密码相对应，才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。但是由于WEP机制实质上还是静态WEP加密，同时AP和它所联系的所有移动终端都使用相同的加密密钥，使用同一AP的用户也使用相同的加密密钥，因此带来以下的问题：一旦一个用户丢失或者泄漏密钥将使整个网络不安全，而且由于WEP加密被发现有安全缺陷，可以在几个小时内被破解。

    二、 新一代无线安全技术

    1、 RADIUS远程认证拨入用户协议

    RADIUS认证机制是在认证过程中提供认证信息的安去方法，无线终端和RADIUS服务器在有限局域网上通过接入点进行双向认证。企业不需要管理每个无线接入点内部的MAC地址表或用户，通过在RADIUS系统内设置单一数据库，就可以简化管理，又能提供一种更有效的可扩展集中认证机制，接入点的作用如同一个RADIUS用户，它可以收集用户认证信息并把这些信息传递到制定的RADIUS服务器上。RADIUS服务器接收用户的各种连接请求，进行用户鉴别，对接入点作出响应，向用户提供服务所必须的信息。接入点对RADIUS服务器的回复相应起作用，许可或拒绝网络接入。扩展认证协议（EAP）是RADIUS的扩展，可以使无线客户端适配器与RADIUS服务器通信。

    2、802.1X端口访问控制机制

    802.1X标准，这是一种基于端口访问控制技术的安全机制，针对以太网而提出的基于端口进行网络控制的安全性标准。尽管802.1X标准的初衷是为有线以太网设计指定的，但它也适用于符合802.11标准的无限局域网，被认为是WLAN的一种增强性网络安全解决方案。这个MAC地址层安全协议存在于安全过程中的认证阶段。应用802.1X，当一个设备请求接入AP时，AP需要一个信任集。用户必须提供一定形式的证明让AP通过一个标准的RADIUS服务器进行鉴别和授权。