隨著移動互聯(lián)網(wǎng)的大潮，人們對隨時隨地享受網(wǎng)速更快、費用更低甚至是免費的網(wǎng)絡(luò)訪問有著龐大的需求。無線WLAN所具備的高帶寬、低成本的特性正是滿足這種龐大需求的高速無線聯(lián)網(wǎng)的接入技術(shù)，使得越來越多的區(qū)域提供無線WLAN的接入服務(wù)。

做為一項開放性的公共服務(wù)，并且是通過開放性媒介(空氣)，使用電磁波作為載體來傳輸數(shù)據(jù)信號，無線通信雙方是沒有物理線纜連接的。如果無線信號在空氣中傳輸?shù)倪^程未采取適當?shù)募用鼙Ｗo，數(shù)據(jù)傳輸?shù)娘L險就會大大增加。任何人都有條件竊聽或干擾信息，因此對越權(quán)存取和竊聽的行為也更不容易防備。在2001年拉斯維加斯的黑客會議上，安全專家就指出，無線網(wǎng)絡(luò)將成為黑客攻擊的另一塊熱土。因此在WLAN中確保傳輸?shù)男盘柊踩@得尤為重要。

無線WLAN的安全基本措施一般來說有以下4個方面：信息過濾、鏈路認證、數(shù)據(jù)安全以及接入認證。

1.信息過濾

通過對多個無線接入點AP(Access Point)設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進行區(qū)別限制。因此可以認為SSID是一個簡單的口令，從而提供一定的安全，但如果配置AP向外廣播其SSID，那么安全程度還將下降。由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。如果AP停止廣播SSID(靜默)，那么STA必須主動提供正確的SSID才能與AP相連。所以通過設(shè)置SSID的方式可以過濾一部分非法用戶，但由于一般情況下，用戶自己配置客戶端系統(tǒng)，通過共享會使得越來越多人的都知道該SSID，很容易共享給非法用戶。

2.鏈路認證

鏈路認證即WLAN鏈路關(guān)聯(lián)身份驗證，是一種低級的身份驗證機制。在STA同AP進行關(guān)聯(lián)時發(fā)生，該行為早于接入認證。任何一個STA試圖連接網(wǎng)絡(luò)前，都必須進行鏈路身份驗證進行身份確認?？梢园焰溌飞矸蒡炞C看作是STA連接到網(wǎng)絡(luò)時的握手過程的起點，是網(wǎng)絡(luò)連接過程中的第一步。常用的鏈路認證方案包括開放系統(tǒng)身份認證和共享密鑰身份認證。

開放系統(tǒng)認證

第一步，STA請求認證。STA發(fā)出認證請求，請求中包含STA的ID(通常為 MAC 地址)。

第二步，AP返回認證結(jié)果。AP發(fā)出認證響應(yīng)，響應(yīng)報文中包含表明認證是成功還是失敗的消息。如果認證結(jié)果為成功，那么STA和AP 就通過雙向認證。

共享密鑰認證

共享密鑰認證需要STA和AP配置相同的共享密鑰。具體過程如下。

第一步，STA先向AP發(fā)送認證請求;

第二步，AP會隨機產(chǎn)生一個Challenge包(即一個字符串)發(fā)送給STA;

第三步，STA會將接收到字符串拷貝到新的消息中，用密鑰加密后再發(fā)送給AP;

第四步，AP接收到該消息后，用密鑰將該消息解密，然后對解密后的字符串和最初給STA的字符串進行比較。如果相同，則說明STA擁有無線設(shè)備端相同的共享密鑰，即通過了共享密鑰認證;否則共享密鑰認證失敗。

3.數(shù)據(jù)安全

通過對數(shù)據(jù)報文進行加密，保證只有特定的設(shè)備可以對接收到的報文成功解密。其他的設(shè)備雖然可以接收到數(shù)據(jù)報文，但是由于沒有對應(yīng)的密鑰，無法對數(shù)據(jù)報文解密，從而實現(xiàn)了 WLAN數(shù)據(jù)的安全性保護。

在WLAN中通過有線等效加密(WEP)、暫時密鑰集成協(xié)議(TKIP)和高級加密標準 AES-CCMP等三種方式進行數(shù)據(jù)加密，以保證信息的傳輸過程不被惡意竊取。

WEP是MAC層加密算法，保護終端與AP間的安全基，于對稱密鑰的RC4算法。WEP加密采用靜態(tài)的密鑰，所有STA采用相同的密鑰訪問無線網(wǎng)絡(luò)。

WEP加密可以在Open system、Shared key鏈路認證方式中使用。

開放系統(tǒng)認證：WEP密鑰只做加密，即使密鑰配的不一致，用戶也是可以上線，但上線后傳輸?shù)臄?shù)據(jù)會因為密鑰不一致被接收端丟棄。

共享密鑰認證：如果雙方密鑰不一致，客戶端就不能通過 Shared key認證，無法上線。即當 WEP和 Shared key認證方式配合使用時，WEP也可以作為一種認證方法。

認證是單向的，AP能認證客戶端，但客戶端沒法認證AP。初始向量(IV)太短，重用很快，為攻擊者提供很大的方便。WEP沒有辦法應(yīng)付所謂“重傳攻擊”(ReplayAttack)。ICV采用CRC-32，報文很容易被篡改而不被發(fā)現(xiàn)。WEP只支持預(yù)配置密鑰，沒有密鑰管理，更新，分發(fā)的機制，完全要手工配置，用戶往往常年不會去更換。

為增強WEP加密機制而設(shè)計的過渡方案。它也和WEP加密機制一樣使用的是RC4算法，但是相比WEP加密機制，TKIP加密機制可以為WLAN服務(wù)提供更加安全的保護，主要體現(xiàn)在以下幾點：靜態(tài)WEP的密鑰為手工配置，且一個服務(wù)區(qū)內(nèi)的所有用戶都共享同一把密鑰，而TKIP的密鑰為動態(tài)協(xié)商生成，每個傳輸?shù)臄?shù)據(jù)包都有一個與眾不同的密鑰;TKIP將密鑰的長度由WEP的40位加長到128位，初始化向量IV的長度由24位加長到48位，提高了WEP加密的安全性;TKIP支持MIC認證(Message Integrity Check，信息完整性校驗)和防止重放攻擊功能。

無線WLAN的安全技術(shù)體系

發(fā)送端會使用加密算法計算一個MIC(message integrity code，消息完整碼)，TKIP只要在MSDU進行分片前將MIC追加到MSDU后面，形成一個新的MSDU就好了，分片的事，它不管,那是MPDU的事情。接收端收到MPDU分片以后，會先將它們重組成一個MSDU，然后進行MIC的校驗。

CCMP加密使用的AES算法中都是使用的128bit的密鑰和128bit的加密塊,CCM主要有兩個參數(shù)：M=8,表示MIC是8個字節(jié);L=2，表示長度域是兩個字節(jié)一共16位，這樣就可以滿足MPDU最大的長度。同時CCM需要給每個session指定不同的temporal key，而且每一個被加密的MPDU都需要一個指定的臨時值，所以CCMP使用了一個48bit的PN(packet number)，對同一個PN的使用將會使安全保證失效。

簡單來說，TKIP主要是用來加強WEP加密，這個升級主要體現(xiàn)在算法上，使用TKIP加密，并不需要進行硬件的升級，也就是說只要你的硬件支持WEP加密，那么同時也能夠支持更安全的TIKP加密，同過軟件升級來達到安全系數(shù)提高的目的，這種做法更加的平滑，也更容易被市場接受。但是CCMP不同，它必須要更新的硬件支持才能使用，所以TKIP成了從WEP過渡到CCMP的中間產(chǎn)物，按照標準來說，如果你的設(shè)備可以用TKIP加密，就不要用WEP加密，如果可以支持CCMP加密，就不要用TKIP。