51安居是真的假的:网络安全产品的发展史，分类及现状？

随着WLAN（无线局域网）技术的快速发展，WLAN应用的增长速度非常惊人，各级组织在选用WLAN产品时都会担心WLAN的数据传输是否安全，是否能确保数据的完整和安全。而面对众多的WLAN安全方案，我们又能指望谁呢？

有线网络和无线网络存在不同的传输方式。有线网络的访问控制往往以物理端口的接入方式进行监控，数据通过双绞线、光纤等介质传输到特定的目的地，有线网络辐射到空气中的电磁信号强度很小，一般情况下，只有在物理链路遭到盗用后数据才有可能泄漏。

无线网络的数据传输是利用电磁波在空气中辐射传播，只要在接入点（AP）覆盖的范围内，所有的无线终端都可以接收到无线信号。无线网络的这种电磁辐射的传输方式是无线网络安全保密尤为突出的主要原因。

双因素考核无线安全

通常网络的安全性主要体现在两个方面：一是访问控制，用于保证敏感数据只能由授权用户进行访问；另一个是数据加密，用于保证传送的数据只被所期望的用户所接收和理解。无线局域网相对于有线局域网所增加的安全问题，主要是由于其采用了电磁波作为载体来传输数据信号，其他方面的安全问题两者是相同的。

WLAN的访问控制手段

服务集标识SSID匹配：通过对多个无线AP设置不同的SSID标识字符串（最多32个字符），并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源的访问权限进行区别限制。

但是SSID只是一个简单的字符串，所有使用该无线网络的人都知道该SSID，很容易泄漏；而且如果配置AP向外广播其SSID，那么安全性还将下降，因为任何人都可以通过工具或Windows XP自带的无线网卡扫描功能就可以得到当前区域内广播的SSID。这是一种较低级别的访问控制方法。

物理地址过滤：由于每个无线工作站的网卡都有惟一的，类似于以太网的48位的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现基于物理地址的过滤。如果各级组织中的AP数量很多，为了实现整个各级组织所有AP的无线网卡MAC地址统一认证，现在有的AP产品支持无线网卡MAC地址的集中RADIUS认证。

物理地址过滤的方法要求AP中的MAC地址列表必须及时更新，由于此方法维护不便、可扩展性差，而且MAC地址还可以通过工具软件或修改注册表伪造，因此这也是较低级别的访问控制方法。

可扩展认证协议：可靠性、灵活性和可扩展性都不是很好，IEEE 802.1x（简称802.1x）协议应运而生，它定义了基于端口的网络接入控制协议，其主要目是为了解决无线局域网用户的接入认证问题。

802.1x提供了一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接到网络。但802.1x本身并不提供实际的认证机制，需要和扩展认证协议（EAP）配合来实现用户认证和密钥分发。

当无线工作站与无线AP关联后，是否可以使用AP的受控端口要取决于802.1x的认证结果，如果通过非受控端口发送的认证请求通过了验证，则AP为无线工作站打开受控端口，否则一直关闭受控端口，用户将不能上网。

WLAN的数据加密技术

WEP有线等效保密：是一个为了保证数据能安全地通过无线网络传输而制定的加密标准，使用了共享秘钥RC4加密算法，只有在用户的加密密钥与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问，密钥最高可以支持152位加密。

WEP标准在保护网络安全方面存在固有缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失或者泄漏密钥将使整个网络不安全。WEP加密自身也存在安全缺陷，有许多公开可用的工具能够从互联网上免费下载，用于入侵不安全网络。而且黑客有可能发现网络传输，然后利用这些工具来破解密钥，截取网络上的数据包，或非法访问网络。

WPA保护访问技术：WEP存在的缺陷不能满足市场的需要，Wi-Fi联盟适时推出了WPA技术，作为临时代替WEP的无线安全标准协议，为IEEE 802.11无线局域网提供较强大的安全性能。WPA实际上是IEEE 802.11i的一个子集，其核心就是IEEE 802.1x和临时密钥完整性协议（TKIP）。

TKIP与WEP同样基于RC4加密算法，但对现有的WEP进行了改进，使用了动态会话密钥。TKIP引入了48位初始化向量（IV）和IV顺序规则、每包密钥构建、Michael消息完整性代码以及密钥重获/分发4个新算法，提高了无线网络数据加密安全强度。

WPA之所以比WEP更可靠，就是因为它改进了WEP的加密算法。由于WEP密钥分配是静态的，黑客可以通过拦截和分析加密的数据，在很短的时间内就能破解密钥。而在使用WPA时，系统频繁地更新主密钥，确保每一个用户的数据分组使用不同的密钥加密，即使截获很多的数据，破解起来也非常地困难。