一、企业WLAN常用安全措施分析

    (一)禁止SSID广播

    在WALN中，通过无线接入点AP设置服务集标识符SSID(Service SetIdentifier)，无线客户端只有提供了正确的SSID才能访问AP，因此可以SSID看作是一个简单的口令，通过SSID口令认证机制，实现一定的网络安全。

    二、如何构建更加安全的企业WLAN

    网络的安全技术主要体现在两个方面：一个是身份认证，它用于保证网络只能由授权用户进行访问；另一个是数据加密，它用于保证网络中传送的数据只被所允许的用户所接收。因此为了提高WLAN的安全性，必须引入更加安全的认证机制及加密机制．

    (一)802．1X协议

    802．1X被称为基于端口的网络访问控制协议(Port Based NetworkAccess Control Protoc01)，尽管802．1X标准最初是为有线以太网设计制定的，但它也适用于符合802．11标准的无线局域网．当无线终端与AP关联后，是否可以使用AP的服务要取决于802．1X的认证结果。如果认证通过，则AP为用户打开这个逻辑端口，否则不允许用户接入网络。802．1x要求无线工作站安装802．1X客户端软件，无线访问点要内嵌802．IX认证代理，同时它还作为RADIUS客户端，将用户的认证信息转发给RADIUS服务器。802．1X技术结合EAP认证或PEAP认证可以为WLAN提供灵活多样的安全技术解决方案。例如EAP-TLS能提供较高的安全性，但也增加了在服务器端和客户端都要安装证书的管理难度，比较适合对安全要求比较高的大中型企业使用；而PEAP安全性虽略低于前者，但却可以基于用户名和密码认证，省去了客户端安装证书的麻烦，比较适合对安全要求一般的中小型企业使用。由此可见，802．1X是WLAN的一种增强的网络安全解决方案，可以看成是完善的无线局域网安全技术出现之前的过渡方案。

    (二)IEEE 802，1i安全标准与WPA、WPA2

    为了进一步加强无线网络的安全性，IEEE 802．11工作组于2004年6月正式批准了IEEE 802．11i安全标准。IEEE 802．11i规范了802．1X认证和密钥管理方式，定义了强健安全网络RSN(Robust Security Network)的概念．在数据加密方面，定义了TKIP(Temporal Key IntegrityProtoc01)、CCMP(Counter-Mode/CBC-MAC Protoc01)加密机制。其中TKIP加密算法依然是RC4，但通过提供一种增强型WEP加密引擎，从而弥补了原有WEP易受攻击的弱点。通过TKIP。原先不支持802．11i的设备可以通过升级驱动程序的方法提高安全性。CCMP机制基于AES(AdvancedEncryption Standard)加密算法和CCM(Counter—Mode/CBC-MAC)认证方式。使得WLAN的安全性大大提高，是实现RSN的强制性要求。AES是一种对称的块加密技术，提供比WEP/TKTP中RC4算法更高的加密性能。

    由于WEP存在安全缺陷无法满足WLAN发展的需要，在IEEE 802．11i安全标准推出之前．wi-Fi联盟适时推出了WPA(Wi-Fi Protected Access)技术，作为临时代替WEP的无线安全标准协议，WPA实际上是IEEE802．11i的一个子集，其核心就是IEEE 802，1X和TKIP。

    WPA2是Wi-Fi联盟发布的第二代WPA标准，WPA2和802．11i强健安全网络RSN的特性基本上是相同的，他们都采用CCMP加密机制来代替TKIP．WPA2已成为无线产品是否符合802．11i安全的认证标准。

    目前很多无线设备厂家都提供了WPA和WPA2 PSK模式WPA-PSK/WPA2-PSK，也就是以预共享密钥PSK(Pre-Share Key)的验证模式来替代IEEE802．1X/EAP的验证模式，PSK模式下无须使用验证服务器RADIUS，因此特别适合SOHO(Smal l Office/Home Office)环境使用。

    三、结束语

    综上所述，在IEEE等标准化组织以及Wi-Fi联盟和WLAN设备厂商的通力合作下，WLAN的安全性能已经得到了很大的提高。如今，部署和使用WLAN大可不必担心见WLAN的安全性，只要重视安全性问题并选择适当有效的认证和加密机制，WAIN完全能满足不同企业用户的安全组网要求。