WIFI是IEEE定义的一个无线网络通信的工业标准（IEEE 802．11）。也可以看作是3G技术的一种补充。WIFI技术与蓝牙技术一样，同属于在办公室和家庭中使用的无线局域网通信技术。WIFI是一种短程无线传输技术，能够在数百英尺范围内支持互联网接入无线电信号。它的最大优点是传输速度较高，在信号较弱或有干扰的情况下，带宽可调整，有效地保障了网络的稳定性和可靠性。但是随着无线局域网应用领域的不断拓展，其安全问题也越来越受到重视。

　　1 WIFI技术简介

　　1．1 WIFI技术

　　WIFI（WireleSS Fidelity）俗称无线宽带，又叫802．11b标准，是IEEE定义的一个无线网络通信的工业标准。IEEE802．11b标准是在IEE E802．11的基础上发展起来的，工作在2．4 Hz频段，最高传输率能够达到11 Mbps。该技术是一种可以将个人电脑，手持设备等终端以无线方式互相连接的一种技术。目的是改善基于IEEE802．1标准的无限网络产品之间的互通性。

　　WIFI局域网本质的特点是不再使用通信电缆将计算机与网络连接起来，而是通过无线的方式连接，从而使网络的构建和终端的移动更加灵活。

　　1．2 WIFI技术的特点

　　1）无线电波覆盖范围广

　　基于蓝牙技术的电波覆盖范围非常小，半径大约只有15 m，而Wi—Fi的半径可达300 m，适合办公室及单位楼层内部使用。

　　2）组网简便

　　无线局域网的组建在硬件设备上的要求与有线相比，更加简洁方便，而且目前支持无线局域网的设备已经在市场上得到了广泛的普及，不同品牌的接入点AP以及客户网络接口之间在基本的服务层面上都是可以实现互操作的。WIAN的规划可以随着用户的增加而逐步扩展，在初期根据用户的需要布置少量的点。当用户数量增加时，只需再增加几个AP设备，而不需要重新布线。而全球统一的WIFI标准使其与蜂窝载波技术不同，同一个WIFI用户可以在世界各个国家使用无线局域网服务。

　　3）业务可集成性

　　由于WIFI技术在结构上与以太网完全一致，所以能够将WLAN集成到已有的宽带网络中，也能将已有的宽带业务应用到WLAN中。这样，就可以利用已有的宽带有线接入资源，迅速地部署WIAN网络，形成无缝覆盖。

　　4）完全开放的频率使用段

　　无线局域网使用的ISM是全球开放的频率使用段，使得用户端无需任何许可就可以自由使用该频段上的服务。

　　1．2 WIFI总体拓扑结构

　　WIFI网络结构如图1所示。由AP和无线网卡组成。AP一般称为网络桥接器或接入点，它是当作传统的有线局域网络与无线局域网络之间的桥梁，因此任何一台装有无线网卡的PC均可透过AP去分享有线局域网络甚至广域网络的资源，其工作原理相当于一个内置无线发射器的HUB或者是路由，而无线网卡则是负责接收由AP所发射信号的CLJENT端设备。

2 WIFI的安全机制

　　WIFI安全性主要包括访问控制和加密两大部分，访问控制保证只有授权用户能访问敏感数据，加密保证只有正确的接收方才能理解数据。为了解决WIFI网络的安全问题，2003年WIFI联盟推出了WIFI保护接入（Wi—Fi Protected Access，WPA）作为安全解决方案以满足日益增长的安全机制的市场需求。

　　2．1 WPA技术

　　WPA是无线应用协议（Wireless Application Protocol）的简称，是一种开放式的全球规范。有WPA和WPA2两个标准，是一种保护无线电脑网络（Wi—Fi）安全的系统。WPA作为IEEE802．11i的一个子集，避开了WEP的众多弱点，可大大增强现有以及未来无线局域网系统数据保护的访问控制水平。WPA可保证WIAN用户的数据受到保护，并且只有授权用户才可访问WLAN网络

　　2．2 WIFI网络安全策略

　　2．2．1加密方式

　　1）TKIP加密模式

　　WIFI无线网络目前使用最广泛的加密模式是WPA-PSK（TKIP）和WPA2-PSK（AES）两种加密模式。TKIP的含义为暂时密钥集成协议。TKIP使用的仍然是RC4算法，但在原有的WEP密码认证引擎中添加了“信息包单加密功能”、“信息监测”、“具有序列功能的初始向量”和“密钥生成功能”等4算法。

　　TKIP是包裹在已有WEP密码外围的一层“外壳”，这种加密方式在尽可能使用WEP算法的同时消除了已知的WEP缺点。专门用于纠正WEP安全漏洞，实现无线传输数据的加密和完整性保护。但是相比WEP加密机制，TKIP加密机制可以为WLAN服务提供更加安全的保护。主要体现在以下几点：

　　①静态WEP的密钥为手工配置，且一个服务区内的所有用户都共享同一把密钥。而TKIP的密钥为动态协商生成，每个传输的数据包都有一个与众不同的密钥。

　　②TKIP将密钥的长度由WEP的40位加长到128位，初始化向量IV的长度由24位加长到48位，提高了WEP加密的安全性。

　　③TKIP支持MIC认证（Message Integrity Cheek，信息完整性校验）和防止重放攻击功能。

　　2）AES加密模式

　　WPA2放弃了RC4加密算法，使用AES算法进行加密，是比TKIP更加高级的加密技术。AES是一个迭代的、对称密钥分组的密码，它可以使用128、192和256位密钥，并且用128位（16字节）分组加密和解密数据。与公共密钥密码使用密钥对不同，对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构，在该循环中重复置换（permutations）和替换（substitutions）输入数据。

　　2．2．2 认证方式

　　WPA给用户提供了一个完整的认证机制，AP根据用户的认证结果决定是否允许其介入无线网络中；认证成功后可以根据多种方式动态地改变每个接入用户的加密密钥。对用户在无线中传输的数据报进行MIC编码，确保用户数据不会被其他用户更改。WPA有2种认证模式：1）是使用802．1x协议进行认证，即就是802．1x+=EPA方式（工业级的，安全要求高的地方用。需要认证服务器）；2）是预先共享密钥PSK模式（家庭用的，用在安全要求低的地方。不需要服务器）。AP和客户端分享密钥的过程叫做4次握手，过程如图2所示。

　　1）客户端SrrA与无线接入点AP关联；

　　2）STA需要向AP发送认证消息，在被授权以前，即使STA与AP始终关联，TSA也不能够访问网络，只能继续向AP发送认证消息，经由远程认证拨号用户服务AP将认证消息发送给后端服务器来认证；

　　3）客户端STA利用EAP协议，通过AP的非受控端口向认证服务器提交身份凭证，认证服务器负责对STA进行身份验证；

　　4）如果STA未通过认证，客户端一直被阻止访问网络；如果认证成功，则认证服务器通知AP向该STA打开受控端口；

　　5）身份认证服务器利用TKIP协议自动将主配对密钥分发给AP和客户端STA，主配对密钥基于每用户、每个802．1x的认证进程是惟一的；

　　6）STA与AP再利用主配对密钥动态生成基于每数据包惟一的数据加密密钥；

　　7）利用该密钥对STA与AP之间的数据流进行加密。

　　这样就好象在两者之间建立了一条加密隧道，保证了空中数据传输的高安全性。

2．3 存在问题

　　WPA-PSK／WPA2-PSK（TKIP、AES）是目前主流的加密方式，但由于TKIP与AES子算法自身的问题。使得WPA也将面临着被彻底破解的威胁。

　　用户在使用无线网络时应该注意以下几点

　　1）对于自己搭建无线网络的用户，至少要进行一些最基本的安全配置，如隐藏SSID，关闭DHCP，设置WEP密钥，启用内部隔离等。

　　2）如果安全要求再高一些，还可以启用非法AP监测，配置MAC过滤，启用WPA／WPA2，建立802．1x端口认证。

　　3）如果有更高的安全需求，那么可以选择的安全手段就更多，比如，使用定向天线，调整发射功率，把信号可能收敛在信任的范围之内；还可以将无线局域网视为Internet一样来防御，甚至在接口处部署入侵检测系统。

　　4）如果您是企业用户，千万不要忘记建立完善的安全管理制度并分发至员工。当您需要在热点区域使用无线网络时，您需要能够您所在网络的安全程度，如果认定网络不够安全，那么请尽量不要在此网络中提交或透露敏感信息，并尽量缩短在线的时间。

　　3 结论

　　随着无线局域网应用领域的不断拓展，安全问题越来越受到重视。WIFI技术作为WLAN技术家族中的重要成员，近年来发展迅速，已经应用到生活的各个方面。文中较详细地分析了WIFI网络的技术特点，对WIFI网络的安全性做了一定程度的探讨，给出了相应的结论。只有加强人为安全方面的控制技术的改进，才可更好加强WIFI安全性。