無線用戶在訪問網絡前,第一时间一定得由用戶認證且和一個AP產生聯繫,這裏的聯繫即是將此無線用戶與某個AP綁定。認證目的有兩個方面:一是核驗消息的發送者合法,並不是假冒的,即實體認證;二是驗證消息的完整性,及數據在傳輸與存儲中有沒有被篡改、重放或延遲等。無線網絡主要给予開放系統和共享密鑰兩種認證方式。另外,也使用MAC地址過濾對用戶進行認證。

1.開放系統認證

開放系統認證是IEEE802.11標準一定會選擇的認證方式。這種方式是在用戶有接入請求時，比較他的SSID與AP的SSID,如果兩者是一致的,用戶才可以和AP構建聯繫,要不然請求是會被拒絕的。SSID最開始是被用於在邏輯上區別多個無線子網的,事實上它是個子網名稱,安裝的時候設置且能更改。在此SSID被用作一種安全機制,在無線子網中的全部用戶一定得設置與AP一樣的SSID才可以和AP建立聯繫,並被接入網絡。顯然,開放認證方式有重大的安全問題,若有人清楚網絡的SSID,就可以接入網絡。實際上,要知道AP設置的SSID非常容易,由於每個AP產生的指示信號頓中均含有此信息。所以僅用此種認證方式是不安全的。

2.共享密鑰認證

共享密鑰認證以共享密鑰的方式管控用戶訪問網絡資源。因用的認證密鑰與WEP數據加密算法的密鑰一樣,所以要想實現共享密鑰認證,用戶要配置靜態的WEP密鑰。共享密鑰認證過程如下：

1)用戶向AP發出認證請求。

2)AP返回一個隨機字符串(如A2B% CQUPT)當做認證響應。

3)用戶端借本地配置的WEP密鑰加密收到的此字符串,並將結果發回AP,如E(A2B% CQUPT)。

4)AP解密用戶傳去的密文,若和最初發出的字符串一致,即D[E(A2B% CQUPT)]=A2B% CQUPT,則回復一個認證響應信息讓用戶接入。

共享密鑰認證比開放系統認證安全得多,不過問題仍存在,全部用戶共享相同的密鑰,系統是不可以辨認一個獨立用戶的。另外,因WEP與用戶認證用一樣的密鑰,知道其中一個就能滿足兩個需要。必須指出,IEEE802.1不能給出AP和用戶間的雙向認證,即用戶不能判別AP的合法性,若非法的AP被放入網絡,則合法用戶會毫無知覺地被截獲數據。

MAC地址就是網卡的硬件地址,隨意一塊網卡均有一個唯一的長度是48bit的MAC地址。很多廠家的AP產品可對MAC地址進行過濾,由建立訪問控制地址列表對用戶接入進行控制,來增強安全性。MAC地址過濾可讓在ACL中先指明了MAC地址的用戶,可認證並接入。此種方式的確提升了安全性,不過手工配置地址列表消耗時間,易出錯,僅對變動小的小型網絡適用。