目前,无线局域网大部分是基于IEEE802.11标准的,但是许多研究表明IEEE802.11标准存在诸如缺乏双向认证、存在弱密钥等安全问题。IEEE802.1x针对当前无线局域网出现的安全问题,采用了基于端口的访问控制协议来增强访问控制和认证的强度。但是,它的认证机制在设计上仍然是单向的,容易受到中间人攻击、会话接管攻击及拒绝服务攻击。因此,对IEEE802.1x协议认证方法进行改进,提供更为强大的安全保障体系,对于无线局域网的发展和应用有着深远的意义。首先,本文通过介绍无线局域网的基本协议802.11,分析了IEEE802.11所使用的安全服务、认证弱点及加密缺点。然后作者陈述了IEEE802.1x协议中存在的几个问题(缺乏双向认证、扩展认证协议封装格式不完整、认证机制设计缺陷及Authenticator中状态机耦合松散),重点讨论了中间人攻击、会话接管攻击和拒绝服务攻击等常见攻击方式。通过模拟实验证实:攻击者采用恰当的攻击工具和攻击方法,可以对采用802.1x认证协议的无线网络成功地实施以上几种攻击。其次,针对上述三种攻击方式分别提出了相应的改进方案:①使用中央管理器辅助认证服务器以实现减少拒绝服务攻击的目标;②通过修改响应消息的格式可降低中间人攻击的频率;③在认证未断开的情况下丢弃所有MAC断开连接的消息帧可减少会话接管攻击。最后,文章对改进方案的分析结果表明:针对拒绝服务攻击的改进方案能让资源分配更加合理,资源消耗可以控制在最小范围;针对中间人攻击的改进方案能在一定程度上阻止中间人接入;通过对状态机转移的进一步约束和EAPOL帧格式的完善,能够防范现有的接管会话攻击方式。改进方案弥补了IEEE802.1x缺乏双向认证的缺点,设计了中央管理器和修改了EAPOL帧格式等,提供了较好的安全。