3、無線局域網(wǎng)安全標(biāo)準(zhǔn)分析

3.1IEEE802.11安全標(biāo)準(zhǔn)：WEP

IEEE802.11標(biāo)準(zhǔn)通過有線對(duì)等保密協(xié)議WEP（WiredEquivalentPrivacy）來實(shí)現(xiàn)認(rèn)證與數(shù)據(jù)加密，認(rèn)證模式有Open Authentication和Shared Key Authentication兩種。WEP使用RSA Data Security公司的Ron Rivest發(fā)明的RC4流密碼進(jìn)行加密。屬于一種對(duì)稱的流密碼，支持可變長(zhǎng)度的密鑰。

后來的研究表明，RC4密鑰算法有內(nèi)在設(shè)計(jì)缺陷。由于WEP中實(shí)施的RC4選擇了24位初始化向量IV（InitialVector），而且不能動(dòng)態(tài)專用加密密鑰，因此這些缺陷在使用WEP的802.11加密幀中都有實(shí)際應(yīng)用。最典型的FMS攻擊已經(jīng)能夠捕獲100萬個(gè)包從而獲得靜態(tài)WEP密鑰。因此802.11中的WEP安全技術(shù)并不能夠?yàn)闊o線用戶提供足夠的安全保護(hù)。

3.2IEEE802.11i與WPA安全標(biāo)準(zhǔn)

為了使WLAN技術(shù)從這種被動(dòng)局面中解脫出來，IEEE802.11i工作組致力于制訂新一代安全標(biāo)準(zhǔn)，主要包括加密技術(shù)：TKIP（TemporalKeyIntegrity Protocol）和AES（Advanced Encryption Standard），以及認(rèn)證協(xié)議IEEE802.1x。

認(rèn)證方面。IEEE802.11i采用802.1x接入控制，實(shí)現(xiàn)無線局域網(wǎng)的認(rèn)證與密鑰管理，并通過EAP-Key的四向握手過程與組密鑰握手過程，創(chuàng)建、更新加密密鑰，實(shí)現(xiàn)802.11i中定義的魯棒安全網(wǎng)絡(luò)（RobustSecurityNetwork，簡(jiǎn)稱RSN）的要求。

數(shù)據(jù)加密方面，IEEE802.1li定義了TKIP（TemporalKeyIntegrity Protocol），CCMP（Counter-Mode/CBC-MAC Protocol和WRAP（Wireless Robust Authenticated Protocol）三種加密機(jī)制。

一方面，TKIP采用了擴(kuò)展的48位IV和IV順序規(guī)則、密鑰混合函數(shù)（KeyMixingFunction），重放保護(hù)機(jī)制和Michael消息完整性代碼（安全的MIC碼）這4種有力的安全措施，解決了WEP中存在的安全漏洞，提高了安全性。就目前已知的攻擊方法而言，TKIP是安全的。另一方面，TKIP不用修改WEP硬件模塊，只需修改驅(qū)動(dòng)程序，升級(jí)起來也具有很大的便利性。因此，采用TKIP代替WEP是合理的。

但是TKIP是基于RC4的，RC4已被發(fā)現(xiàn)存在問題，可能今后還會(huì)被發(fā)現(xiàn)其他的問題。另外，RC4一類的序列算法，其加解密操作只是簡(jiǎn)單的異或運(yùn)算，在無線環(huán)境下具有一定的局限性，因此TKIP只能作為一種短期的解決方案。

此外，802.11中配合AES使用的加密模式CCM和OCB，并在這兩種模式的基礎(chǔ)上構(gòu)造了CCMP和WRAP密碼協(xié)議。CCMP機(jī)制基于AES（AdvancedEncryptionStandard）加密算法和CCM（Counter-Mode/CBC-MAC）認(rèn)證方式，使得WLAN的安全程度大大提高。是實(shí)現(xiàn)RSN的強(qiáng)制性要求。由于AES對(duì)硬件要求比較高。因此CCMP無法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級(jí)實(shí)現(xiàn)。WRAP機(jī)制則是基于AES加密算法和OCB（OffsetCode book）。

由于市場(chǎng)對(duì)于提高WLAN安全的需求十分緊迫，在IEEE802.11i標(biāo)準(zhǔn)最終確定前，Wi-Fi聯(lián)盟制定了WPA（Wi-FiProtectedAccess）標(biāo)準(zhǔn)作為代替WEP的向802.11i過渡的無線安全標(biāo)準(zhǔn)。WPA是IEEE802.11i的一個(gè)子集，其核心就是IEEE802.1x和TKIP。

3.3中國(guó)無線局域網(wǎng)安全標(biāo)準(zhǔn)：WAPI

WAPI，即無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)（WLANAuthenticationandPrivacy Infrastructure）是中國(guó)境內(nèi)惟一合法的無線網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)。WAPI采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)，旨在徹底扭轉(zhuǎn)目前WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從根本上解決安全問題和兼容性問題。優(yōu)秀的認(rèn)證和安全機(jī)制使WAPI非常適合于運(yùn)營(yíng)商的PWLAN運(yùn)營(yíng)。

WAPI由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WLANAuthenticationInfrastructure，簡(jiǎn)稱WAI）和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WLANPrivacy Infrastructure，簡(jiǎn)稱WPI）兩部分組成，WAI和WPI分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和對(duì)傳輸數(shù)據(jù)的加密。其中，WAI采用公開密鑰密碼體制，利用公鑰證書來對(duì)WLAN系統(tǒng)中的STA和AP進(jìn)行認(rèn)證。WAI定義了一種名為認(rèn)證服務(wù)單元ASU（Authentication Service Unit）的實(shí)體，用于管理參與信息交換各方所需要的證書（包括證書的產(chǎn)生、頒發(fā)、吊銷和更新）。證書里面包含有證書頒發(fā)者（ASU）的公鑰和簽名以及證書持有者的公鑰和簽名（這里的簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法），是網(wǎng)絡(luò)設(shè)備的數(shù)字身份憑證。WPI采用對(duì)稱密碼算法實(shí)現(xiàn)對(duì)MAC層MSDU的加、解密操作。

WAPI整個(gè)系統(tǒng)由移動(dòng)終端MT（MobileTerminal）、AP和認(rèn)證服務(wù)單元ASU組成；其中，ASU完成認(rèn)證機(jī)構(gòu)CA（CertificateAuthority）的功能，負(fù)責(zé)證書的發(fā)放、驗(yàn)證與吊銷等；移動(dòng)終端MT與AP上都安裝有ASU發(fā)放的公鑰證書，作為自己的數(shù)字身份憑證。當(dāng)MT登錄至無線接入點(diǎn)AP時(shí)，在使用或訪問網(wǎng)絡(luò)之前必須通過ASU進(jìn)行雙向身份驗(yàn)證。根據(jù)驗(yàn)證的結(jié)果，只有持有合法證書的移動(dòng)終端MT才能接入持有合法證書的無線接入點(diǎn)AP。這樣不僅可以防止非法移動(dòng)終端MT接入AP而訪問網(wǎng)絡(luò)并占用網(wǎng)絡(luò)資源，而且還可以防止移動(dòng)終端MT登錄至非法AP而造成信息泄漏。

4、無線局域網(wǎng)安全測(cè)試

運(yùn)營(yíng)級(jí)無線局域網(wǎng)安全測(cè)試系統(tǒng)主要包括以下設(shè)備：

●端站（Station，簡(jiǎn)稱STA）

端站STA是無線局域網(wǎng)中的數(shù)字鏈路終端設(shè)備，可以通過不用接口接入或嵌入到數(shù)字終端設(shè)備中，如PC、PDA或手持式終端設(shè)備。

●接入點(diǎn)（AccessPoint，簡(jiǎn)稱AP）

無線接入點(diǎn)AP下行通過標(biāo)準(zhǔn)的空中接口協(xié)議于STA通信，而上行通過有線網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的分發(fā)，從而達(dá)到無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)的互通。

●接入控制器（AccessController，簡(jiǎn)稱AC）

接入控制器AC相當(dāng)于無線局域網(wǎng)與傳送網(wǎng)之間的網(wǎng)關(guān)，將來自不同AP的數(shù)據(jù)進(jìn)行業(yè)務(wù)匯聚，反之將來自業(yè)務(wù)網(wǎng)的數(shù)據(jù)分發(fā)到不同AP，此外還負(fù)責(zé)用戶的接入認(rèn)證功能，執(zhí)行AAA代理功能。

●AAA服務(wù)器

AAA服務(wù)器是實(shí)現(xiàn)認(rèn)證、授權(quán)和計(jì)費(fèi)（AAA，Authentication，Authorization&Accounting）功能的網(wǎng)絡(luò)服務(wù)器。認(rèn)證服務(wù)器保存用戶的認(rèn)證信息和相關(guān)屬性，當(dāng)接收到認(rèn)證申請(qǐng)時(shí)，支持在數(shù)據(jù)庫(kù)中對(duì)用戶數(shù)據(jù)的查詢。在認(rèn)證完成后，授權(quán)服務(wù)器根據(jù)用戶信息授權(quán)用戶具有不同的屬性。計(jì)費(fèi)服務(wù)器完成用戶計(jì)費(fèi)信息的處理，并根據(jù)用戶簽約信息中的計(jì)費(fèi)屬性，實(shí)現(xiàn)預(yù)付費(fèi)、后付費(fèi)業(yè)務(wù)等。

目前的AAA服務(wù)器主要為支持Radius協(xié)議的服務(wù)器，未來還可以采用Diameter協(xié)議。

●Portal服務(wù)器

Portal服務(wù)器即門戶服務(wù)器，與AC配合共同完成無線局域網(wǎng)用戶門戶網(wǎng)站頁(yè)面的推送，提供Portal業(yè)務(wù)。

●管理服務(wù)器

管理服務(wù)器主要負(fù)責(zé)實(shí)現(xiàn)無線局域網(wǎng)的網(wǎng)絡(luò)管理功能，包括配置管理、故障管理、性能管理、安全管理等。

測(cè)試系統(tǒng)主要由熱點(diǎn)地區(qū)的無線局域網(wǎng)接入網(wǎng)絡(luò)和后臺(tái)的服務(wù)系統(tǒng)組成，其中，接入網(wǎng)絡(luò)主要由接入點(diǎn)AP和接入控制器AC構(gòu)成，而后臺(tái)服務(wù)系統(tǒng)完成認(rèn)證、計(jì)費(fèi)、應(yīng)用服務(wù)和網(wǎng)管等功能。同時(shí)由于目前還存在基于七號(hào)信令網(wǎng)的SIM認(rèn)證，因此系統(tǒng)中還包含鑒權(quán)服務(wù)器AS和用戶數(shù)據(jù)庫(kù)HLR/Auc。認(rèn)證中心的主要設(shè)備是Radius服務(wù)器，用來存儲(chǔ)用戶的身份信息，并完成用戶的認(rèn)證和鑒權(quán)等功能。計(jì)費(fèi)中心則主要完成用戶的計(jì)費(fèi)功能。應(yīng)用服務(wù)器可為用戶提供WWW，F(xiàn)TP等多種應(yīng)用服務(wù)。網(wǎng)管中心則實(shí)現(xiàn)無線局域網(wǎng)的配置、安全、性能等多方面的管理，保障無線局域網(wǎng)的可靠運(yùn)行。

5、結(jié)束語

無線局域網(wǎng)目前正處于蓬勃發(fā)展時(shí)期，而無線局域網(wǎng)的安全問題也是業(yè)界尤為關(guān)注的焦點(diǎn)之一。只有在現(xiàn)有的無線局域網(wǎng)安全框架基礎(chǔ)上，運(yùn)用相關(guān)的關(guān)鍵技術(shù)搭建一個(gè)增強(qiáng)的、有足夠安全性的無線局域網(wǎng)，才能推動(dòng)無線局域網(wǎng)的實(shí)際應(yīng)用，尤其是在企業(yè)、機(jī)關(guān)等重要部門中的使用。也只有這樣，無線局域網(wǎng)才能安全順利地與其他有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)乃至3G網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)互通，并發(fā)揮其巨大的潛力。