从WAPI看无线局域网安全协议

摘　要： 本文从无线局域网标准、无线局域网安全协议、中国宣布的WAPI标准等方面,详细地介绍了无线局域网安全协议。

关键词：无线局域网；标准；安全协议；WAPI
1 引言
　　随着无线通信技术和计算机网络技术的发展，无线局域网因介入的灵活性及其架构的方便性而得到迅猛发展。但无线局域网的安全问题也成为了当前发展无线网络产业的最大问题之一。
　　从最初利用ESSID、MAC限制，防止非法无线设备入侵的访问控制，到基于WEP数据加密的解决方案，再到即将成为新标准的802.11i，以及从2003年12月1日起我国开始施行的WLAN产品的新标准WAPI（无线局域网鉴别和保密基础结构），无线网络安全技术在很大的程度上已经得到了改善，即使这样，但要真正构建端到端的安全无线网络还任重道远。在介绍无线局域网安全协议之前，首先简要介绍无线局域网的主要标准。
2、无线局域网的标准
　　在众多的无线局域网标准中，人们知道最多的是IEEE（美国电子电气工程师协会）802.11系列，此外制定WLAN标准的组织还有ETSI（欧洲电信标准化组织）和HomeRF工作组，ETSI提出的标准有HiperLan和HiperLan2，HomeRF工作组的两个标准是HomeRF和HomeRF2。在这三家组织所制定的标准中，IEEE的802.11标准系列由于它的以太网标准802.3在业界的影响力使得在业界一直得到最广泛的支持，尤其在数据业务上。ETSI是一个欧洲组织，因此一直得到欧洲政府的支持，很多运营商也都很尊重它的GSM和UMTS蜂窝电话标准，它在制定WLAN标准的时候更加关注语音业务。HomeRF作为一种为家庭网络专门设计的标准在业界也有一定的影响力。下面就这几个组织的标准逐一进行介绍。
2.1 IEEE的802.11标准系列
　　802.11是IEEE最初制定的一个无线局域网标准，主要用于解决办公室局域网和校园网中用户与用户终端的无线接入，业务主要限于数据存取，速率最高只能达到2Mbps。目前，3Com等公司都有基于该标准的无线网卡。
　　由于802.11在速率和传输距离上都不能满足人们的需要，因此，IEEE小组又相继推出了802.11b和802.11a两个新标准。3者之间技术上的主要差别在于MAC子层和物理层。
　　802.11b物理层支持5.5Mpbs和11Mpbs两个新速率。802.11标准在扩频时是一个11位调制芯片，而802.11b标准采用一种新的调制技术CCK完成。
　　802.11b使用动态速率漂移，可因环境变化，在11Mbps、5.5Mbps、2Mbps、1Mbps之间切换，且在2Mbps、1Mbps速率时与802.11兼容。802.11b的产品普及率最高，在众多的标准中处于先导地位。
　　蓝牙（IEEE 802.15）是一项最新标准，对于802.11来说，它的出现不是为了竞争而是相互补充。蓝牙802.11更具移动性，比如，802.11限制在办公室和校园内，蓝牙能把1个设备连接到LAN到WAN，甚至支持全球漫游。此外，蓝牙成本低、体积小，可用于更多的设备。但是，蓝牙主要是点对点的短距离无线发送技术，本质上要么是RF要么是红外线。而且，蓝牙被设计居低功耗、短距离、低带宽的应用，严格来讲，不算是真正的局域网技术。
2.2 ETSI的HiperLan2
　　HiperLan是欧盟在1992年提出的一个WLAN标准，HiperLan2是它的后续版本，HiperLan2部分建立在GSM基础上，使用频段为5GHz。在物理层上HiperLan2和802.11a几乎完全相同：它采用OFDM技术，最大数据速率为54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太网基础上的，而是采用的TDMA结构，形成是一个面向连接的网络，HiperLan2的面向连接的特性使它很容易满足QoS要求，可以为每个连接分配一个指定的QoS，确定这个连接在带宽、延迟、拥塞、比特错误率等方面的要求。这种QoS支持与高传输速率一起保证了不同的数据序列（如视频、话音和数据等）可以同时进行高速传输。　
2.3 HomeRF
　　顾名思义，HomeRF是为家庭网络设计的（RF意思是射频），是一种将家中的PC和用户电子设备之间实现无线数字通信的开放性工业标准，所用波段为2.4GHz。它是基于原始的802.11的FHSS版本，但其推广一直不力，目前已基本退出历史舞台。
3、无线局域网安全协议
3.1 WEP协议
　　IEEE802.11标准中的WEP（Wired Equivalent Privacy）协议是IEEE802.11b协议中最基本的无线安全加密措施，其主要用途包括提供接入控制，防止未授权用户访问网络；对数据进行加密，防止数据被攻击者窃听；防止数据被攻击者中途恶意纂改或伪造。此外，WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误，才能获准存取网络的资源。AboveCable所有型号的AP都支持64位或（与）128位的静态WEP加密，有效地防止数据被窃听盗用。
　　该技术适合一些小型企业　、家庭用户等小型环境的无线网络应用，无需额外的设备支出，配置方便。但在无线行业应用中，基于WEP加密技术的安全缺陷饱受非议，因针对WEP数据包加密已有破译的方法，且使用这一方法破解WEP密钥的工具可以在互联网上免费下载。相应的，替代WEP的WPA标准已于2002年下半年出台了，通过暂时密钥集成协议（TKIP）增强了数据加密，提高无线网络的安全特性。
3.2 IEEE 802.11i安全标准
　　IEEE 802.11的i工作组致力于制订被称为IEEE 802.11i的新一代安全标准，这种安全标准为了增强WLAN的数据加密和认证性能，定义了RSN（Robust Security Network）的概念，并且针对WEP加密机制的各种缺陷做了多方面的改进。
　　IEEE 802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter－Mode／CBC－MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三种加密机制。其中TKIP采用WEP机制里的RC4作为核心加密算法，可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的。CCMP机制基于AES（Advanced Encryption Standard）加密算法和CCM（Counter－Mode／CBC－MAC）认证方式，使得WLAN的安全程度大大提高，是实现RSN的强制性要求。由于AES对硬件要求比较高，因此CCMP无法通过在现有设备的基础上进行升级实现。
3.3 WAPI协议
　　我国早在2003年5月份就提出了无线局域网国家标准 GB15629.11 ，这是目前我国在这一领域惟一获得批准的协议。标准 中包含了全新的WAPI（WLAN Authentication and Privacy Infrastructure）安全机制，这种安全机制由 WAI（WLAN Authentication Infrastructure）和WPI（WLAN Privacy Infrastruc－ture）两部分组成，WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAPI能为用户的WLAN系统提供全面的安全保护。WAPI安全机制包括两个组成部分。
　　WAI采用公开密钥密码体制，利用证书来对WLAN系统中的STA和AP进行认证。WAI定义了一种名为ASU（Authentication Service Unit）的实体，用于管理参与信息交换各方所需要的证书（包括证书的产生、颁发、吊销和更新）。证书里面包含有证书颁发者（ASU）的公钥和签名以及证书持有者的公钥和签名（这里的签名采用的是WAPI特有的椭圆曲线数字签名算法），是网络设备的数字身份凭证。
　　在具体实现中，STA在关联到AP之后，必须相互进行身份鉴别。先由STA将自己的证书和当前时间提交给AP，然后AP将STA的证书、提交时间和自己的证书一起用自己的私钥形成签名，并将这个签名连同这三部分一起发给ASU。
　　所有的证书鉴别都由ASU来完成，当其收到AP提交来的鉴别请求之后，会先验证AP的签名和证书。当鉴别成功之后，进一步验证STA的证书。最后，ASU将STA的鉴别结果信息和AP的鉴别结果信息用自己的私钥进行签名，并将这个签名连同这两个结果发回给AP。
　　由于会话密钥并没有在信道上进行传输，因此就增强了其安全性。为了进一步提高通信的保密性，WAPI还规定，在通信一段时间或者交换一定数量的数据之后，STA和AP之间可以重新协商会话密钥。WAPI采用对称密码算法实现对MAC层MSDU进行的加、解密操作。WAPI标准将替代国际现行的WEP协议，原有标准因其安全性不理想，一直以来都为全球用户所诟病。而采纳了许多先进技术的新标准，无疑为推动国内WLAN产业发展起到了积极的作用。同时，牵一发而动全身的安全新标准，也已影响到电信产业链上的诸多环节，格局变幻暗流涌动。但同时更为关键的是，由于WAPI协议提供了优秀的认证和安全机制，因此它非常适合于运营商的公众无线局域网（PWLAN）运营。这除了给现有运营商带来利好之外，也极有可能因此衍生出更多的WLAN服务提供商。
三、无线局域网安全协议的比较与WAPI的前景。
　　WEP、IEEE 802.11i、WAPI三者之间的比较如表1所示：
WEPIEEE 802.11i WAPI





认
证特征 对硬件认证，单向认证。 无线用户和 RADIUS 服务器认证，双向认证，无线用户身份通常为用户名和口令。 无线用户和无线接入点的认证，双向认证，身份凭证为 公钥数字证书。 性能 认证过程简单 认证过程复杂， RADIUS 服务器不易扩充。 认证过程简单，客户端可支持多证书，方便用户多处使用，充分保证其漫游功能，认证单元易于扩充，支持用户的异地接入。 安全漏洞 认证易于伪造，降低了总安全性。 用户身份凭证简单，易于盗取，共享密钥管理存在安全隐患。 无 算法 开放式系统认证，共享密 钥 认证。 未确定 192/224/256 位的椭圆曲线签名算法。 安全强度 低 较高 最高 扩展性 低 低 高 加

密算法 64 位的 WEP 流加密。 128 位的 WEP 流加密，128 位的 AES 加密算法。 认证的分组加密。 密 钥 静态 动态（基于用户、基于认证、通信过程中动态更新） 动态（基于用户、基于认证、通信过程中动态更新） 安全强度 低 高 最高 中国法规 不符合 不符合符合表1 WEP、IEEE 802.11i、WAPI三者之间的比较
　　我国推出的WAPI无线局域网安全协议标准，由于理解上的差异遭到了多方面质疑。一些业内人士指出，由于新标准与先行标准差异较大，因此可能存在漫游及设备兼容等一些问题，而且，一些对安全问题并不敏感的用户的使用成本也可能会增加。
　　事实上，这只是标准推出初期不可避免的问题。而且据专家介绍，设备仅需要进行简单的软件升级即可达到规范要求，过程平滑。同时，若从WLAN产业长期发展的角度这一代价也是完全值得的。　
　　WAPI充分考虑了市场应用，从应用模式上可分为单点式和集中式两种：单点式主要用于家庭和小型公司的小范围应用；集中式主要用于热点地区和大型企业，可以和运营商的管理系统结合起来，共同搭建安全的无线应用平台。因此，采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状，从而在根本上解决安全问题和兼容性问题。
参考文献：
[1]王春，宽带无线接入系统关键技术研究，南京，东南大学，2002
[2]李英瑞，无线局域网的Mobile IP与AAA架构，台北，台湾大学电机工程研究所。2002
[3]孙宏，杨义先，无线局域网协议802.11安全性分析[ J].电子学报2003
[4]李元安,宽带无线接入和无线局域网(第一版)[M],北京,北京邮电大学出版社,2000 本文链接：http://www.qk112.com/lwfw/jsjlw/jsjwl/238419.html