3、無線局域網安全標準分析

3.1IEEE802.11安全標準：WEP

IEEE802.11標準通過有線對等保密協議WEP（WiredEquivalentPrivacy）來實現認證與數據加密，認證模式有Open Authentication和Shared Key Authentication兩種。WEP使用RSA Data Security公司的Ron Rivest發明的RC4流密碼進行加密。屬于一種對稱的流密碼，支持可變長度的密鑰。

后來的研究表明，RC4密鑰算法有內在設計缺陷。由于WEP中實施的RC4選擇了24位初始化向量IV（InitialVector），而且不能動態專用加密密鑰，因此這些缺陷在使用WEP的802.11加密幀中都有實際應用。最典型的FMS攻擊已經能夠捕獲100萬個包從而獲得靜態WEP密鑰。因此802.11中的WEP安全技術并不能夠為無線用戶提供足夠的安全保護。

3.2IEEE802.11i與WPA安全標準

為了使WLAN技術從這種被動局面中解脫出來，IEEE802.11i工作組致力于制訂新一代安全標準，主要包括加密技術：TKIP（TemporalKeyIntegrity Protocol）和AES（Advanced Encryption Standard），以及認證協議IEEE802.1x。

認證方面。IEEE802.11i采用802.1x接入控制，實現無線局域網的認證與密鑰管理，并通過EAP-Key的四向握手過程與組密鑰握手過程，創建、更新加密密鑰，實現802.11i中定義的魯棒安全網絡（RobustSecurityNetwork，簡稱RSN）的要求。

數據加密方面，IEEE802.1li定義了TKIP（TemporalKeyIntegrity Protocol），CCMP（Counter-Mode/CBC-MAC Protocol和WRAP（Wireless Robust Authenticated Protocol）三種加密機制。

一方面，TKIP采用了擴展的48位IV和IV順序規則、密鑰混合函數（KeyMixingFunction），重放保護機制和Michael消息完整性代碼（安全的MIC碼）這4種有力的安全措施，解決了WEP中存在的安全漏洞，提高了安全性。就目前已知的攻擊方法而言，TKIP是安全的。另一方面，TKIP不用修改WEP硬件模塊，只需修改驅動程序，升級起來也具有很大的便利性。因此，采用TKIP代替WEP是合理的。

但是TKIP是基于RC4的，RC4已被發現存在問題，可能今后還會被發現其他的問題。另外，RC4一類的序列算法，其加解密操作只是簡單的異或運算，在無線環境下具有一定的局限性，因此TKIP只能作為一種短期的解決方案。

此外，802.11中配合AES使用的加密模式CCM和OCB，并在這兩種模式的基礎上構造了CCMP和WRAP密碼協議。CCMP機制基于AES（AdvancedEncryptionStandard）加密算法和CCM（Counter-Mode/CBC-MAC）認證方式，使得WLAN的安全程度大大提高。是實現RSN的強制性要求。由于AES對硬件要求比較高。因此CCMP無法通過在現有設備的基礎上進行升級實現。WRAP機制則是基于AES加密算法和OCB（OffsetCode book）。

由于市場對于提高WLAN安全的需求十分緊迫，在IEEE802.11i標準最終確定前，Wi-Fi聯盟制定了WPA（Wi-FiProtectedAccess）標準作為代替WEP的向802.11i過渡的無線安全標準。WPA是IEEE802.11i的一個子集，其核心就是IEEE802.1x和TKIP。

3.3中國無線局域網安全標準：WAPI

WAPI，即無線局域網鑒別和保密基礎結構（WLANAuthenticationandPrivacy Infrastructure）是中國境內惟一合法的無線網絡技術標準。WAPI采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護，旨在徹底扭轉目前WLAN采用多種安全機制并存且互不兼容的現狀，從根本上解決安全問題和兼容性問題。優秀的認證和安全機制使WAPI非常適合于運營商的PWLAN運營。

WAPI由無線局域網鑒別基礎結構（WLANAuthenticationInfrastructure，簡稱WAI）和無線局域網保密基礎結構（WLANPrivacy Infrastructure，簡稱WPI）兩部分組成，WAI和WPI分別實現對用戶身份的鑒別和對傳輸數據的加密。其中，WAI采用公開密鑰密碼體制，利用公鑰證書來對WLAN系統中的STA和AP進行認證。WAI定義了一種名為認證服務單元ASU（Authentication Service Unit）的實體，用于管理參與信息交換各方所需要的證書（包括證書的產生、頒發、吊銷和更新）。證書里面包含有證書頒發者（ASU）的公鑰和簽名以及證書持有者的公鑰和簽名（這里的簽名采用的是WAPI特有的橢圓曲線數字簽名算法），是網絡設備的數字身份憑證。WPI采用對稱密碼算法實現對MAC層MSDU的加、解密操作。

WAPI整個系統由移動終端MT（MobileTerminal）、AP和認證服務單元ASU組成；其中，ASU完成認證機構CA（CertificateAuthority）的功能，負責證書的發放、驗證與吊銷等；移動終端MT與AP上都安裝有ASU發放的公鑰證書，作為自己的數字身份憑證。當MT登錄至無線接入點AP時，在使用或訪問網絡之前必須通過ASU進行雙向身份驗證。根據驗證的結果，只有持有合法證書的移動終端MT才能接入持有合法證書的無線接入點AP。這樣不僅可以防止非法移動終端MT接入AP而訪問網絡并占用網絡資源，而且還可以防止移動終端MT登錄至非法AP而造成信息泄漏。

4、無線局域網安全測試

運營級無線局域網安全測試系統主要包括以下設備：

●端站（Station，簡稱STA）

端站STA是無線局域網中的數字鏈路終端設備，可以通過不用接口接入或嵌入到數字終端設備中，如PC、PDA或手持式終端設備。

●接入點（AccessPoint，簡稱AP）

無線接入點AP下行通過標準的空中接口協議于STA通信，而上行通過有線網絡進行數據的分發，從而達到無線網絡與有線網絡的互通。

●接入控制器（AccessController，簡稱AC）

接入控制器AC相當于無線局域網與傳送網之間的網關，將來自不同AP的數據進行業務匯聚，反之將來自業務網的數據分發到不同AP，此外還負責用戶的接入認證功能，執行AAA代理功能。

●AAA服務器

AAA服務器是實現認證、授權和計費（AAA，Authentication，Authorization&Accounting）功能的網絡服務器。認證服務器保存用戶的認證信息和相關屬性，當接收到認證申請時，支持在數據庫中對用戶數據的查詢。在認證完成后，授權服務器根據用戶信息授權用戶具有不同的屬性。計費服務器完成用戶計費信息的處理，并根據用戶簽約信息中的計費屬性，實現預付費、后付費業務等。

目前的AAA服務器主要為支持Radius協議的服務器，未來還可以采用Diameter協議。

●Portal服務器

Portal服務器即門戶服務器，與AC配合共同完成無線局域網用戶門戶網站頁面的推送，提供Portal業務。

●管理服務器

管理服務器主要負責實現無線局域網的網絡管理功能，包括配置管理、故障管理、性能管理、安全管理等。

測試系統主要由熱點地區的無線局域網接入網絡和后臺的服務系統組成，其中，接入網絡主要由接入點AP和接入控制器AC構成，而后臺服務系統完成認證、計費、應用服務和網管等功能。同時由于目前還存在基于七號信令網的SIM認證，因此系統中還包含鑒權服務器AS和用戶數據庫HLR/Auc。認證中心的主要設備是Radius服務器，用來存儲用戶的身份信息，并完成用戶的認證和鑒權等功能。計費中心則主要完成用戶的計費功能。應用服務器可為用戶提供WWW，FTP等多種應用服務。網管中心則實現無線局域網的配置、安全、性能等多方面的管理，保障無線局域網的可靠運行。

5、結束語

無線局域網目前正處于蓬勃發展時期，而無線局域網的安全問題也是業界尤為關注的焦點之一。只有在現有的無線局域網安全框架基礎上，運用相關的關鍵技術搭建一個增強的、有足夠安全性的無線局域網，才能推動無線局域網的實際應用，尤其是在企業、機關等重要部門中的使用。也只有這樣，無線局域網才能安全順利地與其他有線網絡、無線網絡乃至3G網絡實現互聯互通，并發揮其巨大的潛力。