WLAN一體化安全簡析

田 雪

（中國電信黑龍江省哈爾濱市電信分公司，黑龍江 哈爾濱 150000）

WLAN技術標準制定者IEEE 802.11工作組從一開始就把安全作為關鍵的課題。最初的IEEE 802.11-1999協(xié)議所定義的WEP機制(WEP本意是"等同有線的安全")存在諸多缺陷，所以IEEE 802.11在2002年迅速成立了802.11i工作組，提出了AES-CCM等安全機制。此外，我國國家標準化組織針對802.11和802.11i標準中的不足對現(xiàn)有的WLAN安全標準進行了改進，制定了WAPI標準。

1 IEEE 802.11-1999安全標準

IEEE 802.11-1999把WEP機制作為安全的核心內(nèi)容，包括了：

1.1 身份認證采用Open system認證和共享密鑰認證，前者無認證可言，后者容易造成密鑰被竊取;

1.2 數(shù)據(jù)加密采用RC4算法

加密密鑰長度有64位和128位兩種，其中有24Bit的IV是由WLAN系統(tǒng)自動產(chǎn)生的，需要在AP和Station上配置的密鑰就只有40位或104位。RC4并不是很弱的加密算法，安全的漏洞在于IV。IV存在的目的是要破壞加密結果的規(guī)律，實現(xiàn)每次加密的結果都不同，但是長度太短了。在流量較大的網(wǎng)絡，IV值很容易出現(xiàn)被重用。

1.3 完整性校驗采用了ICV

802.11 報文中定義了ICV域，發(fā)送者使用(CRC-32)checksum算法計算報文的ICV,附加在MSDU后，ICV和MSDU一起被加密保護。接收者解密報文后，將本地計算的CRC-32結果和ICV進行比較，如果不一致，則可以判定發(fā)生了報文篡改。CRC-32算法本身很弱，可以通過bit-flipping attack篡改報文，而讓接收者無法察覺。

1.4 密鑰管理不支持動態(tài)協(xié)商，密鑰只能靜態(tài)配置，完全不適合企業(yè)等大規(guī)模部署場景。

2 中國WAPI安全標準

針對WLAN安全問題，中國制定了自己的WLAN安全標準：WAPI。與其它WLAN安全體制相比，WAPI認證的優(yōu)越性集中體現(xiàn)在以下幾個方面：

2.1 支持雙向鑒別在WAPI安全體制下，STA和AP處于對等的地位，二者均具有驗證使用的獨立身份，在公信的第三方AS控制下相互進行鑒別：AP可以驗證STA的合法性;而STA同樣也可以驗證AP的合法性。這種雙向鑒別機制既可防止假冒的STA接入WLAN網(wǎng)絡，同時也可杜絕假冒的AP提供非法接入服務。而在其它WLAN安全體制下，只能實現(xiàn)AP對STA的單向鑒別。

2.2 使用數(shù)字證書WAPI使用數(shù)字證書作為用戶身份憑證，在方便了安全管理的同時也提升了WLAN網(wǎng)絡的安全性。當STA或AP退出或加入WLAN網(wǎng)絡時，只需吊銷其證書或頒發(fā)新證書即可，這些操作均可在證書服務器上完成，管理非常方便。而其它WLAN安全機制則多使用用戶名和口令作為用戶的身份憑證，易被盜用。

通常入侵檢測系統(tǒng)主要提供如下功能：

2.2.1 非法AP檢測

可以自動監(jiān)測非法設備(例如Rouge AP，或者Ad Hoc無線終端)，并適時上報網(wǎng)管中心，同時對非法設備的攻擊可以進行自動防護，最大程度地保護無線網(wǎng)絡。

2.2.2 白名單功能

支持靜態(tài)配置白名單功能，該功能一旦啟用，只有白名單上的無線用戶才被認為是合法用戶，其他非法用戶的報文全部在AP上被丟棄，從而減少非法報文對無線網(wǎng)絡的沖擊。

2.2.3 黑名單功能

支持靜態(tài)配置黑名單和動態(tài)黑名單功能，用戶可以通過配置方式或者設備實時檢測偵聽的方式來確定設備是否被加入黑名單，被加入到黑名單中的設備發(fā)過來的報文全部在AP上丟棄，從而減少攻擊報文對無線網(wǎng)絡的沖擊。

2.2.4 無線協(xié)議攻擊防御

隨著無線網(wǎng)絡的大規(guī)模部署，如何將無線安全技術和現(xiàn)有成熟的有線安全技術有機地結合起來形成一套一體化的安全系統(tǒng)已經(jīng)成為網(wǎng)絡建設者關注的焦點。從網(wǎng)絡發(fā)展來看，有線和無線網(wǎng)絡融合是未來網(wǎng)絡發(fā)展的趨勢，無線網(wǎng)絡安全也會從原有的單純強調(diào)無線網(wǎng)絡內(nèi)的安全逐漸演化為關注有線無線一體化安全。

3 以下分別進行分析

當前業(yè)界已經(jīng)有越來越多的廠商在現(xiàn)有的有線交換設備上集成無線交換功能、防火墻功能、入侵檢測功能、VPN功能。通過在機架式設備上安插不同的安全業(yè)務插卡，用戶可以將安全業(yè)務和交換設備無縫融合，可以檢測從有線和WLAN接入層到應用層的多層協(xié)議，實現(xiàn)高度集成化的有線無線一體化安全解決方案。

這些安全業(yè)務插卡往往采用電信級硬件平臺，通過多內(nèi)核系統(tǒng)實現(xiàn)核心企業(yè)用戶對安全設備線性處理能力的需求，實現(xiàn)用戶網(wǎng)絡安全的深度防護。

3.1 基于一體化的安全架構，在應用層、IP層可以支持：

3.1.1 增強型狀態(tài)安全過濾：支持ASPF應用層報文過濾協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對 FTP、HTTP、SMTP、RTSP、H.323 應用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應用的狀態(tài)監(jiān)控。

3.1.2 抗攻擊防范能力：包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能等;支持智能防范蠕蟲病毒技術。

3.1.3 應用層內(nèi)容過濾：可以有效識別和控制網(wǎng)絡中的各種P2P模式的應用，并且對這些應用采取限流的控制措施，有效保護網(wǎng)絡帶寬;能夠識別和控制IM協(xié)議，如QQ、MSN等;支持郵件過濾，提供SMTP郵件地址、標題、附件和內(nèi)容過濾;支持網(wǎng)頁過濾，提供HTTP URL和內(nèi)容過濾;支持應用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

3.1.4 集中管理與審計：提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。

一體化端點準入

在實際網(wǎng)絡應用中，新的安全威脅不斷涌現(xiàn)，病毒和蠕蟲日益肆虐，其自我繁殖的本性使其對網(wǎng)絡的破壞程度和范圍持續(xù)擴大，經(jīng)常引起系統(tǒng)崩潰、網(wǎng)絡癱瘓，使用戶蒙受嚴重損失。任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力、補丁級別和系統(tǒng)安全設置)，都將直接影響到整個網(wǎng)絡的安全。

有線無線接入控制統(tǒng)一管理

早期的無線網(wǎng)絡往往獨立于有線網(wǎng)絡建設和管理，網(wǎng)絡維護者往往要維護兩套獨立的認證系統(tǒng)，維護工作量大。用戶需要記住兩套賬號密碼使用，便利性差。有線無線統(tǒng)一認證系統(tǒng)可以既讓無線和有線用戶的認證共用802.1x、計費等多種公共服務，又可以實現(xiàn)對無線業(yè)務特有服務策略的控制，如基于無線SSID的控制用戶接入，實現(xiàn)對有線、無線用戶的統(tǒng)一管理，大大簡化維護成本。

有線無線安全一體化代表了WLAN安全的最新發(fā)展方向，可以實現(xiàn)有線接入層到應用層、WLAN接入層到應用層、無線和有線終端準入、及無線和有線用戶統(tǒng)一認證的統(tǒng)一管理和控制。

[1][IEEE.802-11.2007]"Information technology-Telecommunications and information exchange between systems - Local and metropolitan area networks- Specific requirements-Part 11:Wireless LAN Medium Access Control (MAC)and Physical Layer(PHY)specifications",IEEE Standard 802.11,2007,

[2]WAPI實施指南 作者：寬帶無線IP標準工作組