WLAN安全機制

冀文

（中國移動通信集團設計院有限公司，北京 100080）

近年來無線局域網（WLAN）的發展迅速, 伴隨而來的安全性問題日益受到人們的關注。無線局域網安全的最大問題在于無線通信設備是在自由空間中進行傳輸, 而不是像有線網絡那樣在一定的物理線纜上進行傳輸, 因此無法通過對傳輸媒介的接入控制來保證數據不會被未經授權的用戶獲取。同時，無線局域網固有的開放性，使得無線通信信息易被竊聽、截獲、篡改，網絡更容易受到敵手攻擊。所以，對于無線局域網來說，建立一套包含用戶安全認證、接入控制、數據加密的安全體制就顯得尤為重要。

1 無線局域網主要技術標準

無線局域網標準中，最著名的是IEEE 802.11系列，此外制定WLAN標準的組織還有ETSI(歐洲電信標準化組織)和HomeRF工作組。其中，IEEE的802.11標準系列由于對以太網標準802.3影響很大，而得到最廣泛的支持。

1.1 IEEE 802.11標準

IEEE 802.11是IEEE最初制定的一個無線局域網標準，于1997年11月正式發布，主要用于解決辦公室局域網和校園網中用戶終端的無線接入，業務主要限于數據存取，速率最高只能達到2Mbit/s，工作在2.4GHz開放頻段上。雖然存在傳輸速率慢，成本高等缺點，但這一標準是無線網絡技術發展的一個里程碑。

1.2 IEEE 802.11b標準

IEEE 802.11b標準仍然工作在2.4GHz頻段上，它是在IEEE 802.11標準的基礎上進行了擴充，其中最重要的改進就是在IEEE 802.1l的基礎上增加了兩種更高的通信速率5.5Mbit/s和11Mbit/s。因此有了IEEE 802.11b標準之后，移動用戶可以得到以太網的網絡性能、速率和可用性，管理者也可以無縫地將多種LAN技術集成起來，形成一種能夠最大限度地滿足用戶需求的網絡。

1.3 IEEE 802.11a標準

IEEE 802.11a工作在5GHz頻段上，1999年底被發布，物理速率可達54Mbit/s，傳輸層可達25Mbit/s。802.11a的另一項改進是采用了正交頻分復用（OFDM）編碼技術，但由于802.11a和802.11b工作在不同的頻段上，不能工作在同一AP網絡里，因此802.11a和802.11b互不兼容。

1.4 IEEE 802.11g標準

IEEE 802.11g構建在既有的IEEE 802.11b物理層與介質訪問控制層標準基礎之上，選擇工作在2.4GHz頻段，采用802.11a所使用的OFDM調制技術。這樣，把傳輸速率提高為54Mbit/s的同時，又保證了能夠與802.11b的Wi-Fi系統互相連通。 802.11g的兼容性和高數據速率彌補了802.11b和802.11a各自的缺陷，一方面使得802.11b產品可以平穩向高數據速率升級，滿足日益增加的帶寬要求，另一方面使得802.11a實現與802.11b的互通，克服了802.11a一直難以進入市場主流的尷尬。

2 WLAN的安全標準

目前比較流行的兩種無線網絡安全標準是802.11i和我國具有自主知識產權的無線局域網認證與保密基礎架構(WAPI，WLAN Authentication and Privacy Infrastructure)。

2.1 IEEE 802.11i標準

IEEE 802.11i是IEEE 802.11系列的最新增補，于2004年6月由IEEE發布,為了解決WLAN日益嚴峻的安全問題。IEEE 802.11i對WLAN的MAC層進行了修改與整合，其嚴格的加密格式和鑒權機制，增強了WLAN的安全性。IEEE 802.11i定義了Wi-Fi保護訪問WPA(Wi-Fi Protected Access)和強健安全網絡 RSN(Robust Secure Network)。IEEE 802.11i規定使用802.1x認證和密鑰管理方式，在數據加密方面，定 義 了 TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）3種加密機制。其中TKIP采用傳統WEP協議里的RC4流密碼作為核心加密算法，可以通過在現有設備上升級固件和驅動程序的方法達到提高WLAN安全性的目的。CCMP機制基于AES（Advanced Encryption Standard）加密算法和CCM認證方式，使得WLAN的安全程度大大提高，是實現RSN的強制性要求。由于AES對硬件要求比較高，因此CCMP無法通過在現有設備的基礎上進行升級實現。WRAP機制基于AES加密算法和OCB（Offset Codebook），是一種可選的加密機制。

IEEE 802.11i協議系統工作時, 先由無線接入點（AP）公布自身對系統的支持情況, 在詢問、響應等報文中使用新定義的安全配置信息。終端STA (Station)根據收到的信息選擇相應的安全配置, 并將所選擇的安全配置表示在其發出的特定報文中。通過這種方式可以STA與AP之間就實現了加密算法以及密鑰管理方式的協商。另外, 如果網絡中沒有RADIUS服務器作為認證服務器, STA與AP就會采用預共享密鑰(PSK，PreShare Key)的方式。STA通過802.1x身份驗證后，AP就會得到一個與STA相同的會話密鑰（SK，Session Key)，AP與STA將該SK作為共享主密鑰(PMK，Pairwise Master Key)。隨后AP與STA通過EAPOL-KEY報文進行4次握手，在這個過程中，AP和STA相互確認對方是否持有與自己一致的PMK, 若不一致, 4次握手過程就宣告失敗, 連接也因此中斷,反之建立連接。

2.2 WAPI

WAPI是我國首個在無線網絡通信領域自主創新并擁有知識產權的安全接入技術標準,它以802.11無線協議為基礎。

2.2.1 WAPI實現過程

WAPI協議由無線局域網鑒別基礎結構（WAI，WLAN Authentication Infrastructure）和無線局域網保密基礎結構（WPI，WLAN Privacy Infrastructure）兩部分構成。WAI是用于無線局域網中身份鑒別和密鑰管理的安全方案；WPI是用于無線局域網中數據傳輸保護的安全方案，包括數據加密、數據鑒別和重放保護等功能。

WAI采用公鑰密碼技術, 以證書的形式實現WLAN系統中STA與AP之間的相互鑒別, 這一過程實現在鏈路驗證和關聯過程之上。只有鑒別成功后,STA才能安全接入AP。WAI定義了名為證書頒發者ASU(Authentication Service Unit) 的實體, 用于管理參與信息交換各方所需要的證書(包括證書的產生、頒發、吊銷和更新)。證書是網絡設備的數字身份憑證，里面包含有ASU的公鑰和簽名以及證書持有者的公鑰和簽名，簽名采用WAPI特有的橢圓曲線數字簽名算法。

WAPI的工作過程是這樣的，STA關聯到AP之后,先由STA將自己的證書和當前時間提交給AP, 然后AP將STA的證書、提交的時間和自己的證書一起用自己的私鑰形成簽名, 并將這個簽名連同其它3個部分一起發給ASU。所有的證書鑒別都由ASU來完成,當其收到AP提交的鑒別請求之后, 首先驗證AP的簽名和證書。當鑒別成功之后,進一步驗證STA的證書。然后,ASU將STA的鑒別結果信息和AP的鑒別信息用自己的私鑰進行簽名, 并將這個簽名連同兩個鑒別結果發回給AP。AP對收到的結果進行簽名驗證,同時得到對STA的鑒別結果,根據這一結果判斷是否允許該STA接入。

同時，AP需要將ASU的驗證結果轉發給STA,STA也要對ASU的簽名進行驗證,并得到AP的鑒別結果, 根據這一結果來決定是否接入AP。當STA和AP之間的雙向認證都鑒別成功之后,雙方將會進行密鑰協商。首先雙方進行密鑰算法協商。隨后,STA和AP各自產生一個隨機數,用自己的私鑰加密之后傳輸給對方，然后雙方利用對方的公鑰將隨機數還原, 再將這兩個隨機數進行模2運算，結果作為會話密鑰,最后根據之前協商的算法以及產生的會話密鑰對雙方通信的數據進行加密。由于會話密鑰并沒有在信道上進行傳輸,因此就增強了其安全性。為了進一步提高通信的保密性,WAPI還規定, 在通信一段時間或者交換一定數量的數據之后,STA和AP之間可以重新協商會話密鑰。另外，WAPI是采用對稱密碼算法SMS4實現對MAC層MAC服務數據單元（MSDU）進行加、解密操作的。

2.2.2 WAPI的特點

WAPI采用國家密碼管理機構批準的公開密鑰體制橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實現了設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。它所具有的特點有：（1）高可靠性安全認證與保密體制，實現STA－AP雙向認證，集中式或分布集中式認證管理，靈活多樣的證書管理與分發體制，可控的會話動態密鑰，高強度的加密算法，可擴展或升級的全嵌入式認證與算法模塊，支持安全的越區切換；（2）在WAPI協議模式下，用戶只要安裝一張證書就可在覆蓋WLAN的不同地區漫游，方便用戶使用；（3）AP設置好證書后，無需再對后臺的服務器進行設置，安裝、組網便捷，易于擴展；（4）支持SNMP網絡管理。

2.2.3 WAPI面臨的現狀

2004年在國家發改委和國家密碼管理局等的支持下,中國在ISO/IEC JTC1/SC6內開展了推進WAPI成為國際標準的工作。作為我國在網絡安全接入技術領域第一個自主提出并且在計算機網絡通信領域第一個提交ISO/IEC進入到投票程序的標準，WAPI在國際標準推進進程中經歷了技術和國際規則的雙重考驗。2008年4月WAPI在SC6再次獲得啟動,進入到國際標準研究階段，2009年6月舉行的ISO/IEC JTC1/SC6東京全會上,包括SC6國家成員體一致同意將WAPI以獨立文本形式推進成為國際標準。由此，WAPI也成為無線計算機網絡通信無線局域網技術領域除IEEE標準組織之外，惟一由ISO/IEC國家成員體直接提交的國際標準提案。

同時，工信部出臺政策，“同時內置WAPI和Wi-Fi即可被受理檢測并獲得入網許可證”，不允許只具有Wi-Fi的手機上市，通過強制政策推動WAPI的商用化。2009年7月中國移動WLAN設備集中采購招標工作完成，WAPI設備市場占有率占招標總額的90%以上，面對市場的巨大需求，極少數持觀望態度的廠商，也已啟動了WAPI相關產品的研發。由此可見，借助Wi-Fi相對成熟的產業鏈，WAPI已經在國內市場成功突圍，其產業鏈也已初具雛形。中國移動與廈門政府合作的“無線城市”，即采用TD-SCDMA聯合WAPI的技術。這對當前各地興起的“無線城市”具有示范作用。電信運營商的加入必將加速WAPI的產業化，加速WAPI的技術積累和升級，從而加速WAPI前進的腳步。

表1 IEEE 802.11i和WAPI的比較

3 IEEE 802.11i和WAPI的比較

IEEE 802.11i和WAPI這兩個協議的主要目標都是要解決WLAN應用過程中的訪問控制安全性以及數據的機密性和完整性等問題，這兩種協議的對比情況如表1所示。

4 總結

目前在無線網絡技術體系中，無線網絡媒體訪問控制與“終端-基站”無線接口有關，與網絡側關聯不大；而安全接入/訪問控制技術則關系到全程全網，包括安全接入、安全性管理、安全運營計費等，其涉及范圍幾乎囊括了通信網絡產業鏈上的所有產品，具備可管理、可運營的特性。WAPI 作為我國自主研發的接入訪問控制層的關鍵技術，可以更好的保護傳輸數據的機密性和完整性，同時，在3G、4G領域，WAPI也正在端口安全訪問控制方面進行了積極的探索必將在未來的電信網絡管理中承擔重要責任。