從WAPI看無(wú)線局域網(wǎng)安全協(xié)議

1、從WAPI看無(wú)線局域網(wǎng)安全協(xié)議摘要： 本文從無(wú)線局域網(wǎng)標(biāo)準(zhǔn)、無(wú)線局域網(wǎng)安全協(xié)議、中國(guó)宣布的WAPI標(biāo)準(zhǔn)等方面,詳細(xì)地介紹了無(wú)線局域網(wǎng)安全協(xié)議。關(guān)鍵詞：無(wú)線局域網(wǎng)；標(biāo)準(zhǔn)；安全協(xié)議；WAPI1 引言 隨著無(wú)線通信技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，無(wú)線局域網(wǎng)因介入的靈活性及其架構(gòu)的方便性而得到迅猛發(fā)展。但無(wú)線局域網(wǎng)的安全問(wèn)題也成為了當(dāng)前發(fā)展無(wú)線網(wǎng)絡(luò)產(chǎn)業(yè)的最大問(wèn)題之一。 從最初利用ESSID、MAC限制，防止非法無(wú)線設(shè)備入侵的訪問(wèn)控制，到基于WEP數(shù)據(jù)加密的解決方案，再到即將成為新標(biāo)準(zhǔn)的802.11i，以及從2003年12月1日起我國(guó)開始施行的WLAN產(chǎn)品的新標(biāo)準(zhǔn)WAPI（無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)），無(wú)

2、線網(wǎng)絡(luò)安全技術(shù)在很大的程度上已經(jīng)得到了改善，即使這樣，但要真正構(gòu)建端到端的安全無(wú)線網(wǎng)絡(luò)還任重道遠(yuǎn)。在介紹無(wú)線局域網(wǎng)安全協(xié)議之前，首先簡(jiǎn)要介紹無(wú)線局域網(wǎng)的主要標(biāo)準(zhǔn)。 2、無(wú)線局域網(wǎng)的標(biāo)準(zhǔn) 在眾多的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)中，人們知道最多的是IEEE（美國(guó)電子電氣工程師協(xié)會(huì)）802.11系列，此外制定WLAN標(biāo)準(zhǔn)的組織還有ETSI（歐洲電信標(biāo)準(zhǔn)化組織）和HomeRF工作組，ETSI提出的標(biāo)準(zhǔn)有HiperLan和HiperLan2，HomeRF工作組的兩個(gè)標(biāo)準(zhǔn)是HomeRF和HomeRF2。在這三家組織所制定的標(biāo)準(zhǔn)中，IEEE的802.11標(biāo)準(zhǔn)系列由于它的以太網(wǎng)標(biāo)準(zhǔn)802.3在業(yè)界的影響力使得在業(yè)界一直得到最

3、廣泛的支持，尤其在數(shù)據(jù)業(yè)務(wù)上。ETSI是一個(gè)歐洲組織，因此一直得到歐洲政府的支持，很多運(yùn)營(yíng)商也都很尊重它的GSM和UMTS蜂窩電話標(biāo)準(zhǔn)，它在制定WLAN標(biāo)準(zhǔn)的時(shí)候更加關(guān)注語(yǔ)音業(yè)務(wù)。HomeRF作為一種為家庭網(wǎng)絡(luò)專門設(shè)計(jì)的標(biāo)準(zhǔn)在業(yè)界也有一定的影響力。下面就這幾個(gè)組織的標(biāo)準(zhǔn)逐一進(jìn)行介紹。 2.1 IEEE的802.11標(biāo)準(zhǔn)系列 802.11是IEEE最初制定的一個(gè)無(wú)線局域網(wǎng)標(biāo)準(zhǔn)，主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶與用戶終端的無(wú)線接入，業(yè)務(wù)主要限于數(shù)據(jù)存取，速率最高只能達(dá)到2Mbps。目前，3Com等公司都有基于該標(biāo)準(zhǔn)的無(wú)線網(wǎng)卡。 由于802.11在速率和傳輸距離上都不能滿足人們的需要，因此，I

4、EEE小組又相繼推出了802.11b和802.11a兩個(gè)新標(biāo)準(zhǔn)。3者之間技術(shù)上的主要差別在于MAC子層和物理層。 802.11b物理層支持5.5Mpbs和11Mpbs兩個(gè)新速率。802.11標(biāo)準(zhǔn)在擴(kuò)頻時(shí)是一個(gè)11位調(diào)制芯片，而802.11b標(biāo)準(zhǔn)采用一種新的調(diào)制技術(shù)CCK完成。 802.11b使用動(dòng)態(tài)速率漂移，可因環(huán)境變化，在11Mbps、5.5Mbps、2Mbps、1Mbps之間切換，且在2Mbps、1Mbps速率時(shí)與802.11兼容。802.11b的產(chǎn)品普及率最高，在眾多的標(biāo)準(zhǔn)中處于先導(dǎo)地位。 藍(lán)牙（IEEE 802.15）是一項(xiàng)最新標(biāo)準(zhǔn)，對(duì)于802.11來(lái)說(shuō)，它的出現(xiàn)不是為了競(jìng)爭(zhēng)而是相互補(bǔ)

5、充。藍(lán)牙802.11更具移動(dòng)性，比如，802.11限制在辦公室和校園內(nèi)，藍(lán)牙能把1個(gè)設(shè)備連接到LAN到WAN，甚至支持全球漫游。此外，藍(lán)牙成本低、體積小，可用于更多的設(shè)備。但是，藍(lán)牙主要是點(diǎn)對(duì)點(diǎn)的短距離無(wú)線發(fā)送技術(shù)，本質(zhì)上要么是RF要么是紅外線。而且，藍(lán)牙被設(shè)計(jì)居低功耗、短距離、低帶寬的應(yīng)用，嚴(yán)格來(lái)講，不算是真正的局域網(wǎng)技術(shù)。 2.2 ETSI的HiperLan2 HiperLan是歐盟在1992年提出的一個(gè)WLAN標(biāo)準(zhǔn)，HiperLan2是它的后續(xù)版本，HiperLan2部分建立在GSM基礎(chǔ)上，使用頻段為5GHz。在物理層上HiperLan2和802.11a幾乎完全相同：它采用OFDM技術(shù)，

6、最大數(shù)據(jù)速率為54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太網(wǎng)基礎(chǔ)上的，而是采用的TDMA結(jié)構(gòu)，形成是一個(gè)面向連接的網(wǎng)絡(luò)，HiperLan2的面向連接的特性使它很容易滿足QoS要求，可以為每個(gè)連接分配一個(gè)指定的QoS，確定這個(gè)連接在帶寬、延遲、擁塞、比特錯(cuò)誤率等方面的要求。這種QoS支持與高傳輸速率一起保證了不同的數(shù)據(jù)序列（如視頻、話音和數(shù)據(jù)等）可以同時(shí)進(jìn)行高速傳輸。 2.3 HomeRF 顧名思義，HomeRF是為家庭網(wǎng)絡(luò)設(shè)計(jì)的（RF意思是射頻），是一種將家中的PC和用戶電子設(shè)備之間實(shí)現(xiàn)無(wú)線數(shù)字通信的開放性工業(yè)標(biāo)準(zhǔn)，所用波段為2.4GHz。它是基于原始的802.

7、11的FHSS版本，但其推廣一直不力，目前已基本退出歷史舞臺(tái)。 3、無(wú)線局域網(wǎng)安全協(xié)議 3.1 WEP協(xié)議 IEEE802.11標(biāo)準(zhǔn)中的WEP（Wired Equivalent Privacy）協(xié)議是IEEE802.11b協(xié)議中最基本的無(wú)線安全加密措施，其主要用途包括提供接入控制，防止未授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)；對(duì)數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被攻擊者竊聽；防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造。此外，WEP也提供認(rèn)證功能，當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP時(shí)，AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì)，如果正確無(wú)誤，才能獲準(zhǔn)存取網(wǎng)絡(luò)的

8、資源。AboveCable所有型號(hào)的AP都支持64位或（與）128位的靜態(tài)WEP加密，有效地防止數(shù)據(jù)被竊聽盜用。 該技術(shù)適合一些小型企業(yè)、家庭用戶等小型環(huán)境的無(wú)線網(wǎng)絡(luò)應(yīng)用，無(wú)需額外的設(shè)備支出，配置方便。但在無(wú)線行業(yè)應(yīng)用中，基于WEP加密技術(shù)的安全缺陷飽受非議，因針對(duì)WEP數(shù)據(jù)包加密已有破譯的方法，且使用這一方法破解WEP密鑰的工具可以在互聯(lián)網(wǎng)上免費(fèi)下載。相應(yīng)的，替代WEP的WPA標(biāo)準(zhǔn)已于2002年下半年出臺(tái)了，通過(guò)暫時(shí)密鑰集成協(xié)議（TKIP）增強(qiáng)了數(shù)據(jù)加密，提高無(wú)線網(wǎng)絡(luò)的安全特性。 3.2 IEEE 802.11i安全標(biāo)準(zhǔn) IEEE 802.11的i工作組致力于制訂被稱為IEEE 802.11

9、i的新一代安全標(biāo)準(zhǔn)，這種安全標(biāo)準(zhǔn)為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了RSN（Robust Security Network）的概念，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。 IEEE 802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP（Temporal Key Integrity Protocol）、CCMP（CounterModeCBCMAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過(guò)在現(xiàn)有的設(shè)備上升

10、級(jí)固件和驅(qū)動(dòng)程序的方法達(dá)到提高WLAN安全的目的。CCMP機(jī)制基于AES（Advanced Encryption Standard）加密算法和CCM（CounterModeCBCMAC）認(rèn)證方式，使得WLAN的安全程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。由于AES對(duì)硬件要求比較高，因此CCMP無(wú)法通過(guò)在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級(jí)實(shí)現(xiàn)。 3.3 WAPI協(xié)議 我國(guó)早在2003年5月份就提出了無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn) GB15629.11 ，這是目前我國(guó)在這一領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議。標(biāo)準(zhǔn)中包含了全新的WAPI（WLAN Authentication and Privacy Infrastructure）安

11、全機(jī)制，這種安全機(jī)制由 WAI（WLAN Authentication Infrastructure）和WPI（WLAN Privacy Infrastructure）兩部分組成，WAI和WPI分別實(shí)現(xiàn)對(duì)用戶身份的鑒別和對(duì)傳輸?shù)臄?shù)據(jù)加密。WAPI能為用戶的WLAN系統(tǒng)提供全面的安全保護(hù)。WAPI安全機(jī)制包括兩個(gè)組成部分。 WAI采用公開密鑰密碼體制，利用證書來(lái)對(duì)WLAN系統(tǒng)中的STA和AP進(jìn)行認(rèn)證。WAI定義了一種名為ASU（Authentication Service Unit）的實(shí)體，用于管理參與信息交換各方所需要的證書（包括證書的產(chǎn)生、頒發(fā)、吊銷和更新）。證書里面包含有證書頒發(fā)者（ASU

12、）的公鑰和簽名以及證書持有者的公鑰和簽名（這里的簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法），是網(wǎng)絡(luò)設(shè)備的數(shù)字身份憑證。 在具體實(shí)現(xiàn)中，STA在關(guān)聯(lián)到AP之后，必須相互進(jìn)行身份鑒別。先由STA將自己的證書和當(dāng)前時(shí)間提交給AP，然后AP將STA的證書、提交時(shí)間和自己的證書一起用自己的私鑰形成簽名，并將這個(gè)簽名連同這三部分一起發(fā)給ASU。 所有的證書鑒別都由ASU來(lái)完成，當(dāng)其收到AP提交來(lái)的鑒別請(qǐng)求之后，會(huì)先驗(yàn)證AP的簽名和證書。當(dāng)鑒別成功之后，進(jìn)一步驗(yàn)證STA的證書。最后，ASU將STA的鑒別結(jié)果信息和AP的鑒別結(jié)果信息用自己的私鑰進(jìn)行簽名，并將這個(gè)簽名連同這兩個(gè)結(jié)果發(fā)回給AP。 由于會(huì)話密

13、鑰并沒有在信道上進(jìn)行傳輸，因此就增強(qiáng)了其安全性。為了進(jìn)一步提高通信的保密性，WAPI還規(guī)定，在通信一段時(shí)間或者交換一定數(shù)量的數(shù)據(jù)之后，STA和AP之間可以重新協(xié)商會(huì)話密鑰。WAPI采用對(duì)稱密碼算法實(shí)現(xiàn)對(duì)MAC層MSDU進(jìn)行的加、解密操作。WAPI標(biāo)準(zhǔn)將替代國(guó)際現(xiàn)行的WEP協(xié)議，原有標(biāo)準(zhǔn)因其安全性不理想，一直以來(lái)都為全球用戶所詬病。而采納了許多先進(jìn)技術(shù)的新標(biāo)準(zhǔn)，無(wú)疑為推動(dòng)國(guó)內(nèi)WLAN產(chǎn)業(yè)發(fā)展起到了積極的作用。同時(shí)，牽一發(fā)而動(dòng)全身的安全新標(biāo)準(zhǔn)，也已影響到電信產(chǎn)業(yè)鏈上的諸多環(huán)節(jié)，格局變幻暗流涌動(dòng)。但同時(shí)更為關(guān)鍵的是，由于WAPI協(xié)議提供了優(yōu)秀的認(rèn)證和安全機(jī)制，因此它非常適合于運(yùn)營(yíng)商的公眾無(wú)線局域網(wǎng)（

14、PWLAN）運(yùn)營(yíng)。這除了給現(xiàn)有運(yùn)營(yíng)商帶來(lái)利好之外，也極有可能因此衍生出更多的WLAN服務(wù)提供商。 三、無(wú)線局域網(wǎng)安全協(xié)議的比較與WAPI的前景。 WEP、IEEE 802.11i、WAPI三者之間的比較如表1所示： WEPIEEE 802.11i WAPI 認(rèn) 證特征 對(duì)硬件認(rèn)證，單向認(rèn)證。 無(wú)線用戶和 RADIUS 服務(wù)器認(rèn)證，雙向認(rèn)證，無(wú)線用戶身份通常為用戶名和口令。 無(wú)線用戶和無(wú)線接入點(diǎn)的認(rèn)證，雙向認(rèn)證，身份憑證為 公鑰數(shù)字證書。 性能 認(rèn)證過(guò)程簡(jiǎn)單 認(rèn)證過(guò)程復(fù)雜， RADIUS 服務(wù)器不易擴(kuò)充。 認(rèn)證過(guò)程簡(jiǎn)單，客戶端可支持多證書，方便用戶多處使用，充分保證其漫游功能，認(rèn)證單元易于擴(kuò)充，

15、支持用戶的異地接入。 安全漏洞 認(rèn)證易于偽造，降低了總安全性。 用戶身份憑證簡(jiǎn)單，易于盜取，共享密鑰管理存在安全隱患。 無(wú) 算法 開放式系統(tǒng)認(rèn)證，共享密 鑰 認(rèn)證。 未確定 192/224/256 位的橢圓曲線簽名算法。 安全強(qiáng)度 低 較高 最高 擴(kuò)展性 低 低 高 加 密算法 64 位的 WEP 流加密。 128 位的 WEP 流加密，128 位的 AES 加密算法。 認(rèn)證的分組加密。 密 鑰 靜態(tài) 動(dòng)態(tài)（基于用戶、基于認(rèn)證、通信過(guò)程中動(dòng)態(tài)更新） 動(dòng)態(tài)（基于用戶、基于認(rèn)證、通信過(guò)程中動(dòng)態(tài)更新） 安全強(qiáng)度 低 高 最高 中國(guó)法規(guī) 不符合 不符合符合表1 WEP、IEEE 802.11i、WAPI三者之間的比較 我國(guó)推出的WAPI無(wú)線局域網(wǎng)安全協(xié)議標(biāo)準(zhǔn)，由于理解上的差異遭到了多方面質(zhì)疑。一些業(yè)內(nèi)人士指出，由于新標(biāo)準(zhǔn)與先行標(biāo)準(zhǔn)差異較大，因此可能存在漫游及設(shè)備兼容等一些問(wèn)題，而且，一些對(duì)安全問(wèn)題并不敏感的用戶的使用成本也可能會(huì)增加。 事實(shí)上，這只是標(biāo)準(zhǔn)推出初期不可避免的問(wèn)題。而且據(jù)專家介紹，設(shè)備僅需要進(jìn)行簡(jiǎn)單的軟件升級(jí)即可達(dá)到規(guī)范要求，過(guò)程平滑。同時(shí)，若從WLAN產(chǎn)業(yè)長(zhǎng)期發(fā)展的角度這一代價(jià)也是完全值得的。 WAPI充分考慮了市場(chǎng)應(yīng)用，從應(yīng)用模式上可分為單點(diǎn)式和集中式兩種：?jiǎn)吸c(diǎn)式主要用于家庭和小型公司的小范圍應(yīng)用；集中式主要用于熱點(diǎn)地區(qū)和大型企業(yè)，可以和運(yùn)營(yíng)商