田 雪

（中国电信黑龙江省哈尔滨市电信分公司，黑龙江 哈尔滨 150000）

WLAN技术标准制定者IEEE 802.11工作组从一开始就把安全作为关键的课题。最初的IEEE 802.11-1999协议所定义的WEP机制(WEP本意是"等同有线的安全")存在诸多缺陷，所以IEEE 802.11在2002年迅速成立了802.11i工作组，提出了AES-CCM等安全机制。此外，我国国家标准化组织针对802.11和802.11i标准中的不足对现有的WLAN安全标准进行了改进，制定了WAPI标准。

1 IEEE 802.11-1999安全标准

IEEE 802.11-1999把WEP机制作为安全的核心内容，包括了：

1.1 身份认证采用Open system认证和共享密钥认证，前者无认证可言，后者容易造成密钥被窃取;

1.2 数据加密采用RC4算法

加密密钥长度有64位和128位两种，其中有24Bit的IV是由WLAN系统自动产生的，需要在AP和Station上配置的密钥就只有40位或104位。RC4并不是很弱的加密算法，安全的漏洞在于IV。IV存在的目的是要破坏加密结果的规律，实现每次加密的结果都不同，但是长度太短了。在流量较大的网络，IV值很容易出现被重用。

1.3 完整性校验采用了ICV

802.11 报文中定义了ICV域，发送者使用(CRC-32)checksum算法计算报文的ICV,附加在MSDU后，ICV和MSDU一起被加密保护。接收者解密报文后，将本地计算的CRC-32结果和ICV进行比较，如果不一致，则可以判定发生了报文篡改。CRC-32算法本身很弱，可以通过bit-flipping attack篡改报文，而让接收者无法察觉。

1.4 密钥管理不支持动态协商，密钥只能静态配置，完全不适合企业等大规模部署场景。

2 中国WAPI安全标准

针对WLAN安全问题，中国制定了自己的WLAN安全标准：WAPI。与其它WLAN安全体制相比，WAPI认证的优越性集中体现在以下几个方面：

2.1 支持双向鉴别在WAPI安全体制下，STA和AP处于对等的地位，二者均具有验证使用的独立身份，在公信的第三方AS控制下相互进行鉴别：AP可以验证STA的合法性;而STA同样也可以验证AP的合法性。这种双向鉴别机制既可防止假冒的STA接入WLAN网络，同时也可杜绝假冒的AP提供非法接入服务。而在其它WLAN安全体制下，只能实现AP对STA的单向鉴别。

2.2 使用数字证书WAPI使用数字证书作为用户身份凭证，在方便了安全管理的同时也提升了WLAN网络的安全性。当STA或AP退出或加入WLAN网络时，只需吊销其证书或颁发新证书即可，这些操作均可在证书服务器上完成，管理非常方便。而其它WLAN安全机制则多使用用户名和口令作为用户的身份凭证，易被盗用。

通常入侵检测系统主要提供如下功能：

2.2.1 非法AP检测

可以自动监测非法设备(例如Rouge AP，或者Ad Hoc无线终端)，并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。

2.2.2 白名单功能

支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AP上被丢弃，从而减少非法报文对无线网络的冲击。

2.2.3 黑名单功能

支持静态配置黑名单和动态黑名单功能，用户可以通过配置方式或者设备实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AP上丢弃，从而减少攻击报文对无线网络的冲击。

2.2.4 无线协议攻击防御

随着无线网络的大规模部署，如何将无线安全技术和现有成熟的有线安全技术有机地结合起来形成一套一体化的安全系统已经成为网络建设者关注的焦点。从网络发展来看，有线和无线网络融合是未来网络发展的趋势，无线网络安全也会从原有的单纯强调无线网络内的安全逐渐演化为关注有线无线一体化安全。

3 以下分别进行分析

当前业界已经有越来越多的厂商在现有的有线交换设备上集成无线交换功能、防火墙功能、入侵检测功能、VPN功能。通过在机架式设备上安插不同的安全业务插卡，用户可以将安全业务和交换设备无缝融合，可以检测从有线和WLAN接入层到应用层的多层协议，实现高度集成化的有线无线一体化安全解决方案。

这些安全业务插卡往往采用电信级硬件平台，通过多内核系统实现核心企业用户对安全设备线性处理能力的需求，实现用户网络安全的深度防护。

3.1 基于一体化的安全架构，在应用层、IP层可以支持：

3.1.1 增强型状态安全过滤：支持ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对 FTP、HTTP、SMTP、RTSP、H.323 应用层协议的状态监控，支持TCP/UDP应用的状态监控。

3.1.2 抗攻击防范能力：包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能等;支持智能防范蠕虫病毒技术。

3.1.3 应用层内容过滤：可以有效识别和控制网络中的各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽;能够识别和控制IM协议，如QQ、MSN等;支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤，提供HTTP URL和内容过滤;支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范。

3.1.4 集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。

一体化端点准入

在实际网络应用中，新的安全威胁不断涌现，病毒和蠕虫日益肆虐，其自我繁殖的本性使其对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪，使用户蒙受严重损失。任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置)，都将直接影响到整个网络的安全。

有线无线接入控制统一管理

早期的无线网络往往独立于有线网络建设和管理，网络维护者往往要维护两套独立的认证系统，维护工作量大。用户需要记住两套账号密码使用，便利性差。有线无线统一认证系统可以既让无线和有线用户的认证共用802.1x、计费等多种公共服务，又可以实现对无线业务特有服务策略的控制，如基于无线SSID的控制用户接入，实现对有线、无线用户的统一管理，大大简化维护成本。

有线无线安全一体化代表了WLAN安全的最新发展方向，可以实现有线接入层到应用层、WLAN接入层到应用层、无线和有线终端准入、及无线和有线用户统一认证的统一管理和控制。

[1][IEEE.802-11.2007]"Information technology-Telecommunications and information exchange between systems - Local and metropolitan area networks- Specific requirements-Part 11:Wireless LAN Medium Access Control (MAC)and Physical Layer(PHY)specifications",IEEE Standard 802.11,2007,

[2]WAPI实施指南 作者：宽带无线IP标准工作组