田 雪

（中國電信黑龍江省哈爾濱市電信分公司，黑龍江 哈爾濱 150000）

WLAN技術(shù)標準制定者IEEE 802.11工作組從一開始就把安全作為關(guān)鍵的課題。最初的IEEE 802.11-1999協(xié)議所定義的WEP機制(WEP本意是"等同有線的安全")存在諸多缺陷，所以IEEE 802.11在2002年迅速成立了802.11i工作組，提出了AES-CCM等安全機制。此外，我國國家標準化組織針對802.11和802.11i標準中的不足對現(xiàn)有的WLAN安全標準進行了改進，制定了WAPI標準。

1 IEEE 802.11-1999安全標準

IEEE 802.11-1999把WEP機制作為安全的核心內(nèi)容，包括了：

1.1 身份認證采用Open system認證和共享密鑰認證，前者無認證可言，后者容易造成密鑰被竊取;

1.2 數(shù)據(jù)加密采用RC4算法

加密密鑰長度有64位和128位兩種，其中有24Bit的IV是由WLAN系統(tǒng)自動產(chǎn)生的，需要在AP和Station上配置的密鑰就只有40位或104位。RC4并不是很弱的加密算法，安全的漏洞在于IV。IV存在的目的是要破壞加密結(jié)果的規(guī)律，實現(xiàn)每次加密的結(jié)果都不同，但是長度太短了。在流量較大的網(wǎng)絡(luò)，IV值很容易出現(xiàn)被重用。

1.3 完整性校驗采用了ICV

802.11 報文中定義了ICV域，發(fā)送者使用(CRC-32)checksum算法計算報文的ICV,附加在MSDU后，ICV和MSDU一起被加密保護。接收者解密報文后，將本地計算的CRC-32結(jié)果和ICV進行比較，如果不一致，則可以判定發(fā)生了報文篡改。CRC-32算法本身很弱，可以通過bit-flipping attack篡改報文，而讓接收者無法察覺。

1.4 密鑰管理不支持動態(tài)協(xié)商，密鑰只能靜態(tài)配置，完全不適合企業(yè)等大規(guī)模部署場景。

2 中國WAPI安全標準

針對WLAN安全問題，中國制定了自己的WLAN安全標準：WAPI。與其它WLAN安全體制相比，WAPI認證的優(yōu)越性集中體現(xiàn)在以下幾個方面：

2.1 支持雙向鑒別在WAPI安全體制下，STA和AP處于對等的地位，二者均具有驗證使用的獨立身份，在公信的第三方AS控制下相互進行鑒別：AP可以驗證STA的合法性;而STA同樣也可以驗證AP的合法性。這種雙向鑒別機制既可防止假冒的STA接入WLAN網(wǎng)絡(luò)，同時也可杜絕假冒的AP提供非法接入服務(wù)。而在其它WLAN安全體制下，只能實現(xiàn)AP對STA的單向鑒別。

2.2 使用數(shù)字證書WAPI使用數(shù)字證書作為用戶身份憑證，在方便了安全管理的同時也提升了WLAN網(wǎng)絡(luò)的安全性。當STA或AP退出或加入WLAN網(wǎng)絡(luò)時，只需吊銷其證書或頒發(fā)新證書即可，這些操作均可在證書服務(wù)器上完成，管理非常方便。而其它WLAN安全機制則多使用用戶名和口令作為用戶的身份憑證，易被盜用。

通常入侵檢測系統(tǒng)主要提供如下功能：

2.2.1 非法AP檢測

可以自動監(jiān)測非法設(shè)備(例如Rouge AP，或者Ad Hoc無線終端)，并適時上報網(wǎng)管中心，同時對非法設(shè)備的攻擊可以進行自動防護，最大程度地保護無線網(wǎng)絡(luò)。

2.2.2 白名單功能

支持靜態(tài)配置白名單功能，該功能一旦啟用，只有白名單上的無線用戶才被認為是合法用戶，其他非法用戶的報文全部在AP上被丟棄，從而減少非法報文對無線網(wǎng)絡(luò)的沖擊。

2.2.3 黑名單功能

支持靜態(tài)配置黑名單和動態(tài)黑名單功能，用戶可以通過配置方式或者設(shè)備實時檢測偵聽的方式來確定設(shè)備是否被加入黑名單，被加入到黑名單中的設(shè)備發(fā)過來的報文全部在AP上丟棄，從而減少攻擊報文對無線網(wǎng)絡(luò)的沖擊。

2.2.4 無線協(xié)議攻擊防御

隨著無線網(wǎng)絡(luò)的大規(guī)模部署，如何將無線安全技術(shù)和現(xiàn)有成熟的有線安全技術(shù)有機地結(jié)合起來形成一套一體化的安全系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)建設(shè)者關(guān)注的焦點。從網(wǎng)絡(luò)發(fā)展來看，有線和無線網(wǎng)絡(luò)融合是未來網(wǎng)絡(luò)發(fā)展的趨勢，無線網(wǎng)絡(luò)安全也會從原有的單純強調(diào)無線網(wǎng)絡(luò)內(nèi)的安全逐漸演化為關(guān)注有線無線一體化安全。

3 以下分別進行分析

當前業(yè)界已經(jīng)有越來越多的廠商在現(xiàn)有的有線交換設(shè)備上集成無線交換功能、防火墻功能、入侵檢測功能、VPN功能。通過在機架式設(shè)備上安插不同的安全業(yè)務(wù)插卡，用戶可以將安全業(yè)務(wù)和交換設(shè)備無縫融合，可以檢測從有線和WLAN接入層到應(yīng)用層的多層協(xié)議，實現(xiàn)高度集成化的有線無線一體化安全解決方案。

這些安全業(yè)務(wù)插卡往往采用電信級硬件平臺，通過多內(nèi)核系統(tǒng)實現(xiàn)核心企業(yè)用戶對安全設(shè)備線性處理能力的需求，實現(xiàn)用戶網(wǎng)絡(luò)安全的深度防護。

3.1 基于一體化的安全架構(gòu)，在應(yīng)用層、IP層可以支持：

3.1.1 增強型狀態(tài)安全過濾：支持ASPF應(yīng)用層報文過濾協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對 FTP、HTTP、SMTP、RTSP、H.323 應(yīng)用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應(yīng)用的狀態(tài)監(jiān)控。

3.1.2 抗攻擊防范能力：包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能等;支持智能防范蠕蟲病毒技術(shù)。

3.1.3 應(yīng)用層內(nèi)容過濾：可以有效識別和控制網(wǎng)絡(luò)中的各種P2P模式的應(yīng)用，并且對這些應(yīng)用采取限流的控制措施，有效保護網(wǎng)絡(luò)帶寬;能夠識別和控制IM協(xié)議，如QQ、MSN等;支持郵件過濾，提供SMTP郵件地址、標題、附件和內(nèi)容過濾;支持網(wǎng)頁過濾，提供HTTP URL和內(nèi)容過濾;支持應(yīng)用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

3.1.4 集中管理與審計：提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。

一體化端點準入

在實際網(wǎng)絡(luò)應(yīng)用中，新的安全威脅不斷涌現(xiàn)，病毒和蠕蟲日益肆虐，其自我繁殖的本性使其對網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴大，經(jīng)常引起系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓，使用戶蒙受嚴重損失。任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力、補丁級別和系統(tǒng)安全設(shè)置)，都將直接影響到整個網(wǎng)絡(luò)的安全。

有線無線接入控制統(tǒng)一管理

早期的無線網(wǎng)絡(luò)往往獨立于有線網(wǎng)絡(luò)建設(shè)和管理，網(wǎng)絡(luò)維護者往往要維護兩套獨立的認證系統(tǒng)，維護工作量大。用戶需要記住兩套賬號密碼使用，便利性差。有線無線統(tǒng)一認證系統(tǒng)可以既讓無線和有線用戶的認證共用802.1x、計費等多種公共服務(wù)，又可以實現(xiàn)對無線業(yè)務(wù)特有服務(wù)策略的控制，如基于無線SSID的控制用戶接入，實現(xiàn)對有線、無線用戶的統(tǒng)一管理，大大簡化維護成本。

有線無線安全一體化代表了WLAN安全的最新發(fā)展方向，可以實現(xiàn)有線接入層到應(yīng)用層、WLAN接入層到應(yīng)用層、無線和有線終端準入、及無線和有線用戶統(tǒng)一認證的統(tǒng)一管理和控制。

[1][IEEE.802-11.2007]"Information technology-Telecommunications and information exchange between systems - Local and metropolitan area networks- Specific requirements-Part 11:Wireless LAN Medium Access Control (MAC)and Physical Layer(PHY)specifications",IEEE Standard 802.11,2007,

[2]WAPI實施指南 作者：寬帶無線IP標準工作組