WLAN一體化安全簡析

田 雪

（中國電信黑龍江省哈爾濱市電信分公司，黑龍江 哈爾濱 150000）

WLAN技術標準制定者IEEE 802.11工作組從一開始就把安全作為關鍵的課題。最初的IEEE 802.11-1999協議所定義的WEP機制(WEP本意是"等同有線的安全")存在諸多缺陷，所以IEEE 802.11在2002年迅速成立了802.11i工作組，提出了AES-CCM等安全機制。此外，我國國家標準化組織針對802.11和802.11i標準中的不足對現有的WLAN安全標準進行了改進，制定了WAPI標準。

1 IEEE 802.11-1999安全標準

IEEE 802.11-1999把WEP機制作為安全的核心內容，包括了：

1.1 身份認證采用Open system認證和共享密鑰認證，前者無認證可言，后者容易造成密鑰被竊取;

1.2 數據加密采用RC4算法

加密密鑰長度有64位和128位兩種，其中有24Bit的IV是由WLAN系統自動產生的，需要在AP和Station上配置的密鑰就只有40位或104位。RC4并不是很弱的加密算法，安全的漏洞在于IV。IV存在的目的是要破壞加密結果的規律，實現每次加密的結果都不同，但是長度太短了。在流量較大的網絡，IV值很容易出現被重用。

1.3 完整性校驗采用了ICV

802.11 報文中定義了ICV域，發送者使用(CRC-32)checksum算法計算報文的ICV,附加在MSDU后，ICV和MSDU一起被加密保護。接收者解密報文后，將本地計算的CRC-32結果和ICV進行比較，如果不一致，則可以判定發生了報文篡改。CRC-32算法本身很弱，可以通過bit-flipping attack篡改報文，而讓接收者無法察覺。

1.4 密鑰管理不支持動態協商，密鑰只能靜態配置，完全不適合企業等大規模部署場景。

2 中國WAPI安全標準

針對WLAN安全問題，中國制定了自己的WLAN安全標準：WAPI。與其它WLAN安全體制相比，WAPI認證的優越性集中體現在以下幾個方面：

2.1 支持雙向鑒別在WAPI安全體制下，STA和AP處于對等的地位，二者均具有驗證使用的獨立身份，在公信的第三方AS控制下相互進行鑒別：AP可以驗證STA的合法性;而STA同樣也可以驗證AP的合法性。這種雙向鑒別機制既可防止假冒的STA接入WLAN網絡，同時也可杜絕假冒的AP提供非法接入服務。而在其它WLAN安全體制下，只能實現AP對STA的單向鑒別。

2.2 使用數字證書WAPI使用數字證書作為用戶身份憑證，在方便了安全管理的同時也提升了WLAN網絡的安全性。當STA或AP退出或加入WLAN網絡時，只需吊銷其證書或頒發新證書即可，這些操作均可在證書服務器上完成，管理非常方便。而其它WLAN安全機制則多使用用戶名和口令作為用戶的身份憑證，易被盜用。

通常入侵檢測系統主要提供如下功能：

2.2.1 非法AP檢測

可以自動監測非法設備(例如Rouge AP，或者Ad Hoc無線終端)，并適時上報網管中心，同時對非法設備的攻擊可以進行自動防護，最大程度地保護無線網絡。

2.2.2 白名單功能

支持靜態配置白名單功能，該功能一旦啟用，只有白名單上的無線用戶才被認為是合法用戶，其他非法用戶的報文全部在AP上被丟棄，從而減少非法報文對無線網絡的沖擊。

2.2.3 黑名單功能

支持靜態配置黑名單和動態黑名單功能，用戶可以通過配置方式或者設備實時檢測偵聽的方式來確定設備是否被加入黑名單，被加入到黑名單中的設備發過來的報文全部在AP上丟棄，從而減少攻擊報文對無線網絡的沖擊。

2.2.4 無線協議攻擊防御

隨著無線網絡的大規模部署，如何將無線安全技術和現有成熟的有線安全技術有機地結合起來形成一套一體化的安全系統已經成為網絡建設者關注的焦點。從網絡發展來看，有線和無線網絡融合是未來網絡發展的趨勢，無線網絡安全也會從原有的單純強調無線網絡內的安全逐漸演化為關注有線無線一體化安全。

3 以下分別進行分析

當前業界已經有越來越多的廠商在現有的有線交換設備上集成無線交換功能、防火墻功能、入侵檢測功能、VPN功能。通過在機架式設備上安插不同的安全業務插卡，用戶可以將安全業務和交換設備無縫融合，可以檢測從有線和WLAN接入層到應用層的多層協議，實現高度集成化的有線無線一體化安全解決方案。

這些安全業務插卡往往采用電信級硬件平臺，通過多內核系統實現核心企業用戶對安全設備線性處理能力的需求，實現用戶網絡安全的深度防護。

3.1 基于一體化的安全架構，在應用層、IP層可以支持：

3.1.1 增強型狀態安全過濾：支持ASPF應用層報文過濾協議，支持對每一個連接狀態信息的維護監測并動態地過濾數據包，支持對 FTP、HTTP、SMTP、RTSP、H.323 應用層協議的狀態監控，支持TCP/UDP應用的狀態監控。

3.1.2 抗攻擊防范能力：包括多種DoS/DDoS攻擊防范、ARP欺騙攻擊的防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達報文控制功能等;支持智能防范蠕蟲病毒技術。

3.1.3 應用層內容過濾：可以有效識別和控制網絡中的各種P2P模式的應用，并且對這些應用采取限流的控制措施，有效保護網絡帶寬;能夠識別和控制IM協議，如QQ、MSN等;支持郵件過濾，提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾，提供HTTP URL和內容過濾;支持應用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。

3.1.4 集中管理與審計：提供各種日志功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。

一體化端點準入

在實際網絡應用中，新的安全威脅不斷涌現，病毒和蠕蟲日益肆虐，其自我繁殖的本性使其對網絡的破壞程度和范圍持續擴大，經常引起系統崩潰、網絡癱瘓，使用戶蒙受嚴重損失。任何一臺終端的安全狀態(主要是指終端的防病毒能力、補丁級別和系統安全設置)，都將直接影響到整個網絡的安全。

有線無線接入控制統一管理

早期的無線網絡往往獨立于有線網絡建設和管理，網絡維護者往往要維護兩套獨立的認證系統，維護工作量大。用戶需要記住兩套賬號密碼使用，便利性差。有線無線統一認證系統可以既讓無線和有線用戶的認證共用802.1x、計費等多種公共服務，又可以實現對無線業務特有服務策略的控制，如基于無線SSID的控制用戶接入，實現對有線、無線用戶的統一管理，大大簡化維護成本。

有線無線安全一體化代表了WLAN安全的最新發展方向，可以實現有線接入層到應用層、WLAN接入層到應用層、無線和有線終端準入、及無線和有線用戶統一認證的統一管理和控制。

[1][IEEE.802-11.2007]"Information technology-Telecommunications and information exchange between systems - Local and metropolitan area networks- Specific requirements-Part 11:Wireless LAN Medium Access Control (MAC)and Physical Layer(PHY)specifications",IEEE Standard 802.11,2007,

[2]WAPI實施指南 作者：寬帶無線IP標準工作組