冀文

（中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司，北京 100080）

近年來無(wú)線局域網(wǎng)（WLAN）的發(fā)展迅速, 伴隨而來的安全性問題日益受到人們的關(guān)注。無(wú)線局域網(wǎng)安全的最大問題在于無(wú)線通信設(shè)備是在自由空間中進(jìn)行傳輸, 而不是像有線網(wǎng)絡(luò)那樣在一定的物理線纜上進(jìn)行傳輸, 因此無(wú)法通過對(duì)傳輸媒介的接入控制來保證數(shù)據(jù)不會(huì)被未經(jīng)授權(quán)的用戶獲取。同時(shí)，無(wú)線局域網(wǎng)固有的開放性，使得無(wú)線通信信息易被竊聽、截獲、篡改，網(wǎng)絡(luò)更容易受到敵手攻擊。所以，對(duì)于無(wú)線局域網(wǎng)來說，建立一套包含用戶安全認(rèn)證、接入控制、數(shù)據(jù)加密的安全體制就顯得尤為重要。

1 無(wú)線局域網(wǎng)主要技術(shù)標(biāo)準(zhǔn)

無(wú)線局域網(wǎng)標(biāo)準(zhǔn)中，最著名的是IEEE 802.11系列，此外制定WLAN標(biāo)準(zhǔn)的組織還有ETSI(歐洲電信標(biāo)準(zhǔn)化組織)和HomeRF工作組。其中，IEEE的802.11標(biāo)準(zhǔn)系列由于對(duì)以太網(wǎng)標(biāo)準(zhǔn)802.3影響很大，而得到最廣泛的支持。

1.1 IEEE 802.11標(biāo)準(zhǔn)

IEEE 802.11是IEEE最初制定的一個(gè)無(wú)線局域網(wǎng)標(biāo)準(zhǔn)，于1997年11月正式發(fā)布，主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶終端的無(wú)線接入，業(yè)務(wù)主要限于數(shù)據(jù)存取，速率最高只能達(dá)到2Mbit/s，工作在2.4GHz開放頻段上。雖然存在傳輸速率慢，成本高等缺點(diǎn)，但這一標(biāo)準(zhǔn)是無(wú)線網(wǎng)絡(luò)技術(shù)發(fā)展的一個(gè)里程碑。

1.2 IEEE 802.11b標(biāo)準(zhǔn)

IEEE 802.11b標(biāo)準(zhǔn)仍然工作在2.4GHz頻段上，它是在IEEE 802.11標(biāo)準(zhǔn)的基礎(chǔ)上進(jìn)行了擴(kuò)充，其中最重要的改進(jìn)就是在IEEE 802.1l的基礎(chǔ)上增加了兩種更高的通信速率5.5Mbit/s和11Mbit/s。因此有了IEEE 802.11b標(biāo)準(zhǔn)之后，移動(dòng)用戶可以得到以太網(wǎng)的網(wǎng)絡(luò)性能、速率和可用性，管理者也可以無(wú)縫地將多種LAN技術(shù)集成起來，形成一種能夠最大限度地滿足用戶需求的網(wǎng)絡(luò)。

1.3 IEEE 802.11a標(biāo)準(zhǔn)

IEEE 802.11a工作在5GHz頻段上，1999年底被發(fā)布，物理速率可達(dá)54Mbit/s，傳輸層可達(dá)25Mbit/s。802.11a的另一項(xiàng)改進(jìn)是采用了正交頻分復(fù)用（OFDM）編碼技術(shù)，但由于802.11a和802.11b工作在不同的頻段上，不能工作在同一AP網(wǎng)絡(luò)里，因此802.11a和802.11b互不兼容。

1.4 IEEE 802.11g標(biāo)準(zhǔn)

IEEE 802.11g構(gòu)建在既有的IEEE 802.11b物理層與介質(zhì)訪問控制層標(biāo)準(zhǔn)基礎(chǔ)之上，選擇工作在2.4GHz頻段，采用802.11a所使用的OFDM調(diào)制技術(shù)。這樣，把傳輸速率提高為54Mbit/s的同時(shí)，又保證了能夠與802.11b的Wi-Fi系統(tǒng)互相連通。 802.11g的兼容性和高數(shù)據(jù)速率彌補(bǔ)了802.11b和802.11a各自的缺陷，一方面使得802.11b產(chǎn)品可以平穩(wěn)向高數(shù)據(jù)速率升級(jí)，滿足日益增加的帶寬要求，另一方面使得802.11a實(shí)現(xiàn)與802.11b的互通，克服了802.11a一直難以進(jìn)入市場(chǎng)主流的尷尬。

2 WLAN的安全標(biāo)準(zhǔn)

目前比較流行的兩種無(wú)線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)是802.11i和我國(guó)具有自主知識(shí)產(chǎn)權(quán)的無(wú)線局域網(wǎng)認(rèn)證與保密基礎(chǔ)架構(gòu)(WAPI，WLAN Authentication and Privacy Infrastructure)。

2.1 IEEE 802.11i標(biāo)準(zhǔn)

IEEE 802.11i是IEEE 802.11系列的最新增補(bǔ)，于2004年6月由IEEE發(fā)布,為了解決WLAN日益嚴(yán)峻的安全問題。IEEE 802.11i對(duì)WLAN的MAC層進(jìn)行了修改與整合，其嚴(yán)格的加密格式和鑒權(quán)機(jī)制，增強(qiáng)了WLAN的安全性。IEEE 802.11i定義了Wi-Fi保護(hù)訪問WPA(Wi-Fi Protected Access)和強(qiáng)健安全網(wǎng)絡(luò) RSN(Robust Secure Network)。IEEE 802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定 義 了 TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC-MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）3種加密機(jī)制。其中TKIP采用傳統(tǒng)WEP協(xié)議里的RC4流密碼作為核心加密算法，可以通過在現(xiàn)有設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法達(dá)到提高WLAN安全性的目的。CCMP機(jī)制基于AES（Advanced Encryption Standard）加密算法和CCM認(rèn)證方式，使得WLAN的安全程度大大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。由于AES對(duì)硬件要求比較高，因此CCMP無(wú)法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級(jí)實(shí)現(xiàn)。WRAP機(jī)制基于AES加密算法和OCB（Offset Codebook），是一種可選的加密機(jī)制。

IEEE 802.11i協(xié)議系統(tǒng)工作時(shí), 先由無(wú)線接入點(diǎn)（AP）公布自身對(duì)系統(tǒng)的支持情況, 在詢問、響應(yīng)等報(bào)文中使用新定義的安全配置信息。終端STA (Station)根據(jù)收到的信息選擇相應(yīng)的安全配置, 并將所選擇的安全配置表示在其發(fā)出的特定報(bào)文中。通過這種方式可以STA與AP之間就實(shí)現(xiàn)了加密算法以及密鑰管理方式的協(xié)商。另外, 如果網(wǎng)絡(luò)中沒有RADIUS服務(wù)器作為認(rèn)證服務(wù)器, STA與AP就會(huì)采用預(yù)共享密鑰(PSK，PreShare Key)的方式。STA通過802.1x身份驗(yàn)證后，AP就會(huì)得到一個(gè)與STA相同的會(huì)話密鑰（SK，Session Key)，AP與STA將該SK作為共享主密鑰(PMK，Pairwise Master Key)。隨后AP與STA通過EAPOL-KEY報(bào)文進(jìn)行4次握手，在這個(gè)過程中，AP和STA相互確認(rèn)對(duì)方是否持有與自己一致的PMK, 若不一致, 4次握手過程就宣告失敗, 連接也因此中斷,反之建立連接。

2.2 WAPI

WAPI是我國(guó)首個(gè)在無(wú)線網(wǎng)絡(luò)通信領(lǐng)域自主創(chuàng)新并擁有知識(shí)產(chǎn)權(quán)的安全接入技術(shù)標(biāo)準(zhǔn),它以802.11無(wú)線協(xié)議為基礎(chǔ)。

2.2.1 WAPI實(shí)現(xiàn)過程

WAPI協(xié)議由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WAI，WLAN Authentication Infrastructure）和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WPI，WLAN Privacy Infrastructure）兩部分構(gòu)成。WAI是用于無(wú)線局域網(wǎng)中身份鑒別和密鑰管理的安全方案；WPI是用于無(wú)線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能。

WAI采用公鑰密碼技術(shù), 以證書的形式實(shí)現(xiàn)WLAN系統(tǒng)中STA與AP之間的相互鑒別, 這一過程實(shí)現(xiàn)在鏈路驗(yàn)證和關(guān)聯(lián)過程之上。只有鑒別成功后,STA才能安全接入AP。WAI定義了名為證書頒發(fā)者ASU(Authentication Service Unit) 的實(shí)體, 用于管理參與信息交換各方所需要的證書(包括證書的產(chǎn)生、頒發(fā)、吊銷和更新)。證書是網(wǎng)絡(luò)設(shè)備的數(shù)字身份憑證，里面包含有ASU的公鑰和簽名以及證書持有者的公鑰和簽名，簽名采用WAPI特有的橢圓曲線數(shù)字簽名算法。

WAPI的工作過程是這樣的，STA關(guān)聯(lián)到AP之后,先由STA將自己的證書和當(dāng)前時(shí)間提交給AP, 然后AP將STA的證書、提交的時(shí)間和自己的證書一起用自己的私鑰形成簽名, 并將這個(gè)簽名連同其它3個(gè)部分一起發(fā)給ASU。所有的證書鑒別都由ASU來完成,當(dāng)其收到AP提交的鑒別請(qǐng)求之后, 首先驗(yàn)證AP的簽名和證書。當(dāng)鑒別成功之后,進(jìn)一步驗(yàn)證STA的證書。然后,ASU將STA的鑒別結(jié)果信息和AP的鑒別信息用自己的私鑰進(jìn)行簽名, 并將這個(gè)簽名連同兩個(gè)鑒別結(jié)果發(fā)回給AP。AP對(duì)收到的結(jié)果進(jìn)行簽名驗(yàn)證,同時(shí)得到對(duì)STA的鑒別結(jié)果,根據(jù)這一結(jié)果判斷是否允許該STA接入。

同時(shí)，AP需要將ASU的驗(yàn)證結(jié)果轉(zhuǎn)發(fā)給STA,STA也要對(duì)ASU的簽名進(jìn)行驗(yàn)證,并得到AP的鑒別結(jié)果, 根據(jù)這一結(jié)果來決定是否接入AP。當(dāng)STA和AP之間的雙向認(rèn)證都鑒別成功之后,雙方將會(huì)進(jìn)行密鑰協(xié)商。首先雙方進(jìn)行密鑰算法協(xié)商。隨后,STA和AP各自產(chǎn)生一個(gè)隨機(jī)數(shù),用自己的私鑰加密之后傳輸給對(duì)方，然后雙方利用對(duì)方的公鑰將隨機(jī)數(shù)還原, 再將這兩個(gè)隨機(jī)數(shù)進(jìn)行模2運(yùn)算，結(jié)果作為會(huì)話密鑰,最后根據(jù)之前協(xié)商的算法以及產(chǎn)生的會(huì)話密鑰對(duì)雙方通信的數(shù)據(jù)進(jìn)行加密。由于會(huì)話密鑰并沒有在信道上進(jìn)行傳輸,因此就增強(qiáng)了其安全性。為了進(jìn)一步提高通信的保密性,WAPI還規(guī)定, 在通信一段時(shí)間或者交換一定數(shù)量的數(shù)據(jù)之后,STA和AP之間可以重新協(xié)商會(huì)話密鑰。另外，WAPI是采用對(duì)稱密碼算法SMS4實(shí)現(xiàn)對(duì)MAC層MAC服務(wù)數(shù)據(jù)單元（MSDU）進(jìn)行加、解密操作的。

2.2.2 WAPI的特點(diǎn)

WAPI采用國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)的公開密鑰體制橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實(shí)現(xiàn)了設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)。它所具有的特點(diǎn)有：（1）高可靠性安全認(rèn)證與保密體制，實(shí)現(xiàn)STA－AP雙向認(rèn)證，集中式或分布集中式認(rèn)證管理，靈活多樣的證書管理與分發(fā)體制，可控的會(huì)話動(dòng)態(tài)密鑰，高強(qiáng)度的加密算法，可擴(kuò)展或升級(jí)的全嵌入式認(rèn)證與算法模塊，支持安全的越區(qū)切換；（2）在WAPI協(xié)議模式下，用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用；（3）AP設(shè)置好證書后，無(wú)需再對(duì)后臺(tái)的服務(wù)器進(jìn)行設(shè)置，安裝、組網(wǎng)便捷，易于擴(kuò)展；（4）支持SNMP網(wǎng)絡(luò)管理。

2.2.3 WAPI面臨的現(xiàn)狀

2004年在國(guó)家發(fā)改委和國(guó)家密碼管理局等的支持下,中國(guó)在ISO/IEC JTC1/SC6內(nèi)開展了推進(jìn)WAPI成為國(guó)際標(biāo)準(zhǔn)的工作。作為我國(guó)在網(wǎng)絡(luò)安全接入技術(shù)領(lǐng)域第一個(gè)自主提出并且在計(jì)算機(jī)網(wǎng)絡(luò)通信領(lǐng)域第一個(gè)提交ISO/IEC進(jìn)入到投票程序的標(biāo)準(zhǔn)，WAPI在國(guó)際標(biāo)準(zhǔn)推進(jìn)進(jìn)程中經(jīng)歷了技術(shù)和國(guó)際規(guī)則的雙重考驗(yàn)。2008年4月WAPI在SC6再次獲得啟動(dòng),進(jìn)入到國(guó)際標(biāo)準(zhǔn)研究階段，2009年6月舉行的ISO/IEC JTC1/SC6東京全會(huì)上,包括SC6國(guó)家成員體一致同意將WAPI以獨(dú)立文本形式推進(jìn)成為國(guó)際標(biāo)準(zhǔn)。由此，WAPI也成為無(wú)線計(jì)算機(jī)網(wǎng)絡(luò)通信無(wú)線局域網(wǎng)技術(shù)領(lǐng)域除IEEE標(biāo)準(zhǔn)組織之外，惟一由ISO/IEC國(guó)家成員體直接提交的國(guó)際標(biāo)準(zhǔn)提案。

同時(shí)，工信部出臺(tái)政策，“同時(shí)內(nèi)置WAPI和Wi-Fi即可被受理檢測(cè)并獲得入網(wǎng)許可證”，不允許只具有Wi-Fi的手機(jī)上市，通過強(qiáng)制政策推動(dòng)WAPI的商用化。2009年7月中國(guó)移動(dòng)WLAN設(shè)備集中采購(gòu)招標(biāo)工作完成，WAPI設(shè)備市場(chǎng)占有率占招標(biāo)總額的90%以上，面對(duì)市場(chǎng)的巨大需求，極少數(shù)持觀望態(tài)度的廠商，也已啟動(dòng)了WAPI相關(guān)產(chǎn)品的研發(fā)。由此可見，借助Wi-Fi相對(duì)成熟的產(chǎn)業(yè)鏈，WAPI已經(jīng)在國(guó)內(nèi)市場(chǎng)成功突圍，其產(chǎn)業(yè)鏈也已初具雛形。中國(guó)移動(dòng)與廈門政府合作的“無(wú)線城市”，即采用TD-SCDMA聯(lián)合WAPI的技術(shù)。這對(duì)當(dāng)前各地興起的“無(wú)線城市”具有示范作用。電信運(yùn)營(yíng)商的加入必將加速WAPI的產(chǎn)業(yè)化，加速WAPI的技術(shù)積累和升級(jí)，從而加速WAPI前進(jìn)的腳步。

表1 IEEE 802.11i和WAPI的比較

3 IEEE 802.11i和WAPI的比較

IEEE 802.11i和WAPI這兩個(gè)協(xié)議的主要目標(biāo)都是要解決WLAN應(yīng)用過程中的訪問控制安全性以及數(shù)據(jù)的機(jī)密性和完整性等問題，這兩種協(xié)議的對(duì)比情況如表1所示。

4 總結(jié)

目前在無(wú)線網(wǎng)絡(luò)技術(shù)體系中，無(wú)線網(wǎng)絡(luò)媒體訪問控制與“終端-基站”無(wú)線接口有關(guān)，與網(wǎng)絡(luò)側(cè)關(guān)聯(lián)不大；而安全接入/訪問控制技術(shù)則關(guān)系到全程全網(wǎng)，包括安全接入、安全性管理、安全運(yùn)營(yíng)計(jì)費(fèi)等，其涉及范圍幾乎囊括了通信網(wǎng)絡(luò)產(chǎn)業(yè)鏈上的所有產(chǎn)品，具備可管理、可運(yùn)營(yíng)的特性。WAPI 作為我國(guó)自主研發(fā)的接入訪問控制層的關(guān)鍵技術(shù)，可以更好的保護(hù)傳輸數(shù)據(jù)的機(jī)密性和完整性，同時(shí)，在3G、4G領(lǐng)域，WAPI也正在端口安全訪問控制方面進(jìn)行了積極的探索必將在未來的電信網(wǎng)絡(luò)管理中承擔(dān)重要責(zé)任。