WLAN的標(biāo)準(zhǔn)、安全及漫游
關(guān)鍵詞: WLAN;安全性
許多新興的無線寬帶技術(shù)在剛開始時(shí),都會(huì)標(biāo)榜自己未來會(huì)成為主流技術(shù),如WLAN(無線局域網(wǎng))、藍(lán)牙、HomeRF、UWB(超寬帶)等,但是真正能經(jīng)得起市場考驗(yàn),獲得大多數(shù)人認(rèn)同者,目前恐怕就只有IEEE 802.11系列的WLAN夠格了。從應(yīng)用角度來看,WLAN雖然已經(jīng)提出好多年了,但由于原來一直把它單純定位于有線LAN的延伸,加上無統(tǒng)一標(biāo)準(zhǔn)以及傳輸速率低,所以用得并不多,很難推廣。直到上世紀(jì)末,隨著WLAN技術(shù)自身的進(jìn)步和標(biāo)準(zhǔn)的統(tǒng)一,把它重新定位用做互聯(lián)網(wǎng)高速無線接入技術(shù)之后才出現(xiàn)廣泛使用的趨勢,應(yīng)用于辦公室、機(jī)場、酒店、商場、咖啡屋等公共熱點(diǎn)場所(hotsports)。因此,曾在2000年被評為美國通信技術(shù)十大趨勢之一。
WLAN標(biāo)準(zhǔn)的變遷
IEEE 802.11系列標(biāo)準(zhǔn)除包括97年公布的802.11外,還包括后來接連推出的802.11a、11b、11g等幾個(gè)新的標(biāo)準(zhǔn)。從技術(shù)角度來看,802.11a占用5GHz自由頻段,由于這一頻段其它應(yīng)用不多,故干擾較少;它采用了傳輸速率較高的正交頻分復(fù)用(OFDM)技術(shù),在10m范圍內(nèi)其速率可高達(dá)54Mb/s,但隨著距離的增加,其速率快速下降,70多米時(shí)就會(huì)下降到10Mb/s以內(nèi)。802.11b占用2.4GHz的自由頻段,但由于許多國家無繩電話、藍(lán)牙設(shè)備甚至微波爐都使用這個(gè)頻段,故干擾要大一些,它采用相對簡單的直接序列擴(kuò)頻(DSSS)技術(shù),其速率理論上可以達(dá)到11Mb/s,但考慮到物理層的開銷(至少約40%)以及自由頻段易受干擾等情況,其速率遠(yuǎn)低于此。雖然802.11a開始制定的時(shí)間要早于802.11b,但因?yàn)?02.11b容易實(shí)現(xiàn),完成得較早,所以802.11b產(chǎn)品反而占據(jù)了較大的市場份額。
顯然由于使用不同的頻段,所以802.11a的產(chǎn)品不能和802.11b相兼容。為了解決這個(gè)問題,IEEE開發(fā)了802.11g協(xié)議,它在和802.11b兼容的基礎(chǔ)上提高了速度和傳輸距離。802.11g中規(guī)定的調(diào)制方式有兩種,包括802.11a中采用的OFDM與802.11b中采用的CCK(補(bǔ)碼鍵控調(diào)制)。通過規(guī)定兩種調(diào)制方式,既達(dá)到了在2.4GHz頻段實(shí)現(xiàn)802.11a水平的數(shù)據(jù)傳送速度,也確保了與裝機(jī)數(shù)量超過1100萬臺(tái)的802.11b產(chǎn)品的兼容。TI公司提案的可實(shí)現(xiàn)22Mb/s數(shù)據(jù)傳送速度的PBCC-22(CCK-PBCC)調(diào)制方式與CCK-OFDM也可以作為選項(xiàng)使用。所以802.11g其實(shí)是一種混合標(biāo)準(zhǔn),它既能適應(yīng)傳統(tǒng)的802.11b標(biāo)準(zhǔn),在2.4GHz頻率下提供每秒11Mb/s數(shù)據(jù)傳輸率,也符合802.11a標(biāo)準(zhǔn)在5GHz頻率下提供54Mb/s數(shù)據(jù)傳輸率。但是干擾的原因決定了802.11g不可能達(dá)到802.11a的高速率,而且這個(gè)協(xié)議到2003年7月才得到正式批準(zhǔn),這致使許多設(shè)備生產(chǎn)商已經(jīng)轉(zhuǎn)而直接采用802.11a。
雖然802.11g標(biāo)準(zhǔn)最高速率也可達(dá)到54Mb/s,但對于今后在WLAN中要開展的多媒體業(yè)務(wù)來說,這個(gè)速率還遠(yuǎn)遠(yuǎn)不夠。因此IEEE已經(jīng)成立了一個(gè)新的工作小組,準(zhǔn)備制定一項(xiàng)新的高速WLAN標(biāo)準(zhǔn)802.11n。該標(biāo)準(zhǔn)采用多輸入多輸出(MIMO)技術(shù)和OFDM技術(shù),計(jì)劃將WLAN的傳輸速率從54Mb/s增加至108Mb/s以上,以實(shí)現(xiàn)與百兆有線網(wǎng)的無縫結(jié)合,其最高數(shù)據(jù)速率預(yù)計(jì)可達(dá)320Mb/s。
WLAN除了上面提到的一些主要標(biāo)準(zhǔn)外,IEEE還在不斷地完善這些協(xié)議,推出或即將推出的新協(xié)議有:不使用2.4GHz 頻段的802.11b版本802.11d,改善802.11協(xié)議QoS(服務(wù)質(zhì)量)的802.11e,改善切換機(jī)制的802.11f,改善安全機(jī)制的802.11i等。
傳輸技術(shù)標(biāo)準(zhǔn)一旦確定下來,WLAN的研究重點(diǎn)相應(yīng)地也就應(yīng)由硬件產(chǎn)品的開發(fā)轉(zhuǎn)移到軟件方面,以解決其目前所遇到的一些問題:首先是安全問題,所有的網(wǎng)絡(luò)都存在安全問題,但無線網(wǎng)絡(luò)又有其特殊性;其次是漫游問題,與移動(dòng)網(wǎng)的漫游問題不同,WLAN的漫游問題更多的是不同的運(yùn)營商之間的漫游問題,以及結(jié)算、計(jì)費(fèi)等問題。
圖1 802.11相關(guān)標(biāo)準(zhǔn)發(fā)展藍(lán)圖
圖2 Wi-Fi與Bluetooth應(yīng)用示意圖
安全問題
任何網(wǎng)絡(luò)中,數(shù)據(jù)的安全問題應(yīng)是重點(diǎn)考慮的對象,但安全性恰是WLAN最薄弱的一個(gè)地方。作為一種比較可靠的有線網(wǎng)絡(luò)安全解決方案,VPN(虛擬專用網(wǎng))技術(shù)在企業(yè)有線網(wǎng)絡(luò)應(yīng)用中得到了一定程度的采用。但在無線網(wǎng)絡(luò)中,因突發(fā)干擾或AP(接入點(diǎn))間越區(qū)切換等因素導(dǎo)致的無線鏈路質(zhì)量波動(dòng)或短時(shí)中斷,都有可能導(dǎo)致用戶通信鏈路出現(xiàn)短時(shí)中斷。而一旦鏈路發(fā)生中斷,用戶將不得不通過手動(dòng)設(shè)置以重新恢復(fù)VPN連接。這對于WLAN用戶,尤其是需要移動(dòng)或QoS保證(如VoIP業(yè)務(wù))的WLAN用戶是不可忍受的。另外,VPN網(wǎng)絡(luò)較高的復(fù)雜度和成本也在很大程度上阻礙了VPN技術(shù)在WLAN中的應(yīng)用。而早在2000年10月,802.11b采用的基于RC4算法的標(biāo)準(zhǔn)安全協(xié)議WEP(Wired Equivalent Privacy,有線等效保密協(xié)議)就被發(fā)現(xiàn)存在安全漏洞。它使用24bit的初始向量和40bit的密鑰來加密數(shù)據(jù),每個(gè)用戶使用相同的密鑰,這意味著某個(gè)用戶的安全漏洞將威脅整個(gè)網(wǎng)絡(luò)的安全?,F(xiàn)在有些新的產(chǎn)品支持WEP2(后來IEEE將其命名為TKIP:Temporal Key Integrity Protocol,臨時(shí)密鑰完整性校驗(yàn)協(xié)議),盡管它使用48bit的初始向量和128bit的密鑰,但它仍沒有脫離WEP核心,和WEP完全兼容。然而WEP算法的安全漏洞是由于WEP機(jī)制本身引起的,與密鑰的長度無關(guān),故增加密鑰長度是不可能增強(qiáng)其安全性的,初始向量長度的增加也只能在一定程度上提高破解難度,延長破解時(shí)間,而并不能從根本上解決問題。某種程度上TKIP更易受攻擊,因?yàn)樗捎昧薑erberos密碼,常??梢杂煤唵蔚牟聹y方法攻破。Wi-Fi聯(lián)盟和IEEE 802委員會(huì)也承認(rèn),TKIP只能作為一種臨時(shí)的過渡方案,而不是最終方案。至于長期而言,則是采用AES(Advanced Encryption Standard,高級加密標(biāo)準(zhǔn))加密方式。
除了通過對待傳輸?shù)臄?shù)據(jù)進(jìn)行加密來提高安全性外,WLAN還可通過加強(qiáng)對用戶的認(rèn)證來增強(qiáng)自身的安全性。當(dāng)初的802.11b使用業(yè)務(wù)組標(biāo)識(shí)符(SSID),但由于其采用廣播形式,使用者皆可收到,故易被破解。WLAN后來采用IEEE 802.1x的認(rèn)證方式,但802.1x并不是專為WLAN設(shè)計(jì)的,它沒有考慮到無線應(yīng)用的特點(diǎn)。802.1x提供無線客戶端與RADIUS服務(wù)器之間的認(rèn)證,而不是客戶端與無線接入點(diǎn)AP之間的認(rèn)證;采用的是用戶名和口令的用戶認(rèn)證,所以在存儲(chǔ)、使用和認(rèn)證信息傳遞中仍存在很大安全隱患,如泄漏、丟失等。
所以,目前正在制定中的IEEE 802.11i標(biāo)準(zhǔn)給出的安全解決方案為:基于802.1x認(rèn)證的CCMP(CBC-MAC Protocol)加密技術(shù),即以AES為核心算法,采用CBC-MAC加密模式,具有分組序號(hào)的初始向量。CCMP為128位的分組加密算法,其相比前面所述的所有算法安全程度更高。
當(dāng)然,在新標(biāo)準(zhǔn)正式頒布之前,目前能夠采用的一些簡單的安全補(bǔ)救措施有:使用WEP協(xié)議的時(shí)候要注意密鑰的管理,每天或每周更換缺省的密鑰;用密碼保護(hù)硬盤和文件夾;改變默認(rèn)的SSID;使用有些產(chǎn)品中提供的會(huì)話密鑰;使用有些產(chǎn)品中提供的MAC地址過濾功能等。
我們國家標(biāo)準(zhǔn)GB15629.11-2003使用了一種名為“WLAN鑒別與保密基礎(chǔ)結(jié)構(gòu)”(WAPI)的安全協(xié)議,而不是802.11標(biāo)準(zhǔn)中使用的WEP或TKIP安全協(xié)議。從技術(shù)上講,WAPI安全機(jī)制與目前國際標(biāo)準(zhǔn)不同。WAPI采用國家密碼管理委員會(huì)辦公室批準(zhǔn)的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法,分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加/解密,從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。它已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認(rèn)可,分配了用于WAPI協(xié)議的以太類型字段,這也是我國目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議,正等待向ISO/IEC JTC1委員會(huì)進(jìn)行提交。
從市場角度講,WAPI充分考慮了市場應(yīng)用。應(yīng)用模式上分為單點(diǎn)式和集中式兩種:單點(diǎn)式主要用于家庭和小型公司的小范圍應(yīng)用;集中式主要用于熱點(diǎn)地區(qū)和大型企業(yè),可以和運(yùn)營商的管理系統(tǒng)結(jié)合起來,共同搭建安全的無線應(yīng)用平臺(tái)。用戶可以在家里、公司、熱點(diǎn)地區(qū)等地區(qū)安全地應(yīng)用WLAN,而無需為安全性和各設(shè)備間的互聯(lián)互通擔(dān)心。
漫游問題以及與3G的融合
不同WLAN的覆蓋距離也不一樣。多數(shù)802.11b的網(wǎng)絡(luò)可以傳輸100米的距離,采用更高功率的發(fā)送器可以延長覆蓋距離,但同時(shí)信號(hào)受到的干擾也會(huì)更大,遇到的障礙也會(huì)更多。另外考慮到安全性,WLAN又要求限制發(fā)送功率,這些都影響到傳輸距離。802.11a可以傳輸?shù)木嚯x和802.11b差不多。雖然從原理上講高頻電磁波更容易被吸收,傳輸距離較短,但由于11a采用OFDM技術(shù),可以克服多徑效應(yīng)的影響,綜合考慮這兩種因素易得出它們的覆蓋距離沒有多大差別的結(jié)論。但要注意的是,802.11a的54Mb/s速率是在10米以內(nèi)可達(dá)到的,隨著距離的增加,速率減小得很快,70多米時(shí)就下降到10Mb/s以內(nèi)了。
由于802.11g是一個(gè)新標(biāo)準(zhǔn),還沒有實(shí)驗(yàn)數(shù)據(jù)來說明它的傳輸距離,但從OFDM技術(shù)的原理來推測應(yīng)當(dāng)能達(dá)到更遠(yuǎn)的距離。當(dāng)然增加傳輸距離不完全是優(yōu)勢,因?yàn)闊o線帶寬是共享的,距離的增加就意味著用戶數(shù)的增加,每個(gè)用戶可分配的帶寬相應(yīng)減少。因此802.11g適合在用戶較少的環(huán)境或者用戶對于帶寬要求低的場所。另一個(gè)問題就是較長的距離將會(huì)泄漏信號(hào),入侵者就可能從遠(yuǎn)端闖入網(wǎng)絡(luò)。要解決這個(gè)問題可以采用定向天線的辦法來解決。
綜上所述,由于WLAN功率受限,其服務(wù)覆蓋區(qū)域就有限,其方便性也就大打折扣。但如果再想辦法將各個(gè)WLAN連接起來,便可以形成無線城域網(wǎng),使諸如筆記本電腦和PDA等便攜式上網(wǎng)設(shè)備在同一城市無線移動(dòng),從而滿足移動(dòng)狀態(tài)下的接入需求。在無線網(wǎng)絡(luò)IP規(guī)劃中,假設(shè)定義以"樓層"為一網(wǎng)段,樓內(nèi)的用戶只能在自己的樓層保持固定IP的移動(dòng),或者在不同AP之間進(jìn)行網(wǎng)段內(nèi)的切換。如果用戶離開屬于自己的樓層到樓下商務(wù)活動(dòng)區(qū)域時(shí),就不得不修改電腦內(nèi)原來的IP地址,或者進(jìn)行DHCP方式重新獲得一個(gè)暫時(shí)的IP來上網(wǎng)。但是,此時(shí)用戶不能再回到自己的辦公網(wǎng)內(nèi),獲得相應(yīng)的網(wǎng)內(nèi)數(shù)據(jù)及正常的網(wǎng)絡(luò)工作能力。
借助移動(dòng)IP技術(shù),即在IP網(wǎng)絡(luò)上的多個(gè)區(qū)域均可使用同一IP地址,通過使用被稱為本地代理(HomeAgent)和外地代理(ForeignAgent)的特殊路由器,對網(wǎng)絡(luò)終端所處位置的網(wǎng)絡(luò)進(jìn)行管理,就可實(shí)現(xiàn)WLAN不同網(wǎng)段之間的漫游。從運(yùn)營商角度看,這就是網(wǎng)間漫游問題。如果不能漫游,消費(fèi)者就需要購買多家運(yùn)營商的網(wǎng)絡(luò),接入不同的運(yùn)營商網(wǎng)絡(luò)時(shí),筆記本電腦需要重新登錄,人們也不知道如何在特定區(qū)域辨別運(yùn)營商是誰?因此,應(yīng)考慮使得多家無線ISP共享用戶使用網(wǎng)絡(luò)的統(tǒng)計(jì)信息和計(jì)費(fèi)信息,協(xié)調(diào)無線ISP間的利益分配,實(shí)現(xiàn)不同運(yùn)營商之間的互聯(lián)互通。
不過漫游何時(shí)能夠?qū)崿F(xiàn),現(xiàn)在還很難說。但可喜的是,世界上最大的無線寬帶運(yùn)營商聯(lián)盟(WBA)于03年7月召開的第三次會(huì)議上宣布,Wi-Fi國際漫游將在中國(網(wǎng)通)、澳大利亞、馬來西亞和新加坡四個(gè)國家作試點(diǎn)試驗(yàn),它提出全球品牌標(biāo)識(shí)、標(biāo)準(zhǔn)的登陸界面和Wi-Fi國際漫游,旨在確保無線寬帶服務(wù)在不同國家能夠持續(xù)穩(wěn)定運(yùn)行,網(wǎng)絡(luò)能夠平滑無縫連接,進(jìn)而保障用戶能更為便捷地實(shí)現(xiàn)無線上網(wǎng)。
盡管WLAN的接入速率很高,但無論是局域網(wǎng)還是城域網(wǎng),都不能在快速移動(dòng)中獲取數(shù)據(jù)。目前能夠?qū)崿F(xiàn)快速移動(dòng)環(huán)境下接入的只有蜂窩網(wǎng)絡(luò),即2G和3G等。由于這類網(wǎng)絡(luò)覆蓋范圍大,因此也可稱之為無線廣域網(wǎng)。但美中不足是其數(shù)據(jù)傳輸速率很低,即使理想狀態(tài)下3G的數(shù)據(jù)傳輸速率也只能達(dá)到2Mb/s,這與802.11b的11Mb/s相差甚遠(yuǎn)。因此,它只能做到"無限覆蓋,有限帶寬";相比而言,從有線LAN延伸而來的WLAN卻具備"有限覆蓋,無限帶寬"的特點(diǎn)。因此,在無法布新線的場所,WLAN可作為有線局域網(wǎng)的補(bǔ)充;在一些“熱點(diǎn)”地區(qū),WLAN則可作為3G的競爭方案。從這種角度來講,WLAN和3G都不完美,不同技術(shù)、不同方案在市場上的定位是不同的,可能會(huì)有取代的關(guān)系,但更有可能是共存共生的關(guān)系。例如,中國移動(dòng)已聯(lián)合聯(lián)想,在筆記本電腦網(wǎng)卡中外接GPRS模塊,通過SIM卡實(shí)現(xiàn)上網(wǎng)和計(jì)費(fèi),試圖在無線廣域網(wǎng)與WLAN的正面交鋒中找到最適合的空間。但無論如何,WLAN肯定會(huì)對3G產(chǎn)生很大的影響。
中國的WLAN策略
國家標(biāo)準(zhǔn)化管理委員會(huì)已正式頒布了由“中國寬帶無線IP標(biāo)準(zhǔn)工作組” (www.chinabwips.org)負(fù)責(zé)起草的中國WLAN GB 15629.11-2003系列標(biāo)準(zhǔn)。該WLAN標(biāo)準(zhǔn)是在原則采用國際標(biāo)準(zhǔn)ISO/IEC8802.11系列標(biāo)準(zhǔn)的前提下,在充分考慮和兼顧WLAN產(chǎn)品互連互通的基礎(chǔ)上,針對WLAN的安全問題,給出了技術(shù)解決方案和規(guī)范要求。它把國家對密碼算法和無線電頻率的要求納入了進(jìn)來,是基于國際標(biāo)準(zhǔn)之上的符合中國安全規(guī)范的WLAN標(biāo)準(zhǔn),且這兩個(gè)標(biāo)準(zhǔn)屬于國家強(qiáng)制執(zhí)行標(biāo)準(zhǔn),將在04年6月正式執(zhí)行,屆時(shí)不符合此標(biāo)準(zhǔn)的WLAN產(chǎn)品將不允許出現(xiàn)在市場上。
盡管我們國家WLAN標(biāo)準(zhǔn)的出臺(tái)以及強(qiáng)制執(zhí)行引起了很大的影響,但這是我國信息安全戰(zhàn)略的具體落實(shí),它表明我們國家已經(jīng)邁出了堅(jiān)實(shí)的一步。■
參考文獻(xiàn):
1.‘零組件雜志’, 2003
評論