北京邮电大学 电信工程学院 罗涛
摘 要: 文章在介绍WLAN标准的基础上,重点探讨了WLAN的安全问题和漫游问题,并在文章最后介绍了我国制定的GB15629.11标准。
关键词: WLAN;安全性
许多新兴的无线宽带技术在刚开始时,都会标榜自己未来会成为主流技术,如WLAN(无线局域网)、蓝牙、HomeRF、UWB(超宽带)等,但是真正能经得起市场考验,获得大多数人认同者,目前恐怕就只有IEEE 802.11系列的WLAN够格了。从应用角度来看,WLAN虽然已经提出好多年了,但由于原来一直把它单纯定位于有线LAN的延伸,加上无统一标准以及传输速率低,所以用得并不多,很难推广。直到上世纪末,随着WLAN技术自身的进步和标准的统一,把它重新定位用做互联网高速无线接入技术之后才出现广泛使用的趋势,应用于办公室、机场、酒店、商场、咖啡屋等公共热点场所(hotsports)。因此,曾在2000年被评为美国通信技术十大趋势之一。
WLAN标准的变迁
IEEE 802.11系列标准除包括97年公布的802.11外,还包括后来接连推出的802.11a、11b、11g等几个新的标准。从技术角度来看,802.11a占用5GHz自由频段,由于这一频段其它应用不多,故干扰较少;它采用了传输速率较高的正交频分复用(OFDM)技术,在10m范围内其速率可高达54Mb/s,但随着距离的增加,其速率快速下降,70多米时就会下降到10Mb/s以内。802.11b占用2.4GHz的自由频段,但由于许多国家无绳电话、蓝牙设备甚至微波炉都使用这个频段,故干扰要大一些,它采用相对简单的直接序列扩频(DSSS)技术,其速率理论上可以达到11Mb/s,但考虑到物理层的开销(至少约40%)以及自由频段易受干扰等情况,其速率远低于此。虽然802.11a开始制定的时间要早于802.11b,但因为802.11b容易实现,完成得较早,所以802.11b产品反而占据了较大的市场份额。
显然由于使用不同的频段,所以802.11a的产品不能和802.11b相兼容。为了解决这个问题,IEEE开发了802.11g协议,它在和802.11b兼容的基础上提高了速度和传输距离。802.11g中规定的调制方式有两种,包括802.11a中采用的OFDM与802.11b中采用的CCK(补码键控调制)。通过规定两种调制方式,既达到了在2.4GHz频段实现802.11a水平的数据传送速度,也确保了与装机数量超过1100万台的802.11b产品的兼容。TI公司提案的可实现22Mb/s数据传送速度的PBCC-22(CCK-PBCC)调制方式与CCK-OFDM也可以作为选项使用。所以802.11g其实是一种混合标准,它既能适应传统的802.11b标准,在2.4GHz频率下提供每秒11Mb/s数据传输率,也符合802.11a标准在5GHz频率下提供54Mb/s数据传输率。但是干扰的原因决定了802.11g不可能达到802.11a的高速率,而且这个协议到2003年7月才得到正式批准,这致使许多设备生产商已经转而直接采用802.11a。
虽然802.11g标准最高速率也可达到54Mb/s,但对于今后在WLAN中要开展的多媒体业务来说,这个速率还远远不够。因此IEEE已经成立了一个新的工作小组,准备制定一项新的高速WLAN标准802.11n。该标准采用多输入多输出(MIMO)技术和OFDM技术,计划将WLAN的传输速率从54Mb/s增加至108Mb/s以上,以实现与百兆有线网的无缝结合,其最高数据速率预计可达320Mb/s。
WLAN除了上面提到的一些主要标准外,IEEE还在不断地完善这些协议,推出或即将推出的新协议有:不使用2.4GHz 频段的802.11b版本802.11d,改善802.11协议QoS(服务质量)的802.11e,改善切换机制的802.11f,改善安全机制的802.11i等。
传输技术标准一旦确定下来,WLAN的研究重点相应地也就应由硬件产品的开发转移到软件方面,以解决其目前所遇到的一些问题:首先是安全问题,所有的网络都存在安全问题,但无线网络又有其特殊性;其次是漫游问题,与移动网的漫游问题不同,WLAN的漫游问题更多的是不同的运营商之间的漫游问题,以及结算、计费等问题。
图1 802.11相关标准发展蓝图
图2 Wi-Fi与Bluetooth应用示意图
安全问题
任何网络中,数据的安全问题应是重点考虑的对象,但安全性恰是WLAN最薄弱的一个地方。作为一种比较可靠的有线网络安全解决方案,VPN(虚拟专用网)技术在企业有线网络应用中得到了一定程度的采用。但在无线网络中,因突发干扰或AP(接入点)间越区切换等因素导致的无线链路质量波动或短时中断,都有可能导致用户通信链路出现短时中断。而一旦链路发生中断,用户将不得不通过手动设置以重新恢复VPN连接。这对于WLAN用户,尤其是需要移动或QoS保证(如VoIP业务)的WLAN用户是不可忍受的。另外,VPN网络较高的复杂度和成本也在很大程度上阻碍了VPN技术在WLAN中的应用。而早在2000年10月,802.11b采用的基于RC4算法的标准安全协议WEP(Wired Equivalent Privacy,有线等效保密协议)就被发现存在安全漏洞。它使用24bit的初始向量和40bit的密钥来加密数据,每个用户使用相同的密钥,这意味着某个用户的安全漏洞将威胁整个网络的安全。现在有些新的产品支持WEP2(后来IEEE将其命名为TKIP:Temporal Key Integrity Protocol,临时密钥完整性校验协议),尽管它使用48bit的初始向量和128bit的密钥,但它仍没有脱离WEP核心,和WEP完全兼容。然而WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,故增加密钥长度是不可能增强其安全性的,初始向量长度的增加也只能在一定程度上提高破解难度,延长破解时间,而并不能从根本上解决问题。某种程度上TKIP更易受攻击,因为它采用了Kerberos密码,常常可以用简单的猜测方法攻破。Wi-Fi联盟和IEEE 802委员会也承认,TKIP只能作为一种临时的过渡方案,而不是最终方案。至于长期而言,则是采用AES(Advanced Encryption Standard,高级加密标准)加密方式。
除了通过对待传输的数据进行加密来提高安全性外,WLAN还可通过加强对用户的认证来增强自身的安全性。当初的802.11b使用业务组标识符(SSID),但由于其采用广播形式,使用者皆可收到,故易被破解。WLAN后来采用IEEE 802.1x的认证方式,但802.1x并不是专为WLAN设计的,它没有考虑到无线应用的特点。802.1x提供无线客户端与RADIUS服务器之间的认证,而不是客户端与无线接入点AP之间的认证;采用的是用户名和口令的用户认证,所以在存储、使用和认证信息传递中仍存在很大安全隐患,如泄漏、丢失等。
所以,目前正在制定中的IEEE 802.11i标准给出的安全解决方案为:基于802.1x认证的CCMP(CBC-MAC Protocol)加密技术,即以AES为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,其相比前面所述的所有算法安全程度更高。
当然,在新标准正式颁布之前,目前能够采用的一些简单的安全补救措施有:使用WEP协议的时候要注意密钥的管理,每天或每周更换缺省的密钥;用密码保护硬盘和文件夹;改变默认的SSID;使用有些产品中提供的会话密钥;使用有些产品中提供的MAC地址过滤功能等。
我们国家标准GB15629.11-2003使用了一种名为“WLAN鉴别与保密基础结构”(WAPI)的安全协议,而不是802.11标准中使用的WEP或TKIP安全协议。从技术上讲,WAPI安全机制与目前国际标准不同。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,分别用于WLAN设备的数字证书、密钥协商和传输数据的加/解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。它已由ISO/IEC授权的IEEE Registration Authority审查获得认可,分配了用于WAPI协议的以太类型字段,这也是我国目前在该领域惟一获得批准的协议,正等待向ISO/IEC JTC1委员会进行提交。
从市场角度讲,WAPI充分考虑了市场应用。应用模式上分为单点式和集中式两种:单点式主要用于家庭和小型公司的小范围应用;集中式主要用于热点地区和大型企业,可以和运营商的管理系统结合起来,共同搭建安全的无线应用平台。用户可以在家里、公司、热点地区等地区安全地应用WLAN,而无需为安全性和各设备间的互联互通担心。
漫游问题以及与3G的融合
不同WLAN的覆盖距离也不一样。多数802.11b的网络可以传输100米的距离,采用更高功率的发送器可以延长覆盖距离,但同时信号受到的干扰也会更大,遇到的障碍也会更多。另外考虑到安全性,WLAN又要求限制发送功率,这些都影响到传输距离。802.11a可以传输的距离和802.11b差不多。虽然从原理上讲高频电磁波更容易被吸收,传输距离较短,但由于11a采用OFDM技术,可以克服多径效应的影响,综合考虑这两种因素易得出它们的覆盖距离没有多大差别的结论。但要注意的是,802.11a的54Mb/s速率是在10米以内可达到的,随着距离的增加,速率减小得很快,70多米时就下降到10Mb/s以内了。
由于802.11g是一个新标准,还没有实验数据来说明它的传输距离,但从OFDM技术的原理来推测应当能达到更远的距离。当然增加传输距离不完全是优势,因为无线带宽是共享的,距离的增加就意味着用户数的增加,每个用户可分配的带宽相应减少。因此802.11g适合在用户较少的环境或者用户对于带宽要求低的场所。另一个问题就是较长的距离将会泄漏信号,入侵者就可能从远端闯入网络。要解决这个问题可以采用定向天线的办法来解决。
综上所述,由于WLAN功率受限,其服务覆盖区域就有限,其方便性也就大打折扣。但如果再想办法将各个WLAN连接起来,便可以形成无线城域网,使诸如笔记本电脑和PDA等便携式上网设备在同一城市无线移动,从而满足移动状态下的接入需求。在无线网络IP规划中,假设定义以"楼层"为一网段,楼内的用户只能在自己的楼层保持固定IP的移动,或者在不同AP之间进行网段内的切换。如果用户离开属于自己的楼层到楼下商务活动区域时,就不得不修改电脑内原来的IP地址,或者进行DHCP方式重新获得一个暂时的IP来上网。但是,此时用户不能再回到自己的办公网内,获得相应的网内数据及正常的网络工作能力。
借助移动IP技术,即在IP网络上的多个区域均可使用同一IP地址,通过使用被称为本地代理(HomeAgent)和外地代理(ForeignAgent)的特殊路由器,对网络终端所处位置的网络进行管理,就可实现WLAN不同网段之间的漫游。从运营商角度看,这就是网间漫游问题。如果不能漫游,消费者就需要购买多家运营商的网络,接入不同的运营商网络时,笔记本电脑需要重新登录,人们也不知道如何在特定区域辨别运营商是谁?因此,应考虑使得多家无线ISP共享用户使用网络的统计信息和计费信息,协调无线ISP间的利益分配,实现不同运营商之间的互联互通。
不过漫游何时能够实现,现在还很难说。但可喜的是,世界上最大的无线宽带运营商联盟(WBA)于03年7月召开的第三次会议上宣布,Wi-Fi国际漫游将在中国(网通)、澳大利亚、马来西亚和新加坡四个国家作试点试验,它提出全球品牌标识、标准的登陆界面和Wi-Fi国际漫游,旨在确保无线宽带服务在不同国家能够持续稳定运行,网络能够平滑无缝连接,进而保障用户能更为便捷地实现无线上网。
尽管WLAN的接入速率很高,但无论是局域网还是城域网,都不能在快速移动中获取数据。目前能够实现快速移动环境下接入的只有蜂窝网络,即2G和3G等。由于这类网络覆盖范围大,因此也可称之为无线广域网。但美中不足是其数据传输速率很低,即使理想状态下3G的数据传输速率也只能达到2Mb/s,这与802.11b的11Mb/s相差甚远。因此,它只能做到"无限覆盖,有限带宽";相比而言,从有线LAN延伸而来的WLAN却具备"有限覆盖,无限带宽"的特点。因此,在无法布新线的场所,WLAN可作为有线局域网的补充;在一些“热点”地区,WLAN则可作为3G的竞争方案。从这种角度来讲,WLAN和3G都不完美,不同技术、不同方案在市场上的定位是不同的,可能会有取代的关系,但更有可能是共存共生的关系。例如,中国移动已联合联想,在笔记本电脑网卡中外接GPRS模块,通过SIM卡实现上网和计费,试图在无线广域网与WLAN的正面交锋中找到最适合的空间。但无论如何,WLAN肯定会对3G产生很大的影响。
中国的WLAN策略
国家标准化管理委员会已正式颁布了由“中国宽带无线IP标准工作组” (www.chinabwips.org)负责起草的中国WLAN GB 15629.11-2003系列标准。该WLAN标准是在原则采用国际标准ISO/IEC8802.11系列标准的前提下,在充分考虑和兼顾WLAN产品互连互通的基础上,针对WLAN的安全问题,给出了技术解决方案和规范要求。它把国家对密码算法和无线电频率的要求纳入了进来,是基于国际标准之上的符合中国安全规范的WLAN标准,且这两个标准属于国家强制执行标准,将在04年6月正式执行,届时不符合此标准的WLAN产品将不允许出现在市场上。
尽管我们国家WLAN标准的出台以及强制执行引起了很大的影响,但这是我国信息安全战略的具体落实,它表明我们国家已经迈出了坚实的一步。■
参考文献:
1.‘零组件杂志’, 2003
摘自 电子产品世界
|