WLAN的標準、安全及漫游

摘  要： 文章在介紹WLAN標準的基礎上，重點(diǎn)探討了WLAN的安全問(wèn)題和漫游問(wèn)題，并在文章最后介紹了我國制定的GB15629.11標準。
關(guān)鍵詞： WLAN；安全性
許多新興的無(wú)線(xiàn)寬帶技術(shù)在剛開(kāi)始時(shí)，都會(huì )標榜自己未來(lái)會(huì )成為主流技術(shù)，如WLAN(無(wú)線(xiàn)局域網(wǎng))、藍牙、HomeRF、UWB(超寬帶)等，但是真正能經(jīng)得起市場(chǎng)考驗，獲得大多數人認同者，目前恐怕就只有IEEE 802.11系列的WLAN夠格了。從應用角度來(lái)看，WLAN雖然已經(jīng)提出好多年了，但由于原來(lái)一直把它單純定位于有線(xiàn)LAN的延伸，加上無(wú)統一標準以及傳輸速率低，所以用得并不多，很難推廣。直到上世紀末，隨著(zhù)WLAN技術(shù)自身的進(jìn)步和標準的統一，把它重新定位用做互聯(lián)網(wǎng)高速無(wú)線(xiàn)接入技術(shù)之后才出現廣泛使用的趨勢，應用于辦公室、機場(chǎng)、酒店、商場(chǎng)、咖啡屋等公共熱點(diǎn)場(chǎng)所(hotsports)。因此，曾在2000年被評為美國通信技術(shù)十大趨勢之一。

WLAN標準的變遷
IEEE 802.11系列標準除包括97年公布的802.11外，還包括后來(lái)接連推出的802.11a、11b、11g等幾個(gè)新的標準。從技術(shù)角度來(lái)看，802.11a占用5GHz自由頻段，由于這一頻段其它應用不多，故干擾較少；它采用了傳輸速率較高的正交頻分復用(OFDM)技術(shù)，在10m范圍內其速率可高達54Mb/s，但隨著(zhù)距離的增加，其速率快速下降，70多米時(shí)就會(huì )下降到10Mb/s以?xún)取?02.11b占用2.4GHz的自由頻段，但由于許多國家無(wú)繩電話(huà)、藍牙設備甚至微波爐都使用這個(gè)頻段，故干擾要大一些，它采用相對簡(jiǎn)單的直接序列擴頻(DSSS)技術(shù)，其速率理論上可以達到11Mb/s，但考慮到物理層的開(kāi)銷(xiāo)(至少約40%)以及自由頻段易受干擾等情況，其速率遠低于此。雖然802.11a開(kāi)始制定的時(shí)間要早于802.11b，但因為802.11b容易實(shí)現，完成得較早，所以802.11b產(chǎn)品反而占據了較大的市場(chǎng)份額。
顯然由于使用不同的頻段，所以802.11a的產(chǎn)品不能和802.11b相兼容。為了解決這個(gè)問(wèn)題，IEEE開(kāi)發(fā)了802.11g協(xié)議，它在和802.11b兼容的基礎上提高了速度和傳輸距離。802.11g中規定的調制方式有兩種，包括802.11a中采用的OFDM與802.11b中采用的CCK(補碼鍵控調制)。通過(guò)規定兩種調制方式，既達到了在2.4GHz頻段實(shí)現802.11a水平的數據傳送速度，也確保了與裝機數量超過(guò)1100萬(wàn)臺的802.11b產(chǎn)品的兼容。TI公司提案的可實(shí)現22Mb/s數據傳送速度的PBCC-22(CCK-PBCC)調制方式與CCK-OFDM也可以作為選項使用。所以802.11g其實(shí)是一種混合標準，它既能適應傳統的802.11b標準，在2.4GHz頻率下提供每秒11Mb/s數據傳輸率，也符合802.11a標準在5GHz頻率下提供54Mb/s數據傳輸率。但是干擾的原因決定了802.11g不可能達到802.11a的高速率，而且這個(gè)協(xié)議到2003年7月才得到正式批準，這致使許多設備生產(chǎn)商已經(jīng)轉而直接采用802.11a。
雖然802.11g標準最高速率也可達到54Mb/s，但對于今后在WLAN中要開(kāi)展的多媒體業(yè)務(wù)來(lái)說(shuō)，這個(gè)速率還遠遠不夠。因此IEEE已經(jīng)成立了一個(gè)新的工作小組，準備制定一項新的高速WLAN標準802.11n。該標準采用多輸入多輸出(MIMO)技術(shù)和OFDM技術(shù)，計劃將WLAN的傳輸速率從54Mb/s增加至108Mb/s以上，以實(shí)現與百兆有線(xiàn)網(wǎng)的無(wú)縫結合，其最高數據速率預計可達320Mb/s。
WLAN除了上面提到的一些主要標準外，IEEE還在不斷地完善這些協(xié)議，推出或即將推出的新協(xié)議有：不使用2.4GHz 頻段的802.11b版本802.11d，改善802.11協(xié)議QoS(服務(wù)質(zhì)量)的802.11e，改善切換機制的802.11f，改善安全機制的802.11i等。
傳輸技術(shù)標準一旦確定下來(lái)，WLAN的研究重點(diǎn)相應地也就應由硬件產(chǎn)品的開(kāi)發(fā)轉移到軟件方面，以解決其目前所遇到的一些問(wèn)題：首先是安全問(wèn)題，所有的網(wǎng)絡(luò )都存在安全問(wèn)題，但無(wú)線(xiàn)網(wǎng)絡(luò )又有其特殊性；其次是漫游問(wèn)題，與移動(dòng)網(wǎng)的漫游問(wèn)題不同，WLAN的漫游問(wèn)題更多的是不同的運營(yíng)商之間的漫游問(wèn)題，以及結算、計費等問(wèn)題。


圖1  802.11相關(guān)標準發(fā)展藍圖


圖2  Wi-Fi與Bluetooth應用示意圖

安全問(wèn)題
任何網(wǎng)絡(luò )中，數據的安全問(wèn)題應是重點(diǎn)考慮的對象，但安全性恰是WLAN最薄弱的一個(gè)地方。作為一種比較可靠的有線(xiàn)網(wǎng)絡(luò )安全解決方案，VPN(虛擬專(zhuān)用網(wǎng))技術(shù)在企業(yè)有線(xiàn)網(wǎng)絡(luò )應用中得到了一定程度的采用。但在無(wú)線(xiàn)網(wǎng)絡(luò )中，因突發(fā)干擾或AP(接入點(diǎn))間越區切換等因素導致的無(wú)線(xiàn)鏈路質(zhì)量波動(dòng)或短時(shí)中斷，都有可能導致用戶(hù)通信鏈路出現短時(shí)中斷。而一旦鏈路發(fā)生中斷，用戶(hù)將不得不通過(guò)手動(dòng)設置以重新恢復VPN連接。這對于WLAN用戶(hù)，尤其是需要移動(dòng)或QoS保證(如VoIP業(yè)務(wù))的WLAN用戶(hù)是不可忍受的。另外，VPN網(wǎng)絡(luò )較高的復雜度和成本也在很大程度上阻礙了VPN技術(shù)在WLAN中的應用。而早在2000年10月，802.11b采用的基于RC4算法的標準安全協(xié)議WEP(Wired Equivalent Privacy，有線(xiàn)等效保密協(xié)議)就被發(fā)現存在安全漏洞。它使用24bit的初始向量和40bit的密鑰來(lái)加密數據，每個(gè)用戶(hù)使用相同的密鑰，這意味著(zhù)某個(gè)用戶(hù)的安全漏洞將威脅整個(gè)網(wǎng)絡(luò )的安全?，F在有些新的產(chǎn)品支持WEP2(后來(lái)IEEE將其命名為T(mén)KIP：Temporal Key Integrity Protocol，臨時(shí)密鑰完整性校驗協(xié)議)，盡管它使用48bit的初始向量和128bit的密鑰，但它仍沒(méi)有脫離WEP核心，和WEP完全兼容。然而WEP算法的安全漏洞是由于WEP機制本身引起的，與密鑰的長(cháng)度無(wú)關(guān)，故增加密鑰長(cháng)度是不可能增強其安全性的，初始向量長(cháng)度的增加也只能在一定程度上提高破解難度，延長(cháng)破解時(shí)間，而并不能從根本上解決問(wèn)題。某種程度上TKIP更易受攻擊，因為它采用了Kerberos密碼，常?？梢杂煤?jiǎn)單的猜測方法攻破。Wi-Fi聯(lián)盟和IEEE 802委員會(huì )也承認，TKIP只能作為一種臨時(shí)的過(guò)渡方案，而不是最終方案。至于長(cháng)期而言，則是采用AES(Advanced Encryption Standard，高級加密標準)加密方式。
除了通過(guò)對待傳輸的數據進(jìn)行加密來(lái)提高安全性外，WLAN還可通過(guò)加強對用戶(hù)的認證來(lái)增強自身的安全性。當初的802.11b使用業(yè)務(wù)組標識符(SSID)，但由于其采用廣播形式，使用者皆可收到，故易被破解。WLAN后來(lái)采用IEEE 802.1x的認證方式，但802.1x并不是專(zhuān)為WLAN設計的，它沒(méi)有考慮到無(wú)線(xiàn)應用的特點(diǎn)。802.1x提供無(wú)線(xiàn)客戶(hù)端與RADIUS服務(wù)器之間的認證，而不是客戶(hù)端與無(wú)線(xiàn)接入點(diǎn)AP之間的認證；采用的是用戶(hù)名和口令的用戶(hù)認證，所以在存儲、使用和認證信息傳遞中仍存在很大安全隱患，如泄漏、丟失等。
所以，目前正在制定中的IEEE 802.11i標準給出的安全解決方案為：基于802.1x認證的CCMP(CBC-MAC Protocol)加密技術(shù)，即以AES為核心算法，采用CBC-MAC加密模式，具有分組序號的初始向量。CCMP為128位的分組加密算法，其相比前面所述的所有算法安全程度更高。
當然，在新標準正式頒布之前，目前能夠采用的一些簡(jiǎn)單的安全補救措施有：使用WEP協(xié)議的時(shí)候要注意密鑰的管理，每天或每周更換缺省的密鑰；用密碼保護硬盤(pán)和文件夾；改變默認的SSID；使用有些產(chǎn)品中提供的會(huì )話(huà)密鑰；使用有些產(chǎn)品中提供的MAC地址過(guò)濾功能等。
我們國家標準GB15629.11-2003使用了一種名為“WLAN鑒別與保密基礎結構”(WAPI)的安全協(xié)議，而不是802.11標準中使用的WEP或TKIP安全協(xié)議。從技術(shù)上講，WAPI安全機制與目前國際標準不同。WAPI采用國家密碼管理委員會(huì )辦公室批準的公開(kāi)密鑰體制的橢圓曲線(xiàn)密碼算法和秘密密鑰體制的分組密碼算法，分別用于WLAN設備的數字證書(shū)、密鑰協(xié)商和傳輸數據的加/解密，從而實(shí)現設備的身份鑒別、鏈路驗證、訪(fǎng)問(wèn)控制和用戶(hù)信息在無(wú)線(xiàn)傳輸狀態(tài)下的加密保護。它已由ISO/IEC授權的IEEE Registration Authority審查獲得認可，分配了用于WAPI協(xié)議的以太類(lèi)型字段，這也是我國目前在該領(lǐng)域惟一獲得批準的協(xié)議，正等待向ISO/IEC JTC1委員會(huì )進(jìn)行提交。
從市場(chǎng)角度講，WAPI充分考慮了市場(chǎng)應用。應用模式上分為單點(diǎn)式和集中式兩種：?jiǎn)吸c(diǎn)式主要用于家庭和小型公司的小范圍應用；集中式主要用于熱點(diǎn)地區和大型企業(yè)，可以和運營(yíng)商的管理系統結合起來(lái)，共同搭建安全的無(wú)線(xiàn)應用平臺。用戶(hù)可以在家里、公司、熱點(diǎn)地區等地區安全地應用WLAN，而無(wú)需為安全性和各設備間的互聯(lián)互通擔心。

漫游問(wèn)題以及與3G的融合
不同WLAN的覆蓋距離也不一樣。多數802.11b的網(wǎng)絡(luò )可以傳輸100米的距離，采用更高功率的發(fā)送器可以延長(cháng)覆蓋距離，但同時(shí)信號受到的干擾也會(huì )更大，遇到的障礙也會(huì )更多。另外考慮到安全性，WLAN又要求限制發(fā)送功率，這些都影響到傳輸距離。802.11a可以傳輸的距離和802.11b差不多。雖然從原理上講高頻電磁波更容易被吸收，傳輸距離較短，但由于11a采用OFDM技術(shù)，可以克服多徑效應的影響，綜合考慮這兩種因素易得出它們的覆蓋距離沒(méi)有多大差別的結論。但要注意的是，802.11a的54Mb/s速率是在10米以?xún)瓤蛇_到的，隨著(zhù)距離的增加，速率減小得很快，70多米時(shí)就下降到10Mb/s以?xún)攘恕?
由于802.11g是一個(gè)新標準，還沒(méi)有實(shí)驗數據來(lái)說(shuō)明它的傳輸距離，但從OFDM技術(shù)的原理來(lái)推測應當能達到更遠的距離。當然增加傳輸距離不完全是優(yōu)勢，因為無(wú)線(xiàn)帶寬是共享的，距離的增加就意味著(zhù)用戶(hù)數的增加，每個(gè)用戶(hù)可分配的帶寬相應減少。因此802.11g適合在用戶(hù)較少的環(huán)境或者用戶(hù)對于帶寬要求低的場(chǎng)所。另一個(gè)問(wèn)題就是較長(cháng)的距離將會(huì )泄漏信號，入侵者就可能從遠端闖入網(wǎng)絡(luò )。要解決這個(gè)問(wèn)題可以采用定向天線(xiàn)的辦法來(lái)解決。
綜上所述，由于WLAN功率受限，其服務(wù)覆蓋區域就有限，其方便性也就大打折扣。但如果再想辦法將各個(gè)WLAN連接起來(lái)，便可以形成無(wú)線(xiàn)城域網(wǎng)，使諸如筆記本電腦和PDA等便攜式上網(wǎng)設備在同一城市無(wú)線(xiàn)移動(dòng)，從而滿(mǎn)足移動(dòng)狀態(tài)下的接入需求。在無(wú)線(xiàn)網(wǎng)絡(luò )IP規劃中，假設定義以"樓層"為一網(wǎng)段，樓內的用戶(hù)只能在自己的樓層保持固定IP的移動(dòng)，或者在不同AP之間進(jìn)行網(wǎng)段內的切換。如果用戶(hù)離開(kāi)屬于自己的樓層到樓下商務(wù)活動(dòng)區域時(shí)，就不得不修改電腦內原來(lái)的IP地址，或者進(jìn)行DHCP方式重新獲得一個(gè)暫時(shí)的IP來(lái)上網(wǎng)。但是，此時(shí)用戶(hù)不能再回到自己的辦公網(wǎng)內，獲得相應的網(wǎng)內數據及正常的網(wǎng)絡(luò )工作能力。
借助移動(dòng)IP技術(shù)，即在IP網(wǎng)絡(luò )上的多個(gè)區域均可使用同一IP地址，通過(guò)使用被稱(chēng)為本地代理(HomeAgent)和外地代理(ForeignAgent)的特殊路由器，對網(wǎng)絡(luò )終端所處位置的網(wǎng)絡(luò )進(jìn)行管理，就可實(shí)現WLAN不同網(wǎng)段之間的漫游。從運營(yíng)商角度看，這就是網(wǎng)間漫游問(wèn)題。如果不能漫游，消費者就需要購買(mǎi)多家運營(yíng)商的網(wǎng)絡(luò )，接入不同的運營(yíng)商網(wǎng)絡(luò )時(shí)，筆記本電腦需要重新登錄，人們也不知道如何在特定區域辨別運營(yíng)商是誰(shuí)？因此，應考慮使得多家無(wú)線(xiàn)ISP共享用戶(hù)使用網(wǎng)絡(luò )的統計信息和計費信息，協(xié)調無(wú)線(xiàn)ISP間的利益分配，實(shí)現不同運營(yíng)商之間的互聯(lián)互通。
不過(guò)漫游何時(shí)能夠實(shí)現，現在還很難說(shuō)。但可喜的是，世界上最大的無(wú)線(xiàn)寬帶運營(yíng)商聯(lián)盟(WBA)于03年7月召開(kāi)的第三次會(huì )議上宣布，Wi-Fi國際漫游將在中國(網(wǎng)通)、澳大利亞、馬來(lái)西亞和新加坡四個(gè)國家作試點(diǎn)試驗，它提出全球品牌標識、標準的登陸界面和Wi-Fi國際漫游，旨在確保無(wú)線(xiàn)寬帶服務(wù)在不同國家能夠持續穩定運行，網(wǎng)絡(luò )能夠平滑無(wú)縫連接，進(jìn)而保障用戶(hù)能更為便捷地實(shí)現無(wú)線(xiàn)上網(wǎng)。
盡管WLAN的接入速率很高，但無(wú)論是局域網(wǎng)還是城域網(wǎng)，都不能在快速移動(dòng)中獲取數據。目前能夠實(shí)現快速移動(dòng)環(huán)境下接入的只有蜂窩網(wǎng)絡(luò )，即2G和3G等。由于這類(lèi)網(wǎng)絡(luò )覆蓋范圍大，因此也可稱(chēng)之為無(wú)線(xiàn)廣域網(wǎng)。但美中不足是其數據傳輸速率很低，即使理想狀態(tài)下3G的數據傳輸速率也只能達到2Mb/s，這與802.11b的11Mb/s相差甚遠。因此，它只能做到"無(wú)限覆蓋，有限帶寬"；相比而言，從有線(xiàn)LAN延伸而來(lái)的WLAN卻具備"有限覆蓋，無(wú)限帶寬"的特點(diǎn)。因此，在無(wú)法布新線(xiàn)的場(chǎng)所，WLAN可作為有線(xiàn)局域網(wǎng)的補充；在一些“熱點(diǎn)”地區，WLAN則可作為3G的競爭方案。從這種角度來(lái)講，WLAN和3G都不完美，不同技術(shù)、不同方案在市場(chǎng)上的定位是不同的，可能會(huì )有取代的關(guān)系，但更有可能是共存共生的關(guān)系。例如，中國移動(dòng)已聯(lián)合聯(lián)想，在筆記本電腦網(wǎng)卡中外接GPRS模塊，通過(guò)SIM卡實(shí)現上網(wǎng)和計費，試圖在無(wú)線(xiàn)廣域網(wǎng)與WLAN的正面交鋒中找到最適合的空間。但無(wú)論如何，WLAN肯定會(huì )對3G產(chǎn)生很大的影響。

中國的WLAN策略
國家標準化管理委員會(huì )已正式頒布了由“中國寬帶無(wú)線(xiàn)IP標準工作組” (www.chinabwips.org)負責起草的中國WLAN GB 15629.11-2003系列標準。該WLAN標準是在原則采用國際標準ISO/IEC8802.11系列標準的前提下，在充分考慮和兼顧WLAN產(chǎn)品互連互通的基礎上，針對WLAN的安全問(wèn)題，給出了技術(shù)解決方案和規范要求。它把國家對密碼算法和無(wú)線(xiàn)電頻率的要求納入了進(jìn)來(lái)，是基于國際標準之上的符合中國安全規范的WLAN標準，且這兩個(gè)標準屬于國家強制執行標準，將在04年6月正式執行，屆時(shí)不符合此標準的WLAN產(chǎn)品將不允許出現在市場(chǎng)上。
盡管我們國家WLAN標準的出臺以及強制執行引起了很大的影響，但這是我國信息安全戰略的具體落實(shí)，它表明我們國家已經(jīng)邁出了堅實(shí)的一步?！?

參考文獻：
1.‘零組件雜志’, 2003