WLAN的標準、安全及漫游

摘  要： 文章在介紹WLAN標準的基礎(chǔ)上，重點探討了WLAN的安全問題和漫游問題，并在文章最后介紹了我國制定的GB15629.11標準。
關(guān)鍵詞： WLAN；安全性
許多新興的無線寬帶技術(shù)在剛開始時，都會標榜自己未來會成為主流技術(shù)，如WLAN(無線局域網(wǎng))、藍牙、HomeRF、UWB(超寬帶)等，但是真正能經(jīng)得起市場考驗，獲得大多數(shù)人認同者，目前恐怕就只有IEEE 802.11系列的WLAN夠格了。從應(yīng)用角度來看，WLAN雖然已經(jīng)提出好多年了，但由于原來一直把它單純定位于有線LAN的延伸，加上無統(tǒng)一標準以及傳輸速率低，所以用得并不多，很難推廣。直到上世紀末，隨著WLAN技術(shù)自身的進步和標準的統(tǒng)一，把它重新定位用做互聯(lián)網(wǎng)高速無線接入技術(shù)之后才出現(xiàn)廣泛使用的趨勢，應(yīng)用于辦公室、機場、酒店、商場、咖啡屋等公共熱點場所(hotsports)。因此，曾在2000年被評為美國通信技術(shù)十大趨勢之一。

WLAN標準的變遷
IEEE 802.11系列標準除包括97年公布的802.11外，還包括后來接連推出的802.11a、11b、11g等幾個新的標準。從技術(shù)角度來看，802.11a占用5GHz自由頻段，由于這一頻段其它應(yīng)用不多，故干擾較少；它采用了傳輸速率較高的正交頻分復(fù)用(OFDM)技術(shù)，在10m范圍內(nèi)其速率可高達54Mb/s，但隨著距離的增加，其速率快速下降，70多米時就會下降到10Mb/s以內(nèi)。802.11b占用2.4GHz的自由頻段，但由于許多國家無繩電話、藍牙設(shè)備甚至微波爐都使用這個頻段，故干擾要大一些，它采用相對簡單的直接序列擴頻(DSSS)技術(shù)，其速率理論上可以達到11Mb/s，但考慮到物理層的開銷(至少約40%)以及自由頻段易受干擾等情況，其速率遠低于此。雖然802.11a開始制定的時間要早于802.11b，但因為802.11b容易實現(xiàn)，完成得較早，所以802.11b產(chǎn)品反而占據(jù)了較大的市場份額。
顯然由于使用不同的頻段，所以802.11a的產(chǎn)品不能和802.11b相兼容。為了解決這個問題，IEEE開發(fā)了802.11g協(xié)議，它在和802.11b兼容的基礎(chǔ)上提高了速度和傳輸距離。802.11g中規(guī)定的調(diào)制方式有兩種，包括802.11a中采用的OFDM與802.11b中采用的CCK(補碼鍵控調(diào)制)。通過規(guī)定兩種調(diào)制方式，既達到了在2.4GHz頻段實現(xiàn)802.11a水平的數(shù)據(jù)傳送速度，也確保了與裝機數(shù)量超過1100萬臺的802.11b產(chǎn)品的兼容。TI公司提案的可實現(xiàn)22Mb/s數(shù)據(jù)傳送速度的PBCC-22(CCK-PBCC)調(diào)制方式與CCK-OFDM也可以作為選項使用。所以802.11g其實是一種混合標準，它既能適應(yīng)傳統(tǒng)的802.11b標準，在2.4GHz頻率下提供每秒11Mb/s數(shù)據(jù)傳輸率，也符合802.11a標準在5GHz頻率下提供54Mb/s數(shù)據(jù)傳輸率。但是干擾的原因決定了802.11g不可能達到802.11a的高速率，而且這個協(xié)議到2003年7月才得到正式批準，這致使許多設(shè)備生產(chǎn)商已經(jīng)轉(zhuǎn)而直接采用802.11a。
雖然802.11g標準最高速率也可達到54Mb/s，但對于今后在WLAN中要開展的多媒體業(yè)務(wù)來說，這個速率還遠遠不夠。因此IEEE已經(jīng)成立了一個新的工作小組，準備制定一項新的高速WLAN標準802.11n。該標準采用多輸入多輸出(MIMO)技術(shù)和OFDM技術(shù)，計劃將WLAN的傳輸速率從54Mb/s增加至108Mb/s以上，以實現(xiàn)與百兆有線網(wǎng)的無縫結(jié)合，其最高數(shù)據(jù)速率預(yù)計可達320Mb/s。
WLAN除了上面提到的一些主要標準外，IEEE還在不斷地完善這些協(xié)議，推出或即將推出的新協(xié)議有：不使用2.4GHz 頻段的802.11b版本802.11d，改善802.11協(xié)議QoS(服務(wù)質(zhì)量)的802.11e，改善切換機制的802.11f，改善安全機制的802.11i等。
傳輸技術(shù)標準一旦確定下來，WLAN的研究重點相應(yīng)地也就應(yīng)由硬件產(chǎn)品的開發(fā)轉(zhuǎn)移到軟件方面，以解決其目前所遇到的一些問題：首先是安全問題，所有的網(wǎng)絡(luò)都存在安全問題，但無線網(wǎng)絡(luò)又有其特殊性；其次是漫游問題，與移動網(wǎng)的漫游問題不同，WLAN的漫游問題更多的是不同的運營商之間的漫游問題，以及結(jié)算、計費等問題。


圖1  802.11相關(guān)標準發(fā)展藍圖


圖2  Wi-Fi與Bluetooth應(yīng)用示意圖

安全問題
任何網(wǎng)絡(luò)中，數(shù)據(jù)的安全問題應(yīng)是重點考慮的對象，但安全性恰是WLAN最薄弱的一個地方。作為一種比較可靠的有線網(wǎng)絡(luò)安全解決方案，VPN(虛擬專用網(wǎng))技術(shù)在企業(yè)有線網(wǎng)絡(luò)應(yīng)用中得到了一定程度的采用。但在無線網(wǎng)絡(luò)中，因突發(fā)干擾或AP(接入點)間越區(qū)切換等因素導(dǎo)致的無線鏈路質(zhì)量波動或短時中斷，都有可能導(dǎo)致用戶通信鏈路出現(xiàn)短時中斷。而一旦鏈路發(fā)生中斷，用戶將不得不通過手動設(shè)置以重新恢復(fù)VPN連接。這對于WLAN用戶，尤其是需要移動或QoS保證(如VoIP業(yè)務(wù))的WLAN用戶是不可忍受的。另外，VPN網(wǎng)絡(luò)較高的復(fù)雜度和成本也在很大程度上阻礙了VPN技術(shù)在WLAN中的應(yīng)用。而早在2000年10月，802.11b采用的基于RC4算法的標準安全協(xié)議WEP(Wired Equivalent Privacy，有線等效保密協(xié)議)就被發(fā)現(xiàn)存在安全漏洞。它使用24bit的初始向量和40bit的密鑰來加密數(shù)據(jù)，每個用戶使用相同的密鑰，這意味著某個用戶的安全漏洞將威脅整個網(wǎng)絡(luò)的安全?，F(xiàn)在有些新的產(chǎn)品支持WEP2(后來IEEE將其命名為TKIP：Temporal Key Integrity Protocol，臨時密鑰完整性校驗協(xié)議)，盡管它使用48bit的初始向量和128bit的密鑰，但它仍沒有脫離WEP核心，和WEP完全兼容。然而WEP算法的安全漏洞是由于WEP機制本身引起的，與密鑰的長度無關(guān)，故增加密鑰長度是不可能增強其安全性的，初始向量長度的增加也只能在一定程度上提高破解難度，延長破解時間，而并不能從根本上解決問題。某種程度上TKIP更易受攻擊，因為它采用了Kerberos密碼，常常可以用簡單的猜測方法攻破。Wi-Fi聯(lián)盟和IEEE 802委員會也承認，TKIP只能作為一種臨時的過渡方案，而不是最終方案。至于長期而言，則是采用AES(Advanced Encryption Standard，高級加密標準)加密方式。
除了通過對待傳輸?shù)臄?shù)據(jù)進行加密來提高安全性外，WLAN還可通過加強對用戶的認證來增強自身的安全性。當初的802.11b使用業(yè)務(wù)組標識符(SSID)，但由于其采用廣播形式，使用者皆可收到，故易被破解。WLAN后來采用IEEE 802.1x的認證方式，但802.1x并不是專為WLAN設(shè)計的，它沒有考慮到無線應(yīng)用的特點。802.1x提供無線客戶端與RADIUS服務(wù)器之間的認證，而不是客戶端與無線接入點AP之間的認證；采用的是用戶名和口令的用戶認證，所以在存儲、使用和認證信息傳遞中仍存在很大安全隱患，如泄漏、丟失等。
所以，目前正在制定中的IEEE 802.11i標準給出的安全解決方案為：基于802.1x認證的CCMP(CBC-MAC Protocol)加密技術(shù)，即以AES為核心算法，采用CBC-MAC加密模式，具有分組序號的初始向量。CCMP為128位的分組加密算法，其相比前面所述的所有算法安全程度更高。
當然，在新標準正式頒布之前，目前能夠采用的一些簡單的安全補救措施有：使用WEP協(xié)議的時候要注意密鑰的管理，每天或每周更換缺省的密鑰；用密碼保護硬盤和文件夾；改變默認的SSID；使用有些產(chǎn)品中提供的會話密鑰；使用有些產(chǎn)品中提供的MAC地址過濾功能等。
我們國家標準GB15629.11-2003使用了一種名為“WLAN鑒別與保密基礎(chǔ)結(jié)構(gòu)”(WAPI)的安全協(xié)議，而不是802.11標準中使用的WEP或TKIP安全協(xié)議。從技術(shù)上講，WAPI安全機制與目前國際標準不同。WAPI采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加/解密，從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護。它已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認可，分配了用于WAPI協(xié)議的以太類型字段，這也是我國目前在該領(lǐng)域惟一獲得批準的協(xié)議，正等待向ISO/IEC JTC1委員會進行提交。
從市場角度講，WAPI充分考慮了市場應(yīng)用。應(yīng)用模式上分為單點式和集中式兩種：單點式主要用于家庭和小型公司的小范圍應(yīng)用；集中式主要用于熱點地區(qū)和大型企業(yè)，可以和運營商的管理系統(tǒng)結(jié)合起來，共同搭建安全的無線應(yīng)用平臺。用戶可以在家里、公司、熱點地區(qū)等地區(qū)安全地應(yīng)用WLAN，而無需為安全性和各設(shè)備間的互聯(lián)互通擔心。

漫游問題以及與3G的融合
不同WLAN的覆蓋距離也不一樣。多數(shù)802.11b的網(wǎng)絡(luò)可以傳輸100米的距離，采用更高功率的發(fā)送器可以延長覆蓋距離，但同時信號受到的干擾也會更大，遇到的障礙也會更多。另外考慮到安全性，WLAN又要求限制發(fā)送功率，這些都影響到傳輸距離。802.11a可以傳輸?shù)木嚯x和802.11b差不多。雖然從原理上講高頻電磁波更容易被吸收，傳輸距離較短，但由于11a采用OFDM技術(shù)，可以克服多徑效應(yīng)的影響，綜合考慮這兩種因素易得出它們的覆蓋距離沒有多大差別的結(jié)論。但要注意的是，802.11a的54Mb/s速率是在10米以內(nèi)可達到的，隨著距離的增加，速率減小得很快，70多米時就下降到10Mb/s以內(nèi)了。
由于802.11g是一個新標準，還沒有實驗數(shù)據(jù)來說明它的傳輸距離，但從OFDM技術(shù)的原理來推測應(yīng)當能達到更遠的距離。當然增加傳輸距離不完全是優(yōu)勢，因為無線帶寬是共享的，距離的增加就意味著用戶數(shù)的增加，每個用戶可分配的帶寬相應(yīng)減少。因此802.11g適合在用戶較少的環(huán)境或者用戶對于帶寬要求低的場所。另一個問題就是較長的距離將會泄漏信號，入侵者就可能從遠端闖入網(wǎng)絡(luò)。要解決這個問題可以采用定向天線的辦法來解決。
綜上所述，由于WLAN功率受限，其服務(wù)覆蓋區(qū)域就有限，其方便性也就大打折扣。但如果再想辦法將各個WLAN連接起來，便可以形成無線城域網(wǎng)，使諸如筆記本電腦和PDA等便攜式上網(wǎng)設(shè)備在同一城市無線移動，從而滿足移動狀態(tài)下的接入需求。在無線網(wǎng)絡(luò)IP規(guī)劃中，假設(shè)定義以"樓層"為一網(wǎng)段，樓內(nèi)的用戶只能在自己的樓層保持固定IP的移動，或者在不同AP之間進行網(wǎng)段內(nèi)的切換。如果用戶離開屬于自己的樓層到樓下商務(wù)活動區(qū)域時，就不得不修改電腦內(nèi)原來的IP地址，或者進行DHCP方式重新獲得一個暫時的IP來上網(wǎng)。但是，此時用戶不能再回到自己的辦公網(wǎng)內(nèi)，獲得相應(yīng)的網(wǎng)內(nèi)數(shù)據(jù)及正常的網(wǎng)絡(luò)工作能力。
借助移動IP技術(shù)，即在IP網(wǎng)絡(luò)上的多個區(qū)域均可使用同一IP地址，通過使用被稱為本地代理(HomeAgent)和外地代理(ForeignAgent)的特殊路由器，對網(wǎng)絡(luò)終端所處位置的網(wǎng)絡(luò)進行管理，就可實現(xiàn)WLAN不同網(wǎng)段之間的漫游。從運營商角度看，這就是網(wǎng)間漫游問題。如果不能漫游，消費者就需要購買多家運營商的網(wǎng)絡(luò)，接入不同的運營商網(wǎng)絡(luò)時，筆記本電腦需要重新登錄，人們也不知道如何在特定區(qū)域辨別運營商是誰？因此，應(yīng)考慮使得多家無線ISP共享用戶使用網(wǎng)絡(luò)的統(tǒng)計信息和計費信息，協(xié)調(diào)無線ISP間的利益分配，實現(xiàn)不同運營商之間的互聯(lián)互通。
不過漫游何時能夠?qū)崿F(xiàn)，現(xiàn)在還很難說。但可喜的是，世界上最大的無線寬帶運營商聯(lián)盟(WBA)于03年7月召開的第三次會議上宣布，Wi-Fi國際漫游將在中國(網(wǎng)通)、澳大利亞、馬來西亞和新加坡四個國家作試點試驗，它提出全球品牌標識、標準的登陸界面和Wi-Fi國際漫游，旨在確保無線寬帶服務(wù)在不同國家能夠持續(xù)穩(wěn)定運行，網(wǎng)絡(luò)能夠平滑無縫連接，進而保障用戶能更為便捷地實現(xiàn)無線上網(wǎng)。
盡管WLAN的接入速率很高，但無論是局域網(wǎng)還是城域網(wǎng)，都不能在快速移動中獲取數(shù)據(jù)。目前能夠?qū)崿F(xiàn)快速移動環(huán)境下接入的只有蜂窩網(wǎng)絡(luò)，即2G和3G等。由于這類網(wǎng)絡(luò)覆蓋范圍大，因此也可稱之為無線廣域網(wǎng)。但美中不足是其數(shù)據(jù)傳輸速率很低，即使理想狀態(tài)下3G的數(shù)據(jù)傳輸速率也只能達到2Mb/s，這與802.11b的11Mb/s相差甚遠。因此，它只能做到"無限覆蓋，有限帶寬"；相比而言，從有線LAN延伸而來的WLAN卻具備"有限覆蓋，無限帶寬"的特點。因此，在無法布新線的場所，WLAN可作為有線局域網(wǎng)的補充；在一些“熱點”地區(qū)，WLAN則可作為3G的競爭方案。從這種角度來講，WLAN和3G都不完美，不同技術(shù)、不同方案在市場上的定位是不同的，可能會有取代的關(guān)系，但更有可能是共存共生的關(guān)系。例如，中國移動已聯(lián)合聯(lián)想，在筆記本電腦網(wǎng)卡中外接GPRS模塊，通過SIM卡實現(xiàn)上網(wǎng)和計費，試圖在無線廣域網(wǎng)與WLAN的正面交鋒中找到最適合的空間。但無論如何，WLAN肯定會對3G產(chǎn)生很大的影響。

中國的WLAN策略
國家標準化管理委員會已正式頒布了由“中國寬帶無線IP標準工作組” (www.chinabwips.org)負責(zé)起草的中國WLAN GB 15629.11-2003系列標準。該WLAN標準是在原則采用國際標準ISO/IEC8802.11系列標準的前提下，在充分考慮和兼顧WLAN產(chǎn)品互連互通的基礎(chǔ)上，針對WLAN的安全問題，給出了技術(shù)解決方案和規(guī)范要求。它把國家對密碼算法和無線電頻率的要求納入了進來，是基于國際標準之上的符合中國安全規(guī)范的WLAN標準，且這兩個標準屬于國家強制執(zhí)行標準，將在04年6月正式執(zhí)行，屆時不符合此標準的WLAN產(chǎn)品將不允許出現(xiàn)在市場上。
盡管我們國家WLAN標準的出臺以及強制執(zhí)行引起了很大的影響，但這是我國信息安全戰(zhàn)略的具體落實，它表明我們國家已經(jīng)邁出了堅實的一步?！?

參考文獻：
1.‘零組件雜志’, 2003