可运营WLAN网络安全问题的探讨

可运营WLAN网络安全问题的探讨

新技术应用创造了新市场空间，同时改变网络格局，给最终用户带来方便。WLAN(无线局域网)技术能为最终用户提供与IP有线接入网络相当的接入带宽，同时又具备无线的可移动性、建网快的特点，不受接入线缆资源以及工程安装的限制，随时随地给最终用户提供服务。 在人员流动较大，Internet服务需求较强的场所无疑是一种构架宽带接入网络的理想手段。目前国内外运营商均已将WLAN作为宽带无线接入手段，融入到运营网络中，其WLAN的应用范围已超越WLAN原先定义的为企业或家庭提供最后100m接入(无线Hub)。WLAN技术凭借其自身的优势得到运营商建网的青睐，同时由于其标准的不完善，给运营网络引入的安全隐患也一直为业界争议。

以802.11技术构建的无线局域网网络WLAN，其技术本身的安全属性无法代表网络的安全。业界讨论WLAN网络安全一般考虑的是将WLAN引入运营网络，由于802.11空中接口安全尚不完备，导致网络存在安全隐患，其实空中接口的安全只是整个网络安全的一个问题，真正的WLAN网络的安全是一个多层互动、全面综合的系统工程问题，是否达到电信级网络安全的要求。应该衡量的标准是:能否为最终用户提供端到端安全保障?能否为运营商提供集设备级、网络级、解决方案级三位一体的端到端安全架构?此外，WLAN的安全特性还应根据其不同的应用环境进行裁剪，在Home/Soho等应用时安全性要求可较低，而在企业网和公共运营网络应用时，安全性要求应较高。

一、设备级安全

可运营WLAN网络安全方案中应该考虑到设备级安全，包括电信设备的物理环境安全和主机安全。

网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性。作为可运营WLAN网络的WLAN标准网元设备必须基于电信级设计，具体包括室外型AP应该具有防水、防雷、防火和防盗的特性，AC和AS应该放置在局端，符合NEBS三级标准的要求。

网络设备的主机应该具备用户管理、安全日志、数据存储备份等技术能力。

二、网络级安全

可运营网络在设计上应考虑到多层面的安全机制，针对WLAN应包括无线链路层安全、网络层安全和应用层安全。

链路层安全主要是通过网络的链路层的安全协议来保证，其中无线链路层的安全主要由802.11协议定义。链路层的安全机制主要包括:

无线网络设备的服务区域认证ID(ESSID);Opensystem和Sharekey认证;MAC地址访问控制;基于MAC地址的访问控制列表(ACL)。

网络层安全是由IP层协议保证网络的安全，主要包括网络边界控制和管理，加强对外部攻击和内部信息泄露的防范，网络层的安全机制主要如下:

基于五元组的访问控制列表(ACL);NAT/PAT功能;逆向检测(RPD)，防止IP地址欺骗;动态路由协议(RIP、OSPF、BGP)防欺骗;应用层加密的支持，为关键应用提供应用加密或隧道(IPSec)。

应用层安全主要是在网络的应用层提供安全机制，主要包括:

网管信息安全，SNMPv1/v2c提供基于community的安全机制，SNMPv3提供基于用户/密码的安全机机制，安全性更强;安全登录方式SSH;HTTP的安全机制HTTPs;RADIUS认证加密。

三、解决方案级安全

WLAN网络所具备的设备级、网络级的安全特性基本能满足WLAN在家庭/SOHO中应用的安全要求。而针对WLAN运用于开放公共运营网络，由于运用环境、组网网元、服务对象的变化，还需要考虑更多的安全问题:

基于不信任模型，从客户接入网络开始，经过多层次客户认证;业务网安全策略和实施方案要根据业务特征进行规划与实施;客户使用的方便性在安全方案设计中必须重点考虑;高可用性要求;

主要通过安全技术与业务良好结合来解决安全问题、降低安全风险。

网络面临的主要安全威胁包括:

非法接入;恶意欺骗;信息外泄;信息遭篡改;网络和通讯业务遭受攻击。具体到WLAN的方案级安全策略主要包括用户认证、用户隔离、用户绑定、用户数据加密等几个方面。

3.1用户认证的安全:

通过识别用户身份进行相应授权，在认证过程中保护用户认证信息安全，不被窃取。可运营WLAN网络目前用户身份认证方式主要有以下三种:PPPOE、WEB、802.1x。而协议上这三种认证的过程都应该经过加密的。具体的加密机制如下:

(1)PPPOE中采用CHAP认证，可通过MD5算法，用户密码不以明文方式在网上传输，保证认证信息的安全;

(2)WEB认证中用户密码可采用HTTPS加密传送，保证认证信息的安全;

(3)在802.1x认证中，EAP-MD5认证可采用MD5算法，用户密码不以明文方式在网上传输，保证认证信息的安全。EAP-SIM认证可采用A3/A8加密算法保证安全性。可以实现双向认证和动态密钥下发。EAP-TTLS、EAP-TLS、PEAP可通过SSL/TLS实现双向认证和动态密钥下发。

3.2用户绑定:

通过各种认证技术(WEB、PPPOE或802.1X)对用户进行认证后，AC应对用户进行绑定，可以通过VLAN+IP地址+MAC地址来唯一标识一个用户，同时为该用户分配带宽等属性。用户的业务流在进行转发时均应与用户标识进行检测，不匹配的报文将被丢弃。采用用户绑定技术可以较好防止IP地址欺骗、带宽滥用及对DHCP服务器的攻击。

3.3用户隔离安全性:

可运营的WLAN网络中，用户之间是互不信任的，所以必须采用用户隔离技术防止用户之间的互相攻击或窃听。具体策略如下:

(1)AP内部采用MAC互访控制原理隔离用户。确保同一AP下的用户不能二层相通，只能与上行口相通。

(2)AP之间采用MAC地址访问控制或组网汇聚设备二层隔离技术如VLAN/PVLAN/PVC进行隔离，保证不同AP下的用户不能直接相通。

(3)AC通过UCL(用户ACL)用户的三层互控访问，所有用户只有通过AC认证后才能进行三层受控互通。

3.4用户数据加密-通过加密保障用户信息的安全性:(1)无线链路层的加密:在用户终端(STA)和AP之间进行信息的加密和解密，保证空口的信息传送的安全性，主要的加密算法为:WEP:基于RC4算法，对报文进行流加密;TKIP:对RC4算法进行了改进，在密钥生成中采用哈希算法并增加MIC(消息完整性检查)，克服WEP的一些缺点。其初始密钥可通过EAP-SIM、EAP-TTLS、PEAP认证方式获得;AES:802.11i标准规定的标准算法，对报文进行块加密，需要硬件支持。其初始密钥可通过EAP-SIM、EAP-TTLS、PEAP认证方式获得。

(2)网络层的加密:主要用于实现VPDN业务。在用户终端(STA)和VPN网关之间对信息进行加密和解密，保证STA和VPN网关之间信息传送的安全性。常用的技术如IPSec、L2TP、PPTP等隧道技术。根据隧道建立方式主要分为如下两类:

用户发起的VPDN:用户发起的VPN连接指的是以下的这种情况:首先，移动用户通过WLAN热点接入Internet访问企业网，接着，用户通过网络隧道协议与企业网建立一条加密的IP隧道连接从而安全地访问企业网内部资源。在这种情况下，用户端必须维护与管理发起隧道连接的有关协议和软件。

两种VPDN方式的比较:由AC发起的VPDN，对于用户是透明的，用户不需要安装客户端软件，AC作为LAC为用户发起隧道，企业端需安装VPN网关终接隧道。企业可以采用AAA服务器进行用户的认证。由客户发起的VPDN只是利用运营商WLAN的承载通路，对运营商是透明的。而由AC发起的VPDN更适合运营商为企业提供VPDN业务，更便于集中控制管理VPDN业务。

四、总结

以前业界讨论WLAN安全提到的主要是WLAN空中接口安全问题。空中接口安全是WLAN网络安全的非常重要而且必须解决的问题，但WLAN网络能否作为开放运营网络只考虑空中接口问题是不够的，随着802.11i、Wi-FiWPA技术的完善，空中接口问题将得到解决。只有全方位、多维、端到端的WLAN运营网络的安全问题得到解决，才是真正解决WLAN作为可运营、可管理的无线接入网络的关键。