一、無線局域網(wǎng)的標準

在眾多的無線局域網(wǎng)標準中，人們知道最多的是IEEE(美國電子電氣工程師協(xié)會)802.11系列，此外制定WLAN標準的組織還有ETSI(歐洲電信標準化組織)和HomeRF工作組，ETSI提出的標準有HiperLan和HiperLan2，HomeRF工作組的兩個標準是HomeRF和HomeRF2。在這三家組織所制定的標準中，IEEE的802.11標準系列由于它的以太網(wǎng)標準802.3在業(yè)界的影響力使得在業(yè)界一直得到最廣泛的支持，尤其在數(shù)據(jù)業(yè)務(wù)上。ETSI是一個歐洲組織，因此一直得到歐洲政府的支持，很多運營商也都很尊重它的GSM和UMTS蜂窩電話標準，它在制定WLAN標準的時候更加關(guān)注語音業(yè)務(wù)。HomeRF作為一種為家庭網(wǎng)絡(luò)專門設(shè)計的標準在業(yè)界也有一定的影響力。下面就這幾個組織的標準逐一進行介紹。

1.IEEE的802.11標準系列

802.11是IEEE最初制定的一個無線局域網(wǎng)標準，主要用于解決辦公室局域網(wǎng)和校園網(wǎng)中用戶與用戶終端的無線接入，業(yè)務(wù)主要限于數(shù)據(jù)存取，速率最高只能達到2Mbps。目前，3Com等公司都有基于該標準的無線網(wǎng)卡

由于802.11在速率和傳輸距離上都不能滿足人們的需要，因此，IEEE小組又相繼推出了802.11b和802.11a兩個新標準。3者之間技術(shù)上的主要差別在于MAC子層和物理層。

802.11b物理層支持5.5Mpbs和11Mpbs兩個新速率。802.11標準在擴頻時是一個11位調(diào)制芯片，而802.11b標準采用一種新的調(diào)制技術(shù)CCK完成。

802.11b使用動態(tài)速率漂移，可因環(huán)境變化，在11Mbps、5.5Mbps、2Mbps、1Mbps之間切換，且在2Mbps、1Mbps速率時與802.11兼容。802.11b的產(chǎn)品普及率最高，在眾多的標準中處于先導地位。

802.11a在802.11協(xié)議組中是第一個出臺的標準，802.11a工作在5GHzU-NII頻帶，物理層速率可達54Mb/s，傳輸層可達25Mbps。采用正交頻分復用(OFDM)的獨特擴頻技術(shù);可提供25Mbps的無線ATM接口和10Mbps的以太網(wǎng)無線幀結(jié)構(gòu)接口，以及TDD/TDMA的空中接口;支持語音、數(shù)據(jù)、圖像業(yè)務(wù);一個扇區(qū)可接入多個用戶，每個用戶可帶多個用戶終端。但是，芯片沒有進入市場、設(shè)備昂貴、空中接力不好、點對點連接很不經(jīng)濟、不適合小型設(shè)備。值得慶幸的是，Radiata的低成本COMS無線引擎芯片裝置可支持802.11a。

802.11a最明顯的缺點就是兼容性，802.11a使用的是較高的頻率，在物理層上采用不同于802.11b的OFDM技術(shù)，所以802.11a產(chǎn)品和現(xiàn)在已經(jīng)安裝的802.11b不能互通，解決這個問題的唯一方法就是使用雙模設(shè)備，使兩種系統(tǒng)都可以支持。

藍牙(IEEE 802.15)是一項最新標準，對于802.11來說，它的出現(xiàn)不是為了競爭而是相互補充。藍牙802.11更具移動性，比如，802.11限制在辦公室和校園內(nèi)，藍牙能把1個設(shè)備連接到LAN到WAN，甚至支持全球漫游。此外，藍牙成本低、體積小，可用于更多的設(shè)備。但是，藍牙主要是點對點的短距離無線發(fā)送技術(shù)，本質(zhì)上要么是RF要么是紅外線。而且，藍牙被設(shè)計居低功耗、短距離、低帶寬的應(yīng)用，嚴格來講，不算是真正的局域網(wǎng)技術(shù)。

2.ETSI的HiperLan2

HiperLan是歐盟在1992年提出的一個WLAN標準，HiperLan2是它的后續(xù)版本，HiperLan2部分建立在GSM基礎(chǔ)上，使用頻段為5GHz。在物理層上HiperLan2和802.11a幾乎完全相同：它采用OFDM技術(shù)，最大數(shù)據(jù)速率為54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太網(wǎng)基礎(chǔ)上的，而是采用的TDMA結(jié)構(gòu)，形成是一個面向連接的網(wǎng)絡(luò)，HiperLan2的面向連接的特性使它很容易滿足QoS要求，可以為每個連接分配一個指定的QoS，確定這個連接在帶寬、延遲、擁塞、比特錯誤率等方面的要求。這種QoS支持與高傳輸速率一起保證了不同的數(shù)據(jù)序列(如視頻、話音和數(shù)據(jù)等)可以同時進行高速傳輸。

HiperLan2雖然在技術(shù)上有優(yōu)勢，然而它在開發(fā)過程中卻落在802.11a的后面，不過因為它是歐洲的標準，所以一直得到歐洲政府的支持，尤其在頻率規(guī)劃上，因為它使用的波段和802.11a相同，許多投資商一直在游說歐洲政府，希望802.11a也能在HiperLan2波段使用，IEEE也正在開發(fā)一個可以將兩種5GHz系統(tǒng)統(tǒng)一起來的標準。

3.HomeRF

顧名思義，HomeRF是為家庭網(wǎng)絡(luò)設(shè)計的(RF意思是射頻)，是一種將家中的PC和用戶電子設(shè)備之間實現(xiàn)無線數(shù)字通信的開放性工業(yè)標準，所用波段為2.4GHz。它是基于原始的802.11的FHSS版本，但其推廣一直不力，目前已基本退出歷史舞臺。#p#

二、無線局域網(wǎng)安全協(xié)議

1.WEP協(xié)議

IEEE802.11標準中的WEP(Wired Equivalent Privacy)協(xié)議是IEEE802.11b協(xié)議中最基本的無線安全加密措施，其主要用途包括提供接入控制，防止未授權(quán)用戶訪問網(wǎng)絡(luò);對數(shù)據(jù)進行加密，防止數(shù)據(jù)被攻擊者竊聽;防止數(shù)據(jù)被攻擊者中途惡意纂改或偽造。此外，WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發(fā)出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，如果正確無誤，才能獲準存取網(wǎng)絡(luò)的資源。AboveCable所有型號的AP都支持64位或(與)128位的靜態(tài)WEP加密，有效地防止數(shù)據(jù)被竊聽盜用。

該技術(shù)適合一些小型企業(yè)　、家庭用戶等小型環(huán)境的無線網(wǎng)絡(luò)應(yīng)用，無需額外的設(shè)備支出，配置方便。但在無線行業(yè)應(yīng)用中，基于WEP加密技術(shù)的安全缺陷飽受非議，因針對WEP數(shù)據(jù)包加密已有破譯的方法，且使用這一方法破解WEP密鑰的工具可以在互聯(lián)網(wǎng)上免費下載。相應(yīng)的，替代WEP的WPA標準已于2002年下半年出臺了，通過暫時密鑰集成協(xié)議(TKIP)增強了數(shù)據(jù)加密，提高無線網(wǎng)絡(luò)的安全特性。

2.IEEE 802.11i安全標準

IEEE 802.11的i工作組致力于制訂被稱為IEEE 802.11i的新一代安全標準，這種安全標準為了增強WLAN的數(shù)據(jù)加密和認證性能，定義了RSN(Robust Security Network)的概念，并且針對WEP加密機制的各種缺陷做了多方面的改進。

IEEE 802.11i規(guī)定使用802.1x認證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三種加密機制。其中TKIP采用WEP機制里的RC4作為核心加密算法，可以通過在現(xiàn)有的設(shè)備上升級固件和驅(qū)動程序的方法達到提高WLAN安全的目的。CCMP機制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)認證方式，使得WLAN的安全程度大大提高，是實現(xiàn)RSN的強制性要求。由于AES對硬件要求比較高，因此CCMP無法通過在現(xiàn)有設(shè)備的基礎(chǔ)上進行升級實現(xiàn)。

3.WAPI協(xié)議

我國早在2003年5月份就提出了無線局域網(wǎng)國家標準 GB15629.11 ，這是目前我國在這一領(lǐng)域惟一獲得批準的協(xié)議。標準中包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安全機制，這種安全機制由 WAI(WLAN Authentication Infrastructure)和WPI(WLAN Privacy Infrastruc-ture)兩部分組成，WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。WAPI能為用戶的WLAN系統(tǒng)提供全面的安全保護。WAPI安全機制包括兩個組成部分。

WAI采用公開密鑰密碼體制，利用證書來對WLAN系統(tǒng)中的STA和AP進行認證。WAI定義了一種名為ASU(Authentication Service Unit)的實體，用于管理參與信息交換各方所需要的證書(包括證書的產(chǎn)生、頒發(fā)、吊銷和更新)。證書里面包含有證書頒發(fā)者(ASU)的公鑰和簽名以及證書持有者的公鑰和簽名(這里的簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法)，是網(wǎng)絡(luò)設(shè)備的數(shù)字身份憑證。

在具體實現(xiàn)中，STA在關(guān)聯(lián)到AP之后，必須相互進行身份鑒別。先由STA將自己的證書和當前時間提交給AP，然后AP將STA的證書、提交時間和自己的證書一起用自己的私鑰形成簽名，并將這個簽名連同這三部分一起發(fā)給ASU。

所有的證書鑒別都由ASU來完成，當其收到AP提交來的鑒別請求之后，會先驗證AP的簽名和證書。當鑒別成功之后，進一步驗證STA的證書。最后，ASU將STA的鑒別結(jié)果信息和AP的鑒別結(jié)果信息用自己的私鑰進行簽名，并將這個簽名連同這兩個結(jié)果發(fā)回給AP。

AP對收到的結(jié)果進行簽名驗證，并得到對STA的鑒別結(jié)果，根據(jù)這一結(jié)果來決定是否允許該STA接入。同時AP需要將ASU的驗證結(jié)果轉(zhuǎn)發(fā)給STA，STA也要對ASU的簽名進行驗證，并得到AP的鑒別結(jié)果，根據(jù)這一結(jié)果來決定是否接入AP。

由于WAI中對STA和AP進行了雙向認證，因此對于采用“假”AP的攻擊方式具有很強的抵御能力。

在STA和AP的證書都鑒別成功之后，雙方將會進行密鑰協(xié)商。首先雙方進行密鑰算法協(xié)商。隨后，STA和AP各自會產(chǎn)生一個隨機數(shù)，用自己的私鑰加密之后傳輸給對方。最后通信的兩端會采用對方的公鑰將對方所產(chǎn)生的隨機數(shù)還原，再將這兩個隨機數(shù)模運算的結(jié)果作為會話密鑰，并依據(jù)之前協(xié)商的算法采用這個密鑰對通信的數(shù)據(jù)加密。

由于會話密鑰并沒有在信道上進行傳輸，因此就增強了其安全性。為了進一步提高通信的保密性，WAPI還規(guī)定，在通信一段時間或者交換一定數(shù)量的數(shù)據(jù)之后，STA和AP之間可以重新協(xié)商會話密鑰。WAPI采用對稱密碼算法實現(xiàn)對MAC層MSDU進行的加、解密操作。WAPI標準將替代國際現(xiàn)行的WEP協(xié)議，原有標準因其安全性不理想，一直以來都為全球用戶所詬病。而采納了許多先進技術(shù)的新標準，無疑為推動國內(nèi)WLAN產(chǎn)業(yè)發(fā)展起到了積極的作用。同時，牽一發(fā)而動全身的安全新標準，也已影響到電信產(chǎn)業(yè)鏈上的諸多環(huán)節(jié)，格局變幻暗流涌動。但同時更為關(guān)鍵的是，由于WAPI協(xié)議提供了優(yōu)秀的認證和安全機制，因此它非常適合于運營商的公眾無線局域網(wǎng)(PWLAN)運營。這除了給現(xiàn)有運營商帶來利好之外，也極有可能因此衍生出更多的WLAN服務(wù)提供商。

然而就是這樣一項標準，由于理解上的差異遭到了多方面質(zhì)疑。一些業(yè)內(nèi)人士指出，由于新標準與先行標準差異較大，因此可能存在漫游及設(shè)備兼容等一些問題，而且，一些對安全問題并不敏感的用戶的使用成本也可能會增加。

事實上，這只是標準推出初期不可避免的問題。而且據(jù)專家介紹，設(shè)備僅需要進行簡單的軟件升級即可達到規(guī)范要求，過程平滑。同時，若從WLAN產(chǎn)業(yè)長期發(fā)展的角度這一代價也是完全值得的。

WAPI充分考慮了市場應(yīng)用，從應(yīng)用模式上可分為單點式和集中式兩種：單點式主要用于家庭和小型公司的小范圍應(yīng)用;集中式主要用于熱點地區(qū)和大型企業(yè)，可以和運營商的管理系統(tǒng)結(jié)合起來，共同搭建安全的無線應(yīng)用平臺。因此，采用WAPI可以徹底扭轉(zhuǎn)目前WLAN多種安全機制并存且互不兼容的現(xiàn)狀，從而在根本上解決安全問題和兼容性問題。

到2004年6月1日，未獲認證產(chǎn)品不得出廠、進口、銷售或者在其他經(jīng)營活動中使用。

3.WEP、IEEE 802.11i、WAPI三者之間的比較

WEP、IEEE 802.11i、WAPI三者之間的比較如表1所示

WEP IEEE 802.11i WAPI

認證特征 對硬件認證，單向認證。 無線用戶和 RADIUS 服務(wù)器認證，雙向認證，無線用戶身份通常為用戶名和口令。 無線用戶和無線接入點的認證，雙向認證，身份憑證為 公鑰數(shù)字證書。

性能 認證過程簡單 認證過程復雜， RADIUS 服務(wù)器不易擴充。 認證過程簡單，客戶端可支持多證書，方便用戶多處使用，充分保證其漫游功能，認證單元易于擴充，支持用戶的異地接入。

安全漏洞 認證易于偽造，降低了總安全性。 用戶身份憑證簡單，易于盜取，共享密 鑰管理存在安全隱患。 無

算法 開放式系統(tǒng)認證，共享密 鑰 認證。 未確定 192/224/256 位的橢圓曲線簽名算法。

安全強度 低 較高 最高

擴展性 低 低 高

加密 算法 64 位的 WEP 流加密。 128 位的 WEP 流加密， 128 位的 AES 加密算法。 認證的分組加密。

密 鑰 靜態(tài) 動態(tài)(基于用戶、基于認證、通信過程中動態(tài)更新) 動態(tài)(基于用戶、基于認證、通信過程中動態(tài)更新)

安全強度 低 高 最高

中國法規(guī) 不符合 不符合 符合#p#

三、中國宣布WAPI標準后引起的反響

2003年11月26日，國家質(zhì)量監(jiān)督檢驗檢疫總局和國家標準化管理委員會聯(lián)合發(fā)布公告，宣布兩個無線局域網(wǎng)強制性國家標準自2003年12月1日起開始實施，屆時將禁止進口、生產(chǎn)和銷售不符合強制性國家標準的無線局域網(wǎng)產(chǎn)品，該標準使用稱為“無線局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu)(WAPI)”的安全協(xié)議。

2003年12月1日，國家質(zhì)量監(jiān)督檢驗檢疫總局與國家認證認可監(jiān)督管理委員會的另一項公告隨后出臺，宣布對無線局域網(wǎng)產(chǎn)品實施強制性產(chǎn)品認證：自2004年6月1 日起，未獲得強制性產(chǎn)品認證證書和未施加中國強制性認證標志的無線局域網(wǎng)產(chǎn)品不得出廠、進口、銷售或者在其他經(jīng)營活動中使用。

所有在中國銷售的無線局域網(wǎng)設(shè)備都要遵循的這項標準的加密技術(shù)被無償轉(zhuǎn)讓給了包括聯(lián)想、華為、東軟等在內(nèi)的11家國內(nèi)廠商，而其他任何企業(yè)要想生產(chǎn)并銷售此類設(shè)備，必須要先和這11家廠商合作。

此舉引起了國外廠商和媒體的強烈反響，《華爾街日報》、美聯(lián)社等世界各大媒體紛紛給予特別關(guān)注，其中《亞洲華爾街日報》更是連續(xù)推出多篇報道，《亞洲華爾街日報》引用企業(yè)的話說：“戴爾公司稱﹐預(yù)計寬限期結(jié)束時，公司將暫停向中國發(fā)運受此政策影響的產(chǎn)品。業(yè)內(nèi)其它大型公司，從美國芯片巨頭英特爾到日本的索尼公司，再到聯(lián)想等中國硬件制造商，都急于了解新政策對其業(yè)務(wù)的潛在影響。美國的行業(yè)團體已出面就此問題游說中國和美國的決策者。”

國外巨頭普遍擔心這11家國內(nèi)企業(yè)會向在產(chǎn)品中采用此加密技術(shù)的中外公司收費，或者為了自己的產(chǎn)品搶占市場而拖延談判。另外，外國公司還擔心在購買加密技術(shù)過程中其知識產(chǎn)權(quán)遭到損害，他們認為，即使指定公司拒絕提供加密技術(shù)，新政策似乎也沒有為外國公司提供任何合法的補救辦法。

但國內(nèi)公司并不這么看，長期以來，中國因為在很多領(lǐng)域技術(shù)落后而在專利和標準上屢屢吃虧，翻不過身來，現(xiàn)在國家制定的這個標準起到了很大的保護作用，中國是一塊非常巨大的市場，這個市場足以培育起一個產(chǎn)業(yè)，而國外巨頭想在這里分羹，就必須遵守中國的標準。

在這次“WLAN安全風波”中，國外廠商不解的焦點集中在三方面。一是該標準是否較現(xiàn)行的國際WLAN安全標準牢靠;二是該標準推出時間太匆忙，6個月的緩沖期太短;三是該WAPI的標準文本的細節(jié)并未完全披露。

事實上，這些“不解”都源于對這一標準推行的理解偏差。

制定這一標準的中國寬帶無線IP標準工作組負責人劉朝陽表示：“簡單的軟件升級即達到新規(guī)范的要求，這僅是一種態(tài)度問題?！笔聦嵣?，今年年中該規(guī)定就已經(jīng)下發(fā)，當時大多國外企業(yè)均表示要對標準進行詳細解析，但半年時間過去后他們顯然尚未采取切實行動。

另外，對于標準文本及密碼算法細節(jié)，國家有關(guān)規(guī)定指出，可以通過與國內(nèi)指定的11家企業(yè)合作獲得具體的加密算法。對此，國外廠商也頗多異議，合作模式及知識產(chǎn)權(quán)讓他們感到舉步維艱。

盡管這一標準的推出使一些國外廠商遭受一定程度上的損失，但國家標準化管理委員會發(fā)言人強調(diào)：這并非是針對國外廠商的限制性標準。但這一新標準的推出在客觀上還是為國內(nèi)廠商提供了新的發(fā)展契機。據(jù)悉，聯(lián)想、華為和中興等11家企業(yè)已與國家監(jiān)管部門簽訂了有關(guān)協(xié)議，授權(quán)獲得無線局域網(wǎng)新加密標準，外國投資者可選擇與他們合作。面對龐大的中國市場，國外廠商需要與中國本土的設(shè)備制造商站在同一起跑線，重新開始市場格局的競爭。事實上，無論WAPI怎樣發(fā)展，廠商如何應(yīng)對，國家標準的積極執(zhí)行是毋庸置疑的，而整個WLAN產(chǎn)業(yè)健康、快速地向前發(fā)展，也將以此為契機。現(xiàn)階段，涉及利益各方正積極行動，以期在2004年6月前贏得一個更好的局面。

【編輯推薦】

1. 中國將重啟WAPI標準美國WiFi聯(lián)盟來華探風
2. WAPI標準組期待國際組織對投票失利做出解釋