WLAN發(fā)展趨勢

隨著移動互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量激增，熱點(diǎn)區(qū)域網(wǎng)絡(luò)的負(fù)荷已經(jīng)超載。WLAN網(wǎng)絡(luò)具有豐富的頻譜資源，國際標(biāo)準(zhǔn)化組織3GPP也將網(wǎng)絡(luò)和WLAN融合作為重要研究方向。同時，WiFi目前已經(jīng)成為智能終端的標(biāo)準(zhǔn)配置。市場統(tǒng)計數(shù)據(jù)顯示，2013年支持WiFi的設(shè)備將增長至 15億部。各類電子設(shè)備中WiFi內(nèi)置比例也正迅速上升，滲透率從2009年的12%快速升至2012年的23%。筆記本、上網(wǎng)本和平板電腦中WiFi的滲透率已接近100%，支持WiFi的智能手機(jī)比例也已超過80%。因此，WiFi已成為全球運(yùn)營商普遍關(guān)注的熱點(diǎn)，65%的主流運(yùn)營商選擇WLAN網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)分流，提升網(wǎng)絡(luò)容量和用戶體驗(yàn)。WLAN發(fā)展趨勢主要有幾個如下特點(diǎn)：

1.移動通信流量全球暴增，WLAN的市場需求正在井噴

智能移動終端暴增已使3G 網(wǎng)絡(luò)不堪重負(fù)。據(jù)愛立信報告，09 年全球移動數(shù)據(jù)流量幾乎增長了兩倍，2010 達(dá)到22.5 萬TB，其中80%被視頻和數(shù)據(jù)業(yè)務(wù)占據(jù)，3%的iPhone 用戶消耗掉AT&T 40%多的帶寬，移動互聯(lián)網(wǎng)需求帶來的數(shù)據(jù)流量暴增速度已經(jīng)超乎想象，僅靠高昂的3G 網(wǎng)絡(luò)既來不及也不可能完全解決問題。WLAN進(jìn)入新一輪的高速成長期，隨著終端普及和標(biāo)準(zhǔn)兼容，WLAN 在未來5 年又將進(jìn)入高速成長期， WLAN的市場需求正在井噴。

2中國WLAN 進(jìn)入真正的新一輪的5 年高速成長期

WLAN作為移動通信的必要補(bǔ)充,契合十二五戰(zhàn)略性新興信息產(chǎn)業(yè)在寬帶、泛在、融合、安全上的內(nèi)在要求。運(yùn)營商、駐地網(wǎng)和家庭網(wǎng)絡(luò)三駕馬車起頭并進(jìn)，推動中國WLAN進(jìn)入真正的高速成長期。未來 5 年WLAN將在中國家庭、辦公樓、學(xué)校和公共區(qū)域快速普及。

3伴隨噴薄的市場需求，WLAN安全將打開移動互聯(lián)增值服務(wù)的藍(lán)海未來

全球移動通信流量每年暴增,WLAN移動數(shù)據(jù)分流作用不斷提升，WiFi在移動終端的滲透率不斷提升，WLAN的市場需求正在井噴，同時WLAN將打開移動互聯(lián)增值服務(wù)的藍(lán)海未來。

WLAN 不僅是互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)重要的接入融合點(diǎn)，更是重要的業(yè)務(wù)融合點(diǎn)。移動增值服務(wù)最大的市場桎梏在于高昂的流量費(fèi)和有限且受限的支付通道。WLAN 不僅從需求和供給上同時破局，還創(chuàng)造出LBS、廣告推送、VoWiFi、無線流媒體和無線監(jiān)控等創(chuàng)新融合方案,WLAN安全的保障將打開移動增值服務(wù)的藍(lán)海未來。

WLAN面臨的安全風(fēng)險及危害

WLAN系統(tǒng)面臨的風(fēng)險包括資源耗盡風(fēng)險、無AP關(guān)聯(lián)認(rèn)證風(fēng)險、無加密的空中信息傳輸泄密風(fēng)險、來自客戶端的攻擊等各類可能引發(fā)WLAN系統(tǒng)不可用風(fēng)險、系統(tǒng)服務(wù)質(zhì)量下降、無線頻譜干擾風(fēng)險、空中中間人攻擊風(fēng)險、非法廣播信息風(fēng)險、客戶信息泄密風(fēng)險等。從用戶的安全運(yùn)營角度，我們對WLAN面臨的安全風(fēng)險進(jìn)行了分類如下：

業(yè)務(wù)濫用，流量盜用風(fēng)險

在大量的WLAN系統(tǒng)中，都存在繞過驗(yàn)證portal認(rèn)證機(jī)制免費(fèi)使用WLAN流量上網(wǎng)的問題。

同時部分用戶的上網(wǎng)認(rèn)證密碼非常簡單，也可能導(dǎo)致盜用上網(wǎng)的風(fēng)險存在。在實(shí)際的網(wǎng)絡(luò)當(dāng)中，還存在重置密碼過于簡單的問題導(dǎo)致盜用上網(wǎng)的風(fēng)險存在。

通過欺騙及非授權(quán)攻擊，前一用戶離開后，后一用戶采用修改MAC及IP地址的方法繼續(xù)訪問網(wǎng)絡(luò)。并偽造DHCP續(xù)租盜用上網(wǎng)。

基于session hijacking的盜取服務(wù)攻擊。

網(wǎng)絡(luò)服務(wù)不可用風(fēng)險

WLAN系統(tǒng)是指應(yīng)用無線通信技術(shù)為用戶提供高速而穩(wěn)定的無線連接，保障網(wǎng)絡(luò)的可用性至關(guān)重要。在實(shí)際的系統(tǒng)當(dāng)中可能存在以下問題都會致使網(wǎng)絡(luò)不可用，這里主要包括惡意的或非惡意的拒絕服務(wù)攻擊。

惡意的拒絕服務(wù)攻擊包括：

BeaconFlood ---無線SSID干擾攻擊

Authentication DoS --- DHCP地址耗盡攻擊

Deauthentication/Disassociation Amok ---指定用戶斷線攻擊。

無惡意的拒絕服務(wù)攻擊主要指WLAN客戶端被攻擊者利用或者感染病毒后，對WLAN核心網(wǎng)發(fā)動的拒絕服務(wù)攻擊等。

在AC運(yùn)營過程中，可能會遭受網(wǎng)絡(luò)環(huán)路，而產(chǎn)生大量的廣播報文對AC形成威脅，這將直接導(dǎo)致AC所管理的AP全部掉線。

對于AC的攻擊，由于我們的網(wǎng)絡(luò)是無線的，任何人都可以很輕松的接入網(wǎng)絡(luò)，一臺AC通常管理1000~2000個AP，一旦AC被攻破，那么將直接導(dǎo)致所有AP全部掉線。因此對AC的攻擊威脅較大。

用戶信息被盜用風(fēng)險

由于在無線環(huán)境下中間人攻擊、釣魚攻擊、sniffer會變得更為容易，對于AP及用戶的攻擊除會造成用戶無法接入網(wǎng)絡(luò)以外，用戶的數(shù)據(jù)也得不到安全保證，特別是用戶登錄無線網(wǎng)絡(luò)的認(rèn)證信息。用戶在使用無線網(wǎng)絡(luò)的時候,存在以下安全威脅都可能導(dǎo)致用戶的重要信息被獲取，包括

無線釣魚，獲取敏感信息

無線網(wǎng)絡(luò)監(jiān)聽、無線網(wǎng)絡(luò)嗅探攻擊

無線破解攻擊：WEP的破解、WPA的破解

專有設(shè)備被利用風(fēng)險

AP、AC設(shè)備由于配置不嚴(yán)格，存在弱口令或者其他安全隱患都有可能導(dǎo)致設(shè)備別非法控制，從而出現(xiàn)斷網(wǎng)的風(fēng)險。

同時portal系統(tǒng)也可能存在sql注入漏洞、web上傳漏洞等常見的web漏洞致使系統(tǒng)被攻擊的風(fēng)險。

WLAN網(wǎng)絡(luò)目前存在大量網(wǎng)絡(luò)、應(yīng)用漏洞，且面向互聯(lián)網(wǎng)開放，易被互聯(lián)網(wǎng)黑客所利用。WLAN網(wǎng)絡(luò)的重要性與當(dāng)前安全水平極不匹配。

依據(jù)WLAN網(wǎng)絡(luò)結(jié)構(gòu)，出現(xiàn)在AP側(cè)、AC側(cè)、網(wǎng)絡(luò)設(shè)備側(cè)、AAA(包括Portal和Radius設(shè)備)側(cè)易出現(xiàn)的風(fēng)險用表格方式總結(jié)如下：

各安全風(fēng)險在網(wǎng)絡(luò)結(jié)構(gòu)中的分布如下圖：

WLAN安全防護(hù)體系框架

基于相關(guān)的安全理論模型，借鑒目前IT行業(yè)的系統(tǒng)分層結(jié)構(gòu)，我們提出了WLAN安全防護(hù)體系框架，用以指導(dǎo)WLAN安全建設(shè)工作。

對WLAN進(jìn)行安全域劃分，根據(jù)安全域劃分原則和網(wǎng)絡(luò)優(yōu)化和邊界整合策略，經(jīng)過對業(yè)務(wù)數(shù)據(jù)流分析，WLAN認(rèn)證系統(tǒng)的安全域，可以劃分以下安全域，按重要性從高至低分別為：

認(rèn)證鑒權(quán)區(qū)域：認(rèn)證鑒權(quán)區(qū)域主要包含radius、Portal服務(wù)器等?？梢赃M(jìn)一步細(xì)分為radius應(yīng)用服務(wù)器區(qū)、Portal服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)。

接入控制區(qū)域：接入控制區(qū)域主要AC、防火墻等設(shè)備。

熱點(diǎn)接入?yún)^(qū)域：AP、接入終端等。

 WLAN系統(tǒng)自身滿足如下四個方面要求：帳號口令、日志審計、數(shù)據(jù)加密等安全功能要求;口令強(qiáng)度、應(yīng)用中安全相關(guān)用戶缺省配置等安全配置要求;避免緩沖區(qū)溢出、注入攻擊等缺陷的軟件代碼安全要求;確保業(yè)務(wù)流程各環(huán)節(jié)(邏輯)安全的機(jī)制要求。

在安全域劃分的基礎(chǔ)上，結(jié)合WLAN網(wǎng)絡(luò)的特定安全需求，有選擇的部署WLAN應(yīng)用防火墻、WLANIDS、web防護(hù)等各類基礎(chǔ)安全技術(shù)防護(hù)手段。為了滿足集中運(yùn)維的需要，各類基礎(chǔ)安全技術(shù)防護(hù)手段應(yīng)支持集中監(jiān)控。同時，各類基礎(chǔ)安全技術(shù)防護(hù)手段應(yīng)具備完成信息安全管理功能所必須的接口。

WLAN網(wǎng)絡(luò)管理應(yīng)根據(jù)“集中監(jiān)控、集中維護(hù)、集中管理”的原則，對異地多廠商環(huán)境下的WLAN網(wǎng)元和網(wǎng)絡(luò)進(jìn)行集中統(tǒng)一的監(jiān)控管理與操作維護(hù)，對設(shè)備性能參數(shù)和業(yè)務(wù)流量進(jìn)行在線統(tǒng)計和分析，以保證WLAN承載的無線數(shù)據(jù)業(yè)務(wù)的有效開展.

WLAN安全運(yùn)營的關(guān)鍵點(diǎn)

(1)WLAN專有的安全防護(hù)措施建設(shè)

WLAN業(yè)務(wù)系統(tǒng)既有通用IT基礎(chǔ)設(shè)施承載相關(guān)應(yīng)用，又有其特有的專用設(shè)備、專有網(wǎng)絡(luò)協(xié)議和業(yè)務(wù)流程。一般的安全防護(hù)是基于基礎(chǔ)IT設(shè)備評估的體系，缺乏對應(yīng)用層、通信業(yè)務(wù)的全面評估和加固防護(hù)手段，無法應(yīng)對日新月異的WLAN業(yè)務(wù)系統(tǒng)安全威脅。傳統(tǒng)安全管理、安全和技術(shù)措施無法滿足新的業(yè)務(wù)安全需求，存在明顯空白薄弱點(diǎn)。

WLAN安全應(yīng)該涵蓋從AP、AC、Portal、Radius、防火墻、交換機(jī)、操作系統(tǒng)、數(shù)據(jù)庫等防護(hù)對象。尤其是特有的專用設(shè)備、專有網(wǎng)絡(luò)協(xié)議和業(yè)務(wù)流程都是傳統(tǒng)技術(shù)手段無法進(jìn)行防護(hù)，所以建設(shè)WLAN專有的安全防護(hù)措施至關(guān)重要。

(2)提升WLAN網(wǎng)絡(luò)和業(yè)務(wù)穩(wěn)定性，確保用戶良好體驗(yàn)

對于WLAN相應(yīng)的故障，傳統(tǒng)的做法只有通過人工到現(xiàn)場采用各種軟件來檢測，比如chariot、NetStumbler、 FTP、PING、 sniffer等各種工具綜合判斷，才能解決故障。該方式的主要缺點(diǎn)包括：人員必須現(xiàn)場監(jiān)測、技術(shù)要求專業(yè)、解決效率低、并且只有在發(fā)生故障時才能發(fā)現(xiàn)。

WLAN網(wǎng)絡(luò)運(yùn)營的優(yōu)劣關(guān)鍵是用戶體驗(yàn)，但是如何用技術(shù)手段了解真實(shí)的用戶使用體驗(yàn)一直是運(yùn)營的難點(diǎn)。包括：

如何快速精準(zhǔn)的定位WLAN業(yè)務(wù)系統(tǒng)的故障原因?

如何事實(shí)的監(jiān)控WLAN熱點(diǎn)的質(zhì)量狀態(tài)?

如何提高WLAN用戶體驗(yàn)感?

如何構(gòu)建高質(zhì)量高業(yè)務(wù)成功率的WLAN業(yè)務(wù)系統(tǒng)?

針對業(yè)務(wù)質(zhì)量的主要建設(shè)思路包括：通過模擬WLAN終端接入技術(shù)充分模擬用戶上網(wǎng)行為，把用戶的WLAN上網(wǎng)體驗(yàn)進(jìn)行量化并把信息集中分析。并且只有實(shí)時進(jìn)行安全威脅檢測，確保網(wǎng)絡(luò)安全。同時具備集各種監(jiān)測方法為一體，自動監(jiān)測。并且采用實(shí)時預(yù)警、人工遠(yuǎn)程監(jiān)測等功能，提前預(yù)知故障，對于提高維護(hù)效率、降低維護(hù)成本、提升服務(wù)質(zhì)量有著很大的作用。