1.WiFi6概述

2018年，為了更好地打造WiFi生態(tài)系統(tǒng)，便于 WiFi 標(biāo)準(zhǔn)的宣傳和使用，也便于非專業(yè)用戶有效區(qū)分WiFi標(biāo)準(zhǔn)，WiFi聯(lián)盟更改標(biāo)準(zhǔn)命名規(guī)則，將之前的標(biāo)準(zhǔn)802.11n改名為WiFi 4，標(biāo)準(zhǔn)802.11ac改名為WiFi5。2019年，電氣與電子工程師協(xié)會(huì)(Institute of Electrical and Electronics Engineers)發(fā)布最新的WiFi標(biāo)準(zhǔn)協(xié)議802.11ax，即WiFi6。它可以同時(shí)支持2.4GHz和5GHz頻段，最高傳輸速率達(dá)9.6Gbit/s。其相比802.11ac，密集用戶環(huán)境下實(shí)際吞吐量提升4倍，標(biāo)稱傳輸速率提升37%，延遲下降75%。2020年年初，WiFi聯(lián)盟宣布將可在6GHz頻段運(yùn)行的WiFi6設(shè)備命名為WiFi6E。E代表Extended，即由原有的頻段擴(kuò)展至6GHz頻段。圖1展示了WiFi6標(biāo)準(zhǔn)與WiFi4、WiFi5標(biāo)準(zhǔn)的部分指標(biāo)差別。

圖1. WiFi6標(biāo)準(zhǔn)與WiFi4、WiFi5標(biāo)準(zhǔn)的部分指標(biāo)差別

WiFi6的應(yīng)用場(chǎng)景較之前版本W(wǎng)iFi也有了較大的改變，典型的WiFi6應(yīng)用場(chǎng)景列舉如下：

(1)大寬帶視頻業(yè)務(wù)承載

隨著人們對(duì)視頻體驗(yàn)要求的不斷提升，各類視頻業(yè)務(wù)的碼率也在不斷提升，由標(biāo)清到高清，從4K到8K，直至現(xiàn)在的VR視頻。但隨之而來(lái)的是對(duì)傳輸帶寬的要求日益增加，滿足超寬帶視頻傳輸要求成為視頻業(yè)務(wù)面臨的重大挑戰(zhàn)。WiFi6技術(shù)支持2.4GHz和5GHz頻段共存，其中5GHz頻段支持160MHz帶寬，速率最高可達(dá)9.6Gbit/s。5GHz頻段相對(duì)干擾較少，更適合傳輸視頻業(yè)務(wù)。同時(shí)通過(guò)BSS著色機(jī)制、MIMO技術(shù)、動(dòng)態(tài)CCA等技術(shù)可降低干擾、降低丟包率，為用戶帶來(lái)更好的視頻體驗(yàn)。

(2)網(wǎng)絡(luò)游戲等低時(shí)延業(yè)務(wù)承載

網(wǎng)絡(luò)游戲類業(yè)務(wù)屬于強(qiáng)交互類業(yè)務(wù)，對(duì)帶寬、時(shí)延等有更高的要求。尤其是新興的VR游戲，其最好的接入方式就是WiFi無(wú)線方式。WiFi6引入的OFDMA信道切片技術(shù)能夠?yàn)橛螒蛱峁傩诺?，降低時(shí)延，滿足游戲類業(yè)務(wù)特別是VR

(3)智慧家庭智能互聯(lián)

智能互聯(lián)是智能家居、智能安防等智慧家庭業(yè)務(wù)場(chǎng)景的重要組成部分。當(dāng)前家庭互聯(lián)技術(shù)存在不同的局限性，WiFi6技術(shù)將給智能家庭互聯(lián)帶來(lái)技術(shù)統(tǒng)一的機(jī)會(huì)。它將高密度、大數(shù)量接入、低功耗等特點(diǎn)優(yōu)化集成在一起，同時(shí)又能與用戶普遍使用的各種移動(dòng)終端兼容，提供良好的互操作性。

2.WiFi網(wǎng)絡(luò)安全威脅

生活中常見(jiàn)的WiFi威脅主要有以下幾類：

(1)非法用戶占用通信資源

當(dāng)WLAN設(shè)置的口令過(guò)于簡(jiǎn)單時(shí)，如純數(shù)字口令甚至是缺省口令，攻擊者就可以通過(guò)猜測(cè)或者暴力破解的方式獲取口令從而接入網(wǎng)絡(luò)，占用合法用戶的帶寬。

(2)釣魚(yú)攻擊

在移動(dòng)蜂窩網(wǎng)絡(luò)中，不法分子利用2G技術(shù)的缺陷，通過(guò)偽裝成運(yùn)營(yíng)商的基站向用戶手機(jī)發(fā)送詐騙、廣告推銷等垃圾信息。類似的，在WLAN中，不法分子通過(guò)設(shè)置與合法熱點(diǎn)有相同、相似的服務(wù)集標(biāo)識(shí)(Service Set Identifier，SSID)名稱的非法熱點(diǎn)，誘導(dǎo)用戶接入。用戶一旦接入這樣的熱點(diǎn)，可能導(dǎo)致重要數(shù)據(jù)被竊取，造成用戶財(cái)產(chǎn)損失。舉例來(lái)說(shuō)，用戶接入了非法WiFi熱點(diǎn)推送的購(gòu)物網(wǎng)站，并進(jìn)行了交易，不法分子就會(huì)截獲用戶的賬號(hào)信息，盜用用戶的賬戶。

(3)非法AP接入攻擊

當(dāng)前不法分子的攻擊手段日新月異，并且業(yè)界安全攻防技術(shù)也在不斷向硬件領(lǐng)域深入擴(kuò)展。攻擊者可能近端接觸到WiFi接入點(diǎn)設(shè)備，篡改設(shè)備存儲(chǔ)介質(zhì)，對(duì)于不具備硬件可信根的設(shè)備，整個(gè)系統(tǒng)的安全防護(hù)措施將完全失效。終端用戶接入被劫持的WiFi接入點(diǎn)后，所有數(shù)據(jù)流量均會(huì)被竊取或篡改。除此以外，舊協(xié)議標(biāo)準(zhǔn)固有的漏洞，如有線等效加密(Wired Equivalent Privacy，WEP)協(xié)議使用不安全的算法和WeakIV漏洞，也使得密碼很容易被破解。

綜上，WLAN常見(jiàn)的安全威脅有未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)安全、非法接入點(diǎn)以及拒絕服務(wù)攻擊。針對(duì)以上安全威脅，我們可采取對(duì)應(yīng)的安全措施來(lái)進(jìn)行防護(hù)，保護(hù)網(wǎng)絡(luò)安全。以下我們主要介紹WiFi6中涉及到的主要安全技術(shù)。

3.WiFi6安全技術(shù)

相較于WiFi5，WiFi6提升了接入帶寬和并發(fā)容量，帶來(lái)了節(jié)能技術(shù)，雖然WiFi標(biāo)準(zhǔn)本身并未引入新的安全機(jī)制，但是前文提到的WPA3認(rèn)證將從2020年7月1日起成為所有新WiFi的強(qiáng)制性認(rèn)證，即WPA3配套WiFi6提升無(wú)線網(wǎng)絡(luò)的安全。WIFI6安全機(jī)制包括鏈路認(rèn)證、用戶接入認(rèn)證和數(shù)據(jù)加密、無(wú)線攻擊檢測(cè)和反制，以及網(wǎng)元自身的設(shè)備安全可信。下面我們一一介紹：

(1)鏈路認(rèn)證

鏈路認(rèn)證即終端身份驗(yàn)證。由于802.11協(xié)議要求在接入WLAN之前需先經(jīng)過(guò)鏈路認(rèn)證，所以鏈路認(rèn)證通常被認(rèn)為是終端連接到AP(Access Point，AP)并訪問(wèn)WLAN的握手過(guò)程的起點(diǎn)。802.11協(xié)議規(guī)定了鏈路認(rèn)證方式主要有開(kāi)放系統(tǒng)認(rèn)證(Open System Authentication)和共享密鑰認(rèn)證(Shared-key Authentication)兩種。在開(kāi)放系統(tǒng)認(rèn)證中，終端以ID(通常是MAC地址)作為身份證明，所有符合802.11標(biāo)準(zhǔn)的終端都可以接入WLAN。而共享密鑰認(rèn)證僅WEP協(xié)議支持，要求終端和AP使用相同的“共享”密鑰。由于WEP協(xié)議安全性差，已經(jīng)被淘汰，所以鏈路認(rèn)證階段一般都使用開(kāi)放系統(tǒng)認(rèn)證。這個(gè)階段實(shí)際上沒(méi)有執(zhí)行身份認(rèn)證過(guò)程，只要符合協(xié)議交互過(guò)程就能夠通過(guò)鏈路認(rèn)證。在WPA3標(biāo)準(zhǔn)中，新引入了機(jī)會(huì)性無(wú)線加密(Opportunistic Wireless Encryption，OWE),通過(guò)單獨(dú)數(shù)據(jù)加密的方式來(lái)保護(hù)開(kāi)放網(wǎng)絡(luò)中的用戶隱私，實(shí)現(xiàn)開(kāi)放網(wǎng)絡(luò)的非認(rèn)證加密。

(2)用戶接入認(rèn)證和數(shù)據(jù)加密

用戶接入認(rèn)證即對(duì)用戶進(jìn)行區(qū)分，并在用戶訪問(wèn)網(wǎng)絡(luò)之前限制其訪問(wèn)權(quán)限。相

對(duì)于簡(jiǎn)單的終端身份驗(yàn)證機(jī)制(鏈路認(rèn)證)，用戶身份驗(yàn)證安全性更高。用戶接入認(rèn)證主要包含以下幾種：WPA/WPA2/WPA3認(rèn)證、802.1x認(rèn)證、WAPI認(rèn)證。除了用戶接入認(rèn)證外，對(duì)數(shù)據(jù)報(bào)文還需使用加密的方式來(lái)保證數(shù)據(jù)安全。數(shù)據(jù)報(bào)文經(jīng)過(guò)加密后，只有持有密鑰的特定設(shè)備才可以對(duì)收到的報(bào)文進(jìn)行解密，其他設(shè)備即使收到了報(bào)文，也因沒(méi)有對(duì)應(yīng)的密鑰，無(wú)法對(duì)數(shù)據(jù)報(bào)文進(jìn)行解密。圖2為設(shè)備證書(shū)雙向驗(yàn)證過(guò)程：

圖2. 設(shè)備證書(shū)雙向校驗(yàn)過(guò)程

為了構(gòu)建端到端的安全可信，除了終端到WLAN設(shè)備AP的通道保證安全外，AP到控制器也需要保證設(shè)備可信和通道安全，通過(guò)設(shè)備證書(shū)的雙向校驗(yàn)及CAPWAP隧道DTLS加密來(lái)保障。

如圖2所示的設(shè)備證書(shū)雙向校驗(yàn)流程，待注冊(cè)設(shè)備在發(fā)起請(qǐng)求的報(bào)文中攜帶設(shè)備自身證書(shū)至云平臺(tái);云平臺(tái)獲取到設(shè)備證書(shū)后，進(jìn)行證書(shū)鏈的遍歷鑒權(quán)，同時(shí)驗(yàn)證設(shè)備ESN是否為資源池中注入設(shè)備;對(duì)應(yīng)的設(shè)備也會(huì)校驗(yàn)云平臺(tái)的證書(shū)，只有雙向校驗(yàn)通過(guò)后才能發(fā)起業(yè)務(wù)流程，通過(guò)證書(shū)的安全機(jī)制抵御設(shè)備仿冒的風(fēng)險(xiǎn)。Wi-Fi設(shè)備與控制器之間的雙向認(rèn)證

需要基于數(shù)字證書(shū)來(lái)實(shí)現(xiàn)。認(rèn)證流程中最關(guān)鍵的就是私鑰的簽名，如果攻擊者能夠攻破主機(jī)軟件，調(diào)用到認(rèn)證私鑰，就能夠仿冒合法設(shè)備，欺騙控制器接入網(wǎng)絡(luò)，進(jìn)而實(shí)現(xiàn)橫向攻擊。

(3)無(wú)線攻擊檢測(cè)和反制

認(rèn)證和加密這2種方式是目前常用的無(wú)線安全解決方案，可在不同場(chǎng)景下對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)。在此基礎(chǔ)上，還可通過(guò)無(wú)線系統(tǒng)防護(hù)來(lái)提供WLAN的防護(hù)功能。目前，無(wú)線系統(tǒng)防護(hù)主要技術(shù)有無(wú)線入侵檢測(cè)系統(tǒng)(Wireless Intrusion Detection System，WIDS)和無(wú)線入侵防御系統(tǒng)(Wireless Intrusion Prevention System，WIPS)2種。這2種技術(shù)不但可以提供入侵檢測(cè)，還可以實(shí)現(xiàn)一些入侵反制機(jī)制，以便更加主動(dòng)地保護(hù)網(wǎng)絡(luò)。針對(duì)最常見(jiàn)的密鑰暴力破解，可部署防暴力破解密鑰功能。AP將會(huì)檢測(cè)認(rèn)證時(shí)的密鑰協(xié)商報(bào)文在一定的時(shí)間內(nèi)的協(xié)商失敗次數(shù)。如果超過(guò)配置的閾值，則認(rèn)為該用戶在通過(guò)暴力破解法破解密碼，此時(shí)AP將會(huì)上報(bào)告警信息給AC，如果同時(shí)開(kāi)啟了動(dòng)態(tài)黑名單功能，則AP將該用戶加入到動(dòng)態(tài)黑名單列表中，丟棄該用戶的所有報(bào)文，直至動(dòng)態(tài)黑名單老化。

(4)設(shè)備完整性保護(hù)

安全啟動(dòng)的目標(biāo)是軟件安裝包需要進(jìn)行完整性保護(hù)并確保完整性校驗(yàn)流程安全可靠。軟件安裝包在傳輸過(guò)程中可能被攻擊者惡意篡改，惡意篡改后的軟件一旦安裝到用戶系統(tǒng)中，可能造成用戶信息泄露、用戶系統(tǒng)資源占用、甚至系統(tǒng)完全被攻擊者控制。如果企業(yè)設(shè)備軟件被篡改而被植入竊聽(tīng)功能，將給運(yùn)營(yíng)商和企業(yè)帶來(lái)巨大損失。

這一部分的安全性保證主要是基于硬件信任根和數(shù)字簽名的安全啟動(dòng)。其方案原則為：系統(tǒng)必須有一段不可更改的代碼以及驗(yàn)簽密鑰作為信任根(Root of Trust，RoT)，并且作為系統(tǒng)第一段啟動(dòng)的代碼。系統(tǒng)啟動(dòng)時(shí)，每個(gè)啟動(dòng)階段逐級(jí)校驗(yàn)下一階段啟動(dòng)的代碼，如果校驗(yàn)不通過(guò)，則停止啟動(dòng)。

4.總 結(jié)

長(zhǎng)期來(lái)看，物聯(lián)網(wǎng)設(shè)備的接入增多是讓網(wǎng)絡(luò)流量激增的主因，所以協(xié)議的不斷更新也是為了滿足未來(lái)人們的多設(shè)備、多場(chǎng)景上網(wǎng)需求。雖然技術(shù)不斷更新，但是攻擊者通過(guò)協(xié)議入侵物聯(lián)設(shè)備仍時(shí)常發(fā)生，用戶在使用公共WiFi時(shí)還是需要警惕。雖然WiFi6迅速火熱，但是尚且還存在不足，比如支持設(shè)備少、成本高，在特定場(chǎng)合優(yōu)勢(shì)才能突顯等問(wèn)題。WiFi6步入人們的生活是大勢(shì)所趨，未來(lái)也會(huì)看到越來(lái)越多的承載設(shè)備推出，安全風(fēng)險(xiǎn)也是相伴而生，人們不僅要享受技術(shù)福利，也要積極應(yīng)對(duì)技術(shù)帶來(lái)的風(fēng)險(xiǎn)挑戰(zhàn)。

參考文獻(xiàn)

[1]曹斌,吉祥.Wi-Fi6安全可信技術(shù)應(yīng)用研究[J].保密科學(xué)技術(shù),2020(08):20-28.

[2]黃宇,李雨汝.WiFi6技術(shù)現(xiàn)狀綜述[J].中國(guó)無(wú)線電,2021(05):90-91.

[3]王毅成.第六代WiFi技術(shù)探析及其與5G關(guān)系的探究[J].信息通信,2020(05):1-3.

[4]Mathy Vanhoef , Eyal Ronen. Dragonblood. Analyzing the Dragonfly Handshake of WPA3and EAP-pwd.

[5] https://zh.wikipedia.org/wiki/IEEE_802.11ax[6] https://www.freebuf.com/articles/wireless/242734.html