无线城域网技术与标准.pdfVIP

无线城域网技术与标准

摘要：无线局域网(WLAN)和无线城域网(WMAN)是宽带无线网络。Wi-Fi(无线

局域网制造商联盟，Wi-Fi是无线局域网的俗称)近年来在中国发展势头强劲。现

在20%的宽带家庭用户正在使用Wi-Fi，67%的在线家庭用户已经计划使用Wi-Fi。

关键词：无线城域网；无线局域网；安全；认证；加密；

阐述了无线城域网和无线局域网的安全机制，分析了它们在身份认证和数

据加密方面的异同，总结了它们的应用现状和对未来的展望。

一、安全机制分析

1.无线局域网安全机制分析。发布的无线局域网标准IEEE802.11，提供两种

身份认证服务：开放式认证和共享密钥认证。开放式认证在明文状态下要求提供

与无线接入点AP相同的正确的服务组标识(SSID)进行认证；共享密钥认证要求

客户端与AP拥有相同的密钥，使用有线等效必威体育官网网址WEP对认证过程进行加密。除

此以外AP可以用每个无线网卡唯一的48位的物理地址(即MAC地址)进行认证。

使用SSID匹配和MAC地址过滤来控制访问权限的方法简单、快捷，但安全性不

高，属于较低级别的授权认证。共享密钥认证中的有线等效必威体育官网网址WEP是

IEEE802.11b协议中最基本的无线安全加密措施，目前虽然广泛应用，但WEP的

核心是RC4算法，在现实的应用中被发现有不少的安全漏洞，容易被攻击者破解

密钥。基于端口的访问控制协议。它提供了一个可靠的用户认证协议和密钥分发

的框架，和上层认证协议(EAP)配合来实现用户认证和密钥分发，它的核心是可

扩展认证协议EAP。IEEE802.1x＋EAP认证采用双向认证机制，有效地消除了中

间人攻击，如假冒的AP和认证服务器，集中化认证管理和动态分配加密密钥机

制，IEEE802.1x协议实现简单，安全可靠。微软在WindowsXP中已经整合了

IEEE802.1x客户端软件。由生产厂商Wi-Fi联盟联合IEEE802.11i任务组的专家

共同提出WPA(Wi-FiProtectedAccess)加密技术，对WEP协议的不足之处进行

了有针对性的改进。WPA标准其核心是IEEE802.1x和TKIP(临时密钥完整性协

议)。新一代的加密技术TKIP虽然与WEP一样基于RC4加密算法，但TKIP将WEP

密钥长度加长到128位，并根据共享密钥、客户端MAC地址、数据包的序列号来

为每个数据包生成唯一的密钥。

2.无线城域网安全机制分析。IEEE802.16作为无线城域网标准，是按照物理

层(PHY)和媒体访问控制层(MAC)两层结构体系组织的标准，它主要通过在MAC层

中定义了一个安全子层来实现安全认证、对密钥的分配管理和数据的加密。安全

子层主要包括两个协议：数据加密封装协议和密钥管理协议(PKM)。其中数据加

密封装协议定义了IEEE802.16支持的加密套件，即数据加密与完整性验证算法，

以及对MACPDU载荷应用这些算法的规则。而密钥管理协议则定义了从基站向用

户工作站分发密钥数据的安全方式，两者之间密钥数据的同步以及对接入网络服

务的限制。IEEE802.16安全机制中，密钥管理协议(PKM)使用X.509数字证书、

RSA公钥算法以及强壮的加密算法实现基站(BS)对用户站(SS)的身份认证，接入

授权以及会话密钥的发放和更新。所有的用户端设备(CPE)在出厂时就带有RSA

私钥/公钥对(或者提供了动态产生私钥/公钥对的内部算法)，并且同时带有

X.509数字证书。用户站(SS)在登入系统时，向基站(BS)发送X.509数字证书。

基站收到该证书后，采用公钥通过相关算法认证CPE。只有通过认证的CPE才能

接入到WiMAX基站中来，通常采用这种客户端证书认证机制，防止非法客户端接

入系统。DES-CBC(数据加密标准一密码分组链方式)是一种相对较简单的加密技

术，能很好地使用前一个分组的密文与当前分组明文作异或后再加密，是无线城

域网中常用的数据加密算法。但该算法的密钥长度只有56bit，容易遭受到穷举

攻击。IEEE802.16e采用了安全性能更高的AES-CCM加密算法，AES-CCM是基于

AES算法的CCM模式，就是用一个准计数器产生一系列的分组作为先进的加密算

法(AES)的明文输入，AES加密后输出的密文作为定长的密钥流与要保护的数据相

异或产生密文。

二