WLAN运营之道

      WLAN技术凭借其自身的优势得到运营商建网的青睐，但同时由于其标准的不完善，给运营网络引入的安全隐患也一直为业界争议。对于运营商而言，决不能单靠WLAN技术本身的安全特性来保证整个网络的安全。以802.11技术构建的无线局域网，其技术本身的安全属性无法代表网络的安全。真正的WLAN网络的安全是一个多层互动、全面综合的系统工程问题。此外，WLAN的安全特性还应根据其不同的应用环境进行裁剪，在HOME/SOHO等应用时安全性要求较低，而在企业网和公共运营网络应用时，安全性要求较高。

        华为公司自1999年开始跟踪WLAN技术，至2002年推出自主开发的全系列WLAN产品，包括AP、AC、AS、客户端软件等。通过结合华为公司在无线领域组网经验以及数据领域配套产品，可根据不同运营商的建网思路构架出可运营、可管理、可盈利、可平滑升级到未来网络的WLAN解决方案。华为公司WLAN解决方案在设备级、网络级和解决方案级提供了WLAN的安全解决方案。

设备级安全
可运营WLAN网络安全方案中应该考虑到设备级安全，包括电信设备的物理环境安全和主机安全。网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性。作为可运营WLAN网络的WLAN标准网元设备必须基于电信级设计，具体包括室外型AP（Access Point）应该具有防水、防雷、防火和防盗的特性，AC（Access Controller）和AS（Authentication Server）应该放置在局端，符合NEBS三级标准的要求。

网络设备的主机应该具备用户管理、安全日志、数据存储备份等技术等能力。

用户管理 是限制用户管理设备的权限，主要包括用户级别、用户密码、用户权限、同时登录用户数、用户锁定、超时断开用户连接、口令密码显示、超级用户管理低级别用户等特性。

安全日志 是记录各种统计信息和异常事件，主要包括IP处理功能的统计、ICMP重定向报文接收的日志记录、防火墙日志和统计、基于ACL的流量限制的统计、逆向探测(RPD)的日志和统计、用户管理日志、关键事件日志、SNMP日志、HTTP日志、异常流量日志、诊断调试信息、支持SYSLOG等等。

网络级安全
可运营网络在设计上应考虑到多层面的安全机制，具体针对WLAN应包括无线链路层安全、网络层安全和应用层安全。
链路层安全 主要通过网络链路层的安全协议来保证，其中无线链路层的安全主要由802.11协议定义。
网络层安全 是由IP层协议保证网络的安全，主要包括网络边界控制和管理，加强对外部攻击和内部信息泄露的防范。
应用层安全 主要是在网络的应用层提供安全机制，主要包括：
• 网管信息安全，SNMPv1/v2c提供基于community的安全机制，SNMPv3提供基于用户/密码的安全机机制，安全性更强
• 安全登录方式SSH
• HTTP的安全机制HTTPs
• RADIUS认证加密

解决方案级安全
WLAN网络具备了设备级、网络级的安全特性就基本能满足WLAN在家庭/SOHO中应用的安全要求。而针对WLAN运用于开放公共运营网络，由于运用环境、组网网元、服务对象的变化，还需要考虑更多的安全问题，具体到WLAN的方案级安全策略主要包括用户认证、用户隔离、用户绑定、用户数据加密等几个方面。

用户认证的安全 通过识别用户身份进行相应授权，在认证过程中保护用户认证信息不被窃取。可运营WLAN网络目前用户身份认证方式主要有以下三种：PPPOE、WEB、802.1x。而协议上这三种认证的过程都应该经过加密。具体的加密机制如下：

• PPPOE中采用CHAP认证，可通过MD5算法，用户密码不以明文方式在网上传输，保证认证信息的安全。
• WEB认证中用户密码可采用HTTPS加密传送，保证认证信息的安全。
• 802.1x认证。

用户绑定 通过各种认证技术（WEB、PPPOE或802.1X）对用户进行认证后，AC应对用户进行绑定，可以通过VLAN+IP地址+MAC地址来标识唯一用户，同时为该用户分配带宽等属性。用户的业务流在进行转发时均应与用户标识进行检测，不匹配的报文将被丢弃。采用用户绑定技术可以较好防止IP地址欺骗、带宽滥用及对DHCP服务器的攻击。

用户隔离安全性 可运营的WLAN网络中，用户之间是互不信任的，所以必须采用用户隔离技术防止用户之间的互相攻击或窃听。

用户数据加密 通过加密保障用户信息的安全性。

• 无线链路层的加密：在用户终端（STA）和AP之间进行信息的加密和解密,保证空口的信息传送的安全性。
• 网络层的加密：主要用于实现VPDN业务。在用户终端（STA）和VPN网关之间对信息进行加密和解密，保证STA和VPN网关之间信息传送的安全性。常用的技术如IPSec、L2TP、PPTP等隧道技术。

结束语
WLAN网络能否作为开放运营网络只考虑空中接口问题是不够的，随着802.11i、Wi-Fi WPA的技术的完善，空中接口问题将得到解决。只有全方位、多维、端到端的WLAN运营网络的安全问题得到解决，才是真正解决WLAN作为可运营、可管理的无线接入网络的关键。