一、無線局域網的標準

在眾多的無線局域網標準中，人們知道最多的是IEEE(美國電子電氣工程師協會)802.11系列，此外制定WLAN標準的組織還有ETSI(歐洲電信標準化組織)和HomeRF工作組，ETSI提出的標準有HiperLan和HiperLan2，HomeRF工作組的兩個標準是HomeRF和HomeRF2。在這三家組織所制定的標準中，IEEE的802.11標準系列由于它的以太網標準802.3在業界的影響力使得在業界一直得到最廣泛的支持，尤其在數據業務上。ETSI是一個歐洲組織，因此一直得到歐洲政府的支持，很多運營商也都很尊重它的GSM和UMTS蜂窩電話標準，它在制定WLAN標準的時候更加關注語音業務。HomeRF作為一種為家庭網絡專門設計的標準在業界也有一定的影響力。下面就這幾個組織的標準逐一進行介紹。

1.IEEE的802.11標準系列

802.11是IEEE最初制定的一個無線局域網標準，主要用于解決辦公室局域網和校園網中用戶與用戶終端的無線接入，業務主要限于數據存取，速率最高只能達到2Mbps。目前，3Com等公司都有基于該標準的無線網卡

由于802.11在速率和傳輸距離上都不能滿足人們的需要，因此，IEEE小組又相繼推出了802.11b和802.11a兩個新標準。3者之間技術上的主要差別在于MAC子層和物理層。

802.11b物理層支持5.5Mpbs和11Mpbs兩個新速率。802.11標準在擴頻時是一個11位調制芯片，而802.11b標準采用一種新的調制技術CCK完成。

802.11b使用動態速率漂移，可因環境變化，在11Mbps、5.5Mbps、2Mbps、1Mbps之間切換，且在2Mbps、1Mbps速率時與802.11兼容。802.11b的產品普及率最高，在眾多的標準中處于先導地位。

802.11a在802.11協議組中是第一個出臺的標準，802.11a工作在5GHzU-NII頻帶，物理層速率可達54Mb/s，傳輸層可達25Mbps。采用正交頻分復用(OFDM)的獨特擴頻技術;可提供25Mbps的無線ATM接口和10Mbps的以太網無線幀結構接口，以及TDD/TDMA的空中接口;支持語音、數據、圖像業務;一個扇區可接入多個用戶，每個用戶可帶多個用戶終端。但是，芯片沒有進入市場、設備昂貴、空中接力不好、點對點連接很不經濟、不適合小型設備。值得慶幸的是，Radiata的低成本COMS無線引擎芯片裝置可支持802.11a。

802.11a最明顯的缺點就是兼容性，802.11a使用的是較高的頻率，在物理層上采用不同于802.11b的OFDM技術，所以802.11a產品和現在已經安裝的802.11b不能互通，解決這個問題的唯一方法就是使用雙模設備，使兩種系統都可以支持。

藍牙(IEEE 802.15)是一項最新標準，對于802.11來說，它的出現不是為了競爭而是相互補充。藍牙802.11更具移動性，比如，802.11限制在辦公室和校園內，藍牙能把1個設備連接到LAN到WAN，甚至支持全球漫游。此外，藍牙成本低、體積小，可用于更多的設備。但是，藍牙主要是點對點的短距離無線發送技術，本質上要么是RF要么是紅外線。而且，藍牙被設計居低功耗、短距離、低帶寬的應用，嚴格來講，不算是真正的局域網技術。

2.ETSI的HiperLan2

HiperLan是歐盟在1992年提出的一個WLAN標準，HiperLan2是它的后續版本，HiperLan2部分建立在GSM基礎上，使用頻段為5GHz。在物理層上HiperLan2和802.11a幾乎完全相同：它采用OFDM技術，最大數據速率為54Mbps。它和802.11a最大的不同是HiperLan2不是建立在以太網基礎上的，而是采用的TDMA結構，形成是一個面向連接的網絡，HiperLan2的面向連接的特性使它很容易滿足QoS要求，可以為每個連接分配一個指定的QoS，確定這個連接在帶寬、延遲、擁塞、比特錯誤率等方面的要求。這種QoS支持與高傳輸速率一起保證了不同的數據序列(如視頻、話音和數據等)可以同時進行高速傳輸。

HiperLan2雖然在技術上有優勢，然而它在開發過程中卻落在802.11a的后面，不過因為它是歐洲的標準，所以一直得到歐洲政府的支持，尤其在頻率規劃上，因為它使用的波段和802.11a相同，許多投資商一直在游說歐洲政府，希望802.11a也能在HiperLan2波段使用，IEEE也正在開發一個可以將兩種5GHz系統統一起來的標準。

3.HomeRF

顧名思義，HomeRF是為家庭網絡設計的(RF意思是射頻)，是一種將家中的PC和用戶電子設備之間實現無線數字通信的開放性工業標準，所用波段為2.4GHz。它是基于原始的802.11的FHSS版本，但其推廣一直不力，目前已基本退出歷史舞臺。#p#

二、無線局域網安全協議

1.WEP協議

IEEE802.11標準中的WEP(Wired Equivalent Privacy)協議是IEEE802.11b協議中最基本的無線安全加密措施，其主要用途包括提供接入控制，防止未授權用戶訪問網絡;對數據進行加密，防止數據被攻擊者竊聽;防止數據被攻擊者中途惡意纂改或偽造。此外，WEP也提供認證功能，當加密機制功能啟用，客戶端要嘗試連接上AP時，AP會發出一個Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回存取點以進行認證比對，如果正確無誤，才能獲準存取網絡的資源。AboveCable所有型號的AP都支持64位或(與)128位的靜態WEP加密，有效地防止數據被竊聽盜用。

該技術適合一些小型企業　、家庭用戶等小型環境的無線網絡應用，無需額外的設備支出，配置方便。但在無線行業應用中，基于WEP加密技術的安全缺陷飽受非議，因針對WEP數據包加密已有破譯的方法，且使用這一方法破解WEP密鑰的工具可以在互聯網上免費下載。相應的，替代WEP的WPA標準已于2002年下半年出臺了，通過暫時密鑰集成協議(TKIP)增強了數據加密，提高無線網絡的安全特性。

2.IEEE 802.11i安全標準

IEEE 802.11的i工作組致力于制訂被稱為IEEE 802.11i的新一代安全標準，這種安全標準為了增強WLAN的數據加密和認證性能，定義了RSN(Robust Security Network)的概念，并且針對WEP加密機制的各種缺陷做了多方面的改進。

IEEE 802.11i規定使用802.1x認證和密鑰管理方式，在數據加密方面，定義了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC-MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三種加密機制。其中TKIP采用WEP機制里的RC4作為核心加密算法，可以通過在現有的設備上升級固件和驅動程序的方法達到提高WLAN安全的目的。CCMP機制基于AES(Advanced Encryption Standard)加密算法和CCM(Counter-Mode/CBC-MAC)認證方式，使得WLAN的安全程度大大提高，是實現RSN的強制性要求。由于AES對硬件要求比較高，因此CCMP無法通過在現有設備的基礎上進行升級實現。

3.WAPI協議

我國早在2003年5月份就提出了無線局域網國家標準 GB15629.11 ，這是目前我國在這一領域惟一獲得批準的協議。標準中包含了全新的WAPI(WLAN Authentication and Privacy Infrastructure)安全機制，這種安全機制由 WAI(WLAN Authentication Infrastructure)和WPI(WLAN Privacy Infrastruc-ture)兩部分組成，WAI和WPI分別實現對用戶身份的鑒別和對傳輸的數據加密。WAPI能為用戶的WLAN系統提供全面的安全保護。WAPI安全機制包括兩個組成部分。

WAI采用公開密鑰密碼體制，利用證書來對WLAN系統中的STA和AP進行認證。WAI定義了一種名為ASU(Authentication Service Unit)的實體，用于管理參與信息交換各方所需要的證書(包括證書的產生、頒發、吊銷和更新)。證書里面包含有證書頒發者(ASU)的公鑰和簽名以及證書持有者的公鑰和簽名(這里的簽名采用的是WAPI特有的橢圓曲線數字簽名算法)，是網絡設備的數字身份憑證。

在具體實現中，STA在關聯到AP之后，必須相互進行身份鑒別。先由STA將自己的證書和當前時間提交給AP，然后AP將STA的證書、提交時間和自己的證書一起用自己的私鑰形成簽名，并將這個簽名連同這三部分一起發給ASU。

所有的證書鑒別都由ASU來完成，當其收到AP提交來的鑒別請求之后，會先驗證AP的簽名和證書。當鑒別成功之后，進一步驗證STA的證書。最后，ASU將STA的鑒別結果信息和AP的鑒別結果信息用自己的私鑰進行簽名，并將這個簽名連同這兩個結果發回給AP。

AP對收到的結果進行簽名驗證，并得到對STA的鑒別結果，根據這一結果來決定是否允許該STA接入。同時AP需要將ASU的驗證結果轉發給STA，STA也要對ASU的簽名進行驗證，并得到AP的鑒別結果，根據這一結果來決定是否接入AP。

由于WAI中對STA和AP進行了雙向認證，因此對于采用“假”AP的攻擊方式具有很強的抵御能力。

在STA和AP的證書都鑒別成功之后，雙方將會進行密鑰協商。首先雙方進行密鑰算法協商。隨后，STA和AP各自會產生一個隨機數，用自己的私鑰加密之后傳輸給對方。最后通信的兩端會采用對方的公鑰將對方所產生的隨機數還原，再將這兩個隨機數模運算的結果作為會話密鑰，并依據之前協商的算法采用這個密鑰對通信的數據加密。

由于會話密鑰并沒有在信道上進行傳輸，因此就增強了其安全性。為了進一步提高通信的保密性，WAPI還規定，在通信一段時間或者交換一定數量的數據之后，STA和AP之間可以重新協商會話密鑰。WAPI采用對稱密碼算法實現對MAC層MSDU進行的加、解密操作。WAPI標準將替代國際現行的WEP協議，原有標準因其安全性不理想，一直以來都為全球用戶所詬病。而采納了許多先進技術的新標準，無疑為推動國內WLAN產業發展起到了積極的作用。同時，牽一發而動全身的安全新標準，也已影響到電信產業鏈上的諸多環節，格局變幻暗流涌動。但同時更為關鍵的是，由于WAPI協議提供了優秀的認證和安全機制，因此它非常適合于運營商的公眾無線局域網(PWLAN)運營。這除了給現有運營商帶來利好之外，也極有可能因此衍生出更多的WLAN服務提供商。

然而就是這樣一項標準，由于理解上的差異遭到了多方面質疑。一些業內人士指出，由于新標準與先行標準差異較大，因此可能存在漫游及設備兼容等一些問題，而且，一些對安全問題并不敏感的用戶的使用成本也可能會增加。

事實上，這只是標準推出初期不可避免的問題。而且據專家介紹，設備僅需要進行簡單的軟件升級即可達到規范要求，過程平滑。同時，若從WLAN產業長期發展的角度這一代價也是完全值得的。

WAPI充分考慮了市場應用，從應用模式上可分為單點式和集中式兩種：單點式主要用于家庭和小型公司的小范圍應用;集中式主要用于熱點地區和大型企業，可以和運營商的管理系統結合起來，共同搭建安全的無線應用平臺。因此，采用WAPI可以徹底扭轉目前WLAN多種安全機制并存且互不兼容的現狀，從而在根本上解決安全問題和兼容性問題。

到2004年6月1日，未獲認證產品不得出廠、進口、銷售或者在其他經營活動中使用。

3.WEP、IEEE 802.11i、WAPI三者之間的比較

WEP、IEEE 802.11i、WAPI三者之間的比較如表1所示

WEP IEEE 802.11i WAPI

認證特征 對硬件認證，單向認證。 無線用戶和 RADIUS 服務器認證，雙向認證，無線用戶身份通常為用戶名和口令。 無線用戶和無線接入點的認證，雙向認證，身份憑證為 公鑰數字證書。

性能 認證過程簡單 認證過程復雜， RADIUS 服務器不易擴充。 認證過程簡單，客戶端可支持多證書，方便用戶多處使用，充分保證其漫游功能，認證單元易于擴充，支持用戶的異地接入。

安全漏洞 認證易于偽造，降低了總安全性。 用戶身份憑證簡單，易于盜取，共享密 鑰管理存在安全隱患。 無

算法 開放式系統認證，共享密 鑰 認證。 未確定 192/224/256 位的橢圓曲線簽名算法。

安全強度 低 較高 最高

擴展性 低 低 高

加密 算法 64 位的 WEP 流加密。 128 位的 WEP 流加密， 128 位的 AES 加密算法。 認證的分組加密。

密 鑰 靜態 動態(基于用戶、基于認證、通信過程中動態更新) 動態(基于用戶、基于認證、通信過程中動態更新)

安全強度 低 高 最高

中國法規 不符合 不符合 符合#p#

三、中國宣布WAPI標準后引起的反響

2003年11月26日，國家質量監督檢驗檢疫總局和國家標準化管理委員會聯合發布公告，宣布兩個無線局域網強制性國家標準自2003年12月1日起開始實施，屆時將禁止進口、生產和銷售不符合強制性國家標準的無線局域網產品，該標準使用稱為“無線局域網鑒別與保密基礎架構(WAPI)”的安全協議。

2003年12月1日，國家質量監督檢驗檢疫總局與國家認證認可監督管理委員會的另一項公告隨后出臺，宣布對無線局域網產品實施強制性產品認證：自2004年6月1 日起，未獲得強制性產品認證證書和未施加中國強制性認證標志的無線局域網產品不得出廠、進口、銷售或者在其他經營活動中使用。

所有在中國銷售的無線局域網設備都要遵循的這項標準的加密技術被無償轉讓給了包括聯想、華為、東軟等在內的11家國內廠商，而其他任何企業要想生產并銷售此類設備，必須要先和這11家廠商合作。

此舉引起了國外廠商和媒體的強烈反響，《華爾街日報》、美聯社等世界各大媒體紛紛給予特別關注，其中《亞洲華爾街日報》更是連續推出多篇報道，《亞洲華爾街日報》引用企業的話說：“戴爾公司稱﹐預計寬限期結束時，公司將暫停向中國發運受此政策影響的產品。業內其它大型公司，從美國芯片巨頭英特爾到日本的索尼公司，再到聯想等中國硬件制造商，都急于了解新政策對其業務的潛在影響。美國的行業團體已出面就此問題游說中國和美國的決策者?！?/P>

國外巨頭普遍擔心這11家國內企業會向在產品中采用此加密技術的中外公司收費，或者為了自己的產品搶占市場而拖延談判。另外，外國公司還擔心在購買加密技術過程中其知識產權遭到損害，他們認為，即使指定公司拒絕提供加密技術，新政策似乎也沒有為外國公司提供任何合法的補救辦法。

但國內公司并不這么看，長期以來，中國因為在很多領域技術落后而在專利和標準上屢屢吃虧，翻不過身來，現在國家制定的這個標準起到了很大的保護作用，中國是一塊非常巨大的市場，這個市場足以培育起一個產業，而國外巨頭想在這里分羹，就必須遵守中國的標準。

在這次“WLAN安全風波”中，國外廠商不解的焦點集中在三方面。一是該標準是否較現行的國際WLAN安全標準牢靠;二是該標準推出時間太匆忙，6個月的緩沖期太短;三是該WAPI的標準文本的細節并未完全披露。

事實上，這些“不解”都源于對這一標準推行的理解偏差。

制定這一標準的中國寬帶無線IP標準工作組負責人劉朝陽表示：“簡單的軟件升級即達到新規范的要求，這僅是一種態度問題?！笔聦嵣?，今年年中該規定就已經下發，當時大多國外企業均表示要對標準進行詳細解析，但半年時間過去后他們顯然尚未采取切實行動。

另外，對于標準文本及密碼算法細節，國家有關規定指出，可以通過與國內指定的11家企業合作獲得具體的加密算法。對此，國外廠商也頗多異議，合作模式及知識產權讓他們感到舉步維艱。

盡管這一標準的推出使一些國外廠商遭受一定程度上的損失，但國家標準化管理委員會發言人強調：這并非是針對國外廠商的限制性標準。但這一新標準的推出在客觀上還是為國內廠商提供了新的發展契機。據悉，聯想、華為和中興等11家企業已與國家監管部門簽訂了有關協議，授權獲得無線局域網新加密標準，外國投資者可選擇與他們合作。面對龐大的中國市場，國外廠商需要與中國本土的設備制造商站在同一起跑線，重新開始市場格局的競爭。事實上，無論WAPI怎樣發展，廠商如何應對，國家標準的積極執行是毋庸置疑的，而整個WLAN產業健康、快速地向前發展，也將以此為契機。現階段，涉及利益各方正積極行動，以期在2004年6月前贏得一個更好的局面。

【編輯推薦】

1. 中國將重啟WAPI標準美國WiFi聯盟來華探風
2. WAPI標準組期待國際組織對投票失利做出解釋