可运营WLAN网络安全问题的探讨

　　新技术应用创造了新市场空间，同时改变网络格局，给最终用户带来方便。WLAN(无线局域网)技术能为最终用户提供与IP有线接入网络相当的接入带宽，同时又具备无线的可移动性、建网快的特点，不受接入线缆资源以及工程安装的限制，随时随地给最终用户提供服务。

　　在人员流动较大，Internet服务需求较强的场所无疑是一种构架宽带接入网络的理想手段。目前国内外运营商均已将WLAN作为宽带无线接入手段，融入到运营网络中，其WLAN的应用范围已超越WLAN原先定义的为企业或家庭提供最后100m接入(无线Hub)。WLAN技术凭借其自身的优势得到运营商建网的青睐，同时由于其标准的不完善，给运营网络引入的安全隐患也一直为业界争议。

　　以802.11技术构建的无线局域网网络WLAN，其技术本身的安全属性无法代表网络的安全。业界讨论WLAN网络安全一般考虑的是将WLAN引入运营网络，由于802.11空中接口安全尚不完备，导致网络存在安全隐患，其实空中接口的安全只是整个网络安全的一个问题，真正的WLAN网络的安全是一个多层互动、全面综合的系统工程问题，是否达到电信级网络安全的要求。应该衡量的标准是：能否为最终用户提供端到端安全保障?能否为运营商提供集设备级、网络级、解决方案级三位一体的端到端安全架构?此外，WLAN的安全特性还应根据其不同的应用环境进行裁剪，在Home/Soho等应用时安全性要求可较低，而在企业网和公共运营网络应用时，安全性要求应较高。

　　一、设备级安全

　　可运营WLAN网络安全方案中应该考虑到设备级安全，包括电信设备的物理环境安全和主机安全。 网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性。作为可运营WLAN网络的WLAN标准网元设备必须基于电信级设计，具体包括室外型AP应该具有防水、防雷、防火和防盗的特性，AC和AS应该放置在局端，符合NEBS三级标准的要求。 网络设备的主机应该具备用户管理、安全日志、数据存储备份等技术能力。

　　二、网络级安全

　　可运营网络在设计上应考虑到多层面的安全机制，针对WLAN应包括无线链路层安全、网络层安全和应用层安全。 链路层安全主要是通过网络的链路层的安全协议来保证，其中无线链路层的安全主要由802.11协议定义。链路层的安全机制主要包括： 无线网络设备的服务区域认证ID(ESSID);Opensystem和Sharekey认证;MAC地址访问控制;基于MAC地址的访问控制列表(ACL)。 网络层安全是由IP层协议保证网络的安全，主要包括网络边界控制和管理，加强对外部攻击和内部信息泄露的防范，网络层的安全机制主要如下： 基于五元组的访问控制列表(ACL);NAT/PAT功能;逆向检测(RPD)，防止IP地址欺骗;动态路由协议(RIP、OSPF、BGP)防欺骗;应用层加密的支持，为关键应用提供应用加密或隧道(IPSec)。 应用层安全主要是在网络的应用层提供安全机制，主要包括： 网管信息安全，SNMPv1/v2c提供基于community的安全机制，SNMPv3提供基于用户/密码的安全机机制，安全性更强;安全登录方式SSH;HTTP的安全机制HTTPs;RADIUS认证加密。

　　三、解决方案级安全

　　WLAN网络所具备的设备级、网络级的安全特性基本能满足WLAN在家庭/SOHO中应用的安全要求。而针对WLAN运用于开放公共运营网络，由于运用环境、组网网元、服务对象的变化，还需要考虑更多的安全问题： 基于不信任模型，从客户接入网络开始，经过多层次客户认证;业务网安全策略和实施方案要根据业务特征进行规划与实施;客户使用的方便性在安全方案设计中必须重点考虑;高可用性要求; 主要通过安全技术与业务良好结合来解决安全问题、降低安全风险。