1.WiFi6概述

2018年,為了更好地打造WiFi生態系統,便于 WiFi 標準的宣傳和使用,也便于非專業用戶有效區分WiFi標準,WiFi聯盟更改標準命名規則,將之前的標準802.11n改名為WiFi 4,標準802.11ac改名為WiFi5。2019年,電氣與電子工程師協會(Institute of Electrical and Electronics Engineers)發布最新的WiFi標準協議802.11ax,即WiFi6。它可以同時支持2.4GHz和5GHz頻段,最高傳輸速率達9.6Gbit/s。其相比802.11ac,密集用戶環境下實際吞吐量提升4倍,標稱傳輸速率提升37%,延遲下降75%。2020年年初,WiFi聯盟宣布將可在6GHz頻段運行的WiFi6設備命名為WiFi6E。E代表Extended,即由原有的頻段擴展至6GHz頻段。圖1展示了WiFi6標準與WiFi4、WiFi5標準的部分指標差別。

圖1. WiFi6標準與WiFi4、WiFi5標準的部分指標差別

WiFi6的應用場景較之前版本WiFi也有了較大的改變,典型的WiFi6應用場景列舉如下:

(1)大寬帶視頻業務承載

隨著人們對視頻體驗要求的不斷提升,各類視頻業務的碼率也在不斷提升,由標清到高清,從4K到8K,直至現在的VR視頻。但隨之而來的是對傳輸帶寬的要求日益增加,滿足超寬帶視頻傳輸要求成為視頻業務面臨的重大挑戰。WiFi6技術支持2.4GHz和5GHz頻段共存,其中5GHz頻段支持160MHz帶寬,速率最高可達9.6Gbit/s。5GHz頻段相對干擾較少,更適合傳輸視頻業務。同時通過BSS著色機制、MIMO技術、動態CCA等技術可降低干擾、降低丟包率,為用戶帶來更好的視頻體驗。

(2)網絡游戲等低時延業務承載

網絡游戲類業務屬于強交互類業務,對帶寬、時延等有更高的要求。尤其是新興的VR游戲,其最好的接入方式就是WiFi無線方式。WiFi6引入的OFDMA信道切片技術能夠為游戲提供專屬信道,降低時延,滿足游戲類業務特別是VR

(3)智慧家庭智能互聯

智能互聯是智能家居、智能安防等智慧家庭業務場景的重要組成部分。當前家庭互聯技術存在不同的局限性,WiFi6技術將給智能家庭互聯帶來技術統一的機會。它將高密度、大數量接入、低功耗等特點優化集成在一起,同時又能與用戶普遍使用的各種移動終端兼容,提供良好的互操作性。

2.WiFi網絡安全威脅

生活中常見的WiFi威脅主要有以下幾類:

(1)非法用戶占用通信資源

當WLAN設置的口令過于簡單時,如純數字口令甚至是缺省口令,攻擊者就可以通過猜測或者暴力破解的方式獲取口令從而接入網絡,占用合法用戶的帶寬。

(2)釣魚攻擊

在移動蜂窩網絡中,不法分子利用2G技術的缺陷,通過偽裝成運營商的基站向用戶手機發送詐騙、廣告推銷等垃圾信息。類似的,在WLAN中,不法分子通過設置與合法熱點有相同、相似的服務集標識(Service Set Identifier,SSID)名稱的非法熱點,誘導用戶接入。用戶一旦接入這樣的熱點,可能導致重要數據被竊取,造成用戶財產損失。舉例來說,用戶接入了非法WiFi熱點推送的購物網站,并進行了交易,不法分子就會截獲用戶的賬號信息,盜用用戶的賬戶。

(3)非法AP接入攻擊

當前不法分子的攻擊手段日新月異,并且業界安全攻防技術也在不斷向硬件領域深入擴展。攻擊者可能近端接觸到WiFi接入點設備,篡改設備存儲介質,對于不具備硬件可信根的設備,整個系統的安全防護措施將完全失效。終端用戶接入被劫持的WiFi接入點后,所有數據流量均會被竊取或篡改。除此以外,舊協議標準固有的漏洞,如有線等效加密(Wired Equivalent Privacy,WEP)協議使用不安全的算法和WeakIV漏洞,也使得密碼很容易被破解。

綜上,WLAN常見的安全威脅有未經授權使用網絡服務、數據安全、非法接入點以及拒絕服務攻擊。針對以上安全威脅,我們可采取對應的安全措施來進行防護,保護網絡安全。以下我們主要介紹WiFi6中涉及到的主要安全技術。

3.WiFi6安全技術

相較于WiFi5,WiFi6提升了接入帶寬和并發容量,帶來了節能技術,雖然WiFi標準本身并未引入新的安全機制,但是前文提到的WPA3認證將從2020年7月1日起成為所有新WiFi的強制性認證,即WPA3配套WiFi6提升無線網絡的安全。WIFI6安全機制包括鏈路認證、用戶接入認證和數據加密、無線攻擊檢測和反制,以及網元自身的設備安全可信。下面我們一一介紹:

(1)鏈路認證

鏈路認證即終端身份驗證。由于802.11協議要求在接入WLAN之前需先經過鏈路認證,所以鏈路認證通常被認為是終端連接到AP(Access Point,AP)并訪問WLAN的握手過程的起點。802.11協議規定了鏈路認證方式主要有開放系統認證(Open System Authentication)和共享密鑰認證(Shared-key Authentication)兩種。在開放系統認證中,終端以ID(通常是MAC地址)作為身份證明,所有符合802.11標準的終端都可以接入WLAN。而共享密鑰認證僅WEP協議支持,要求終端和AP使用相同的“共享”密鑰。由于WEP協議安全性差,已經被淘汰,所以鏈路認證階段一般都使用開放系統認證。這個階段實際上沒有執行身份認證過程,只要符合協議交互過程就能夠通過鏈路認證。在WPA3標準中,新引入了機會性無線加密(Opportunistic Wireless Encryption,OWE),通過單獨數據加密的方式來保護開放網絡中的用戶隱私,實現開放網絡的非認證加密。

(2)用戶接入認證和數據加密

用戶接入認證即對用戶進行區分,并在用戶訪問網絡之前限制其訪問權限。相

對于簡單的終端身份驗證機制(鏈路認證),用戶身份驗證安全性更高。用戶接入認證主要包含以下幾種:WPA/WPA2/WPA3認證、802.1x認證、WAPI認證。除了用戶接入認證外,對數據報文還需使用加密的方式來保證數據安全。數據報文經過加密后,只有持有密鑰的特定設備才可以對收到的報文進行解密,其他設備即使收到了報文,也因沒有對應的密鑰,無法對數據報文進行解密。圖2為設備證書雙向驗證過程:

圖2. 設備證書雙向校驗過程

為了構建端到端的安全可信,除了終端到WLAN設備AP的通道保證安全外,AP到控制器也需要保證設備可信和通道安全,通過設備證書的雙向校驗及CAPWAP隧道DTLS加密來保障。

如圖2所示的設備證書雙向校驗流程,待注冊設備在發起請求的報文中攜帶設備自身證書至云平臺;云平臺獲取到設備證書后,進行證書鏈的遍歷鑒權,同時驗證設備ESN是否為資源池中注入設備;對應的設備也會校驗云平臺的證書,只有雙向校驗通過后才能發起業務流程,通過證書的安全機制抵御設備仿冒的風險。Wi-Fi設備與控制器之間的雙向認證

需要基于數字證書來實現。認證流程中最關鍵的就是私鑰的簽名,如果攻擊者能夠攻破主機軟件,調用到認證私鑰,就能夠仿冒合法設備,欺騙控制器接入網絡,進而實現橫向攻擊。

(3)無線攻擊檢測和反制

認證和加密這2種方式是目前常用的無線安全解決方案,可在不同場景下對網絡進行保護。在此基礎上,還可通過無線系統防護來提供WLAN的防護功能。目前,無線系統防護主要技術有無線入侵檢測系統(Wireless Intrusion Detection System,WIDS)和無線入侵防御系統(Wireless Intrusion Prevention System,WIPS)2種。這2種技術不但可以提供入侵檢測,還可以實現一些入侵反制機制,以便更加主動地保護網絡。針對最常見的密鑰暴力破解,可部署防暴力破解密鑰功能。AP將會檢測認證時的密鑰協商報文在一定的時間內的協商失敗次數。如果超過配置的閾值,則認為該用戶在通過暴力破解法破解密碼,此時AP將會上報告警信息給AC,如果同時開啟了動態黑名單功能,則AP將該用戶加入到動態黑名單列表中,丟棄該用戶的所有報文,直至動態黑名單老化。

(4)設備完整性保護

安全啟動的目標是軟件安裝包需要進行完整性保護并確保完整性校驗流程安全可靠。軟件安裝包在傳輸過程中可能被攻擊者惡意篡改,惡意篡改后的軟件一旦安裝到用戶系統中,可能造成用戶信息泄露、用戶系統資源占用、甚至系統完全被攻擊者控制。如果企業設備軟件被篡改而被植入竊聽功能,將給運營商和企業帶來巨大損失。

這一部分的安全性保證主要是基于硬件信任根和數字簽名的安全啟動。其方案原則為:系統必須有一段不可更改的代碼以及驗簽密鑰作為信任根(Root of Trust,RoT),并且作為系統第一段啟動的代碼。系統啟動時,每個啟動階段逐級校驗下一階段啟動的代碼,如果校驗不通過,則停止啟動。

4.總 結

長期來看,物聯網設備的接入增多是讓網絡流量激增的主因,所以協議的不斷更新也是為了滿足未來人們的多設備、多場景上網需求。雖然技術不斷更新,但是攻擊者通過協議入侵物聯設備仍時常發生,用戶在使用公共WiFi時還是需要警惕。雖然WiFi6迅速火熱,但是尚且還存在不足,比如支持設備少、成本高,在特定場合優勢才能突顯等問題。WiFi6步入人們的生活是大勢所趨,未來也會看到越來越多的承載設備推出,安全風險也是相伴而生,人們不僅要享受技術福利,也要積極應對技術帶來的風險挑戰。

參考文獻

[1]曹斌,吉祥.Wi-Fi6安全可信技術應用研究[J].保密科學技術,2020(08):20-28.

[2]黃宇,李雨汝.WiFi6技術現狀綜述[J].中國無線電,2021(05):90-91.

[3]王毅成.第六代WiFi技術探析及其與5G關系的探究[J].信息通信,2020(05):1-3.

[4]Mathy Vanhoef , Eyal Ronen. Dragonblood. Analyzing the Dragonfly Handshake of WPA3and EAP-pwd.

[5] https://zh.wikipedia.org/wiki/IEEE_802.11ax[6] https://www.freebuf.com/articles/wireless/242734.html

標簽: