WiFi安全网桥探讨

1 WiFi网桥现状

近年来，随着视频监控产品不断普及，无线网桥，特别是WiFi网桥，也越来越受到市场青睐。主要原因大概归属如下：1）同有线视频传输相比，无线视频传输无需布线，故安装及其方便，施工周期短，施工难度低；2）无线网桥价格持续下降，采用无线传输方案可获得较佳的成本优势；3）后期维护成本低，无论是扩容还是迁址，无线网桥都比有线方式便利；4）无线网桥通信质量保障水平不断提高，可提供有线质量差不多无线网络。

　　事实上，无线网桥由于其“无线”特征，可引入比传统有线传输网络更多的安全风险，但现实中，好像人们对此领域的安全性认知不够，这是让人非常不安的。

　　说到安全性，还是老规矩，需从“CIA”三维图上展开。对于现有WiFi无线监控传输网络而言，“A（可用性）“是最为大家关注，也最为直观，视频不清晰、携带摄像头的个数、传输距离等指标是各网桥的比拼点；但对于“C（机密性）”而言，无线网桥通过选择配置网络接入密码和传输加密，防止他人蹭网和空口抓包；“I（完整性）“则几乎没有，若有也仅仅是CPE绑定AP而已。

　　真正的WiFi安全网桥，应该具备如下特征

• 难被扫描

在普通WiFi设备上，无法扫描到WiFi网桥信息。可参照现有蜂窝网络”专网“，普通设备扫描不到”专网“设备；抑或是扫描到了信号，但无法通过WiFi协议解析。

• 难被干扰

WiFi信号即使被特殊仪器扫描到，也不能被其轻易干扰到。可参照现有宽频中的窄频跳频技术，让干扰源无法持续干扰。

• 难被攻破

　　即使被恶意设备锁定，也不能被轻易攻破，能识别伪造信号，自动拒绝伪端通信。

2 新型安全WiFi网桥技术

　　在多年研究与研发、生产WiFi产品基础上，发现自安全性WiFi网桥是能解决现有视频监控网络无线网桥的一种最佳实践。

2.1 自安全型WiFi网络支持扩频

　　研究发现，无论是标称2.4GHZ还是5.8GHZ的WiFi芯片，其基带还是具有非常多的载波频率余量，利用这些余量值，可以实现扩频，从而实现对普通WiFi设备隐身。当然，这些余量值也不是非常好用，就是无线质量三角形（”发射功率/EVM/接收灵敏度“）挺难调到标称2.4GHz或5.8GHz可用信道一样。好消息是通过不断调整芯片的外围匹配电路，总是可以让芯片工作在某个扩频域内和标准频段内的无线质量三角形相差不大。扩频可以带来最佳的安全体验，但存在法律风险，使用前最好先了解本区域哪些频段是绝对不能混用的。但对于矿井、草原、岛屿、山林等封闭区域，扩频的危害是轻微的。

通过修改WiFi驱动中的载波基频值，与相应的硬件方案配合，即可实现WiFi网络扩频。经验表明，芯片外围的适配器件越多，电路越复杂，则可调余量越大；反之，则可调余量越小。例如，我们在调试AR9331芯片时，在2.0GHz-2.4GHz内，射频口（天线扣子处）的功率均相差不大，且在同一位置上，可以获得与5.8G一样的吞吐量；在700MHz频段，射频口的功率与2.0GHz段要低8dB左右才能有合格的EVM值；而QCA9882芯片，外围适配电路仅一个巴伦（增加变频芯片可以做到任意变频，但成本增加，挺难大面积推广），调到4.18GHz时，发射功率比5.18GHz要低近10dB，且EVM特别差，HT80跑流时误码率太高，在5Km跑不到120Mbps，而在5.18GHz上，启用HT80时，5Km处能达到500Mpbs的单向吞吐量。

　　另外，扩频带来的麻烦就是天线，一般天线仅在其标称的频率范围内具有其标称的方向增益，所以扩频产品需要定制天线，或者是配多根天线。

2.2 自安全型WiFi网络抗干扰

现场经验与实验室测试表明，WiFi干扰是WiFi网络安全的最大危害。好多场景下，开始安装时视频传输都非常好，但一段时间后，传输质量就显著变差，即使重启设备或调整天线角度还是无济于事。其中重要的原因是WiFi空域中增加了不同的WiFi设备导致。干扰主要由同频干扰和邻频干扰导致，但有时异频干扰也能导致严重问题。最简单的是2.4GHz下，1信道和11信道的AP均在全力跑吞吐量测试时，6信道上终端的吞吐量也会显著下降。所以现有的WiFI视频传输网桥，只要让一个高功率的干扰器不断外发大数据流，即可将该区域的监控图像拖慢甚至中断。

　　更严重的是，被干扰是设备自身挺难纠正过来的，需要周围的同类设备一起调整才有效果，但公共领域的WiFi网桥厂家、运营方各异，难以做到统一调整的。

WiFi网桥通过预设多组载波基频序列，在驱动检测到当前通信质量变差（RSSI，发送速率、接收速率）变差到触发调频条件时，先在同一个基频带内切换到不同的工作信道上，如果可用工作信道均使用过，则切换到下一个基频带，并再次初始化驱动；而客户端（CPE）在收到信道切换信息，同样切换到下一个基频，且重新初始化驱动，从而再次关联到目标AP上。信道切换是普通信道切换，锁定了WiFi网桥的特殊WiFi设备可收到此信息，但不知道WiFi网桥的载波基频序列，所以它不知道该到那个基频上干扰目标WiFi网桥。

2.3 自安全型WiFi网桥抗攻击

现场经验表明，现有的WiFi网桥，即使AP和CPE上进行了配对，且配置了安全接入和数据加密，且密码长度有的超过12个字符，盲破接入密码的代价高、周期长；但是，只要用一个WiFi扫描工具，就可以抓到AP和CPE的MAC地址；然后利用简单的配置，就可以构造出一个伪造的解关联请求，从而让AP和CPE间通信断开，破坏网桥的有用性。要实现这个功能，一个熟悉c语言的人在Openwrt上即可实现。通过发送解关联洪水，就可以让AP和CPE间完全断开。

　　经验和研究表明，网桥安装成功后，一般就固定不动的，此时，在网络2端中，对端的信号强度一般都会维持恒定（在一个固定范围内跳变）；当然，不排除风、震动等引起固定松动，从而导致信号强度跳变。一旦发现对方的管理报文的信号强度值不再恒定范围内，则认为是伪造报文，从而直接丢弃。这样可有效缓解伪造攻击（不能抗洪水攻击，洪水攻击会导致通信质量变差而跳频）。

　　WiFi驱动在检测到通信双方建立连接后，在初始5分钟内，按一定的规律采集对方的信号强度，取平均值为标准信号强度；以预配置的强度偏差值为增幅，框出范围；超出范围的管理报文均不处理；此外，在关键的关联请求/关联响应/解关联请求中，增加自定义加密信元，只有加密信元验证成功，报文才会处理。更进一步地，在CPE关联上AP后，安全应用会主动发送认证报文，AP收到且确认无误后，CPE身份鉴别通过，并响应CPE；CPE收到且验证响应消息后，才认为AP正确。一旦AP超时未收到CPE的认证请求，或认证请求不正确，直接将该CPE踢下线，且锁定1分钟；而CPE在持续未收到AP的响应、或响应消息验证不通过，则认为该AP为虚假AP，主动断开，且自我空转1分钟，然后再扫描AP。

　　额外地，安全网桥不允许不设密码、或密码长度小于12个字符、或非AES加密，一旦配置错误，拒绝保持；强制修改配置数据将视为攻击，自动恢复出厂时随机配置的密码。

　　综上所述，在WiFi网桥野蛮生长期过后，自安全型WiFi网桥因为可为现场提供非常高的安全通信保障，将逐渐被市场所接受。