概述 WLAN技术所具有的移动性、便捷性、较高的带宽等特点,以及大规模的产业化和低成本等诸多优势,使WLAN市场短短数年内得到了大规模发展。今天从家庭娱乐终端、移动便携、手机终端到企业各种应用,WLAN应用的身影无处不在。据统计,2008年全球销售了3亿8千多万颗WLAN芯片,较2007年增长了26%。巨大的增长让业界在期待着WLAN芯片销售能够在不远的将来达到惊人的每年10亿颗! WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。WLAN技术标准主要由IEEE 802.11工作组负责制定。第一个802.11协议标准诞生于1997年并于1999年完成修订。随着WLAN早期协议暴露的安全缺陷,由于用户应用不断地呼唤着更高的吞吐,以及企业等应用对可管理性的要求,IEEE 802.11工作组陆续推出了802.11a、802.11b、802.11g、802.11i、802.11e、802.11n、802.11k等大量标准。此外,IETF的CAPWAP工作组还制定了无线AP的相关管理标准。 我们可以从无线安全、吞吐提高、可管理等方面对WLAN相关标准的发展进行如下分类: 无线吞吐提高 从传统的11a/b/g发展到最新的11n标准,物理层最高吞吐从54Mbps提高到了600Mbps。 实现无线安全 为了解决802.11标准中WEP等安全机制的缺陷,IEEE 802.11i工作组提出了802.11i标准。此外,中国制定了WAPI标准,目前正在申请成为国际标准。无论802.11i还是WAPI,都是为了保障用户无线数据的安全。802.11协议报文(管理报文)也是安全的重要环节,IEEE 802.11w工作组负责制定管理报文安全。 提高无线可管理性 WLAN大规模部署、Voice over WLAN等需求对无线资源和无线终端管理提出了更高要求,为此IEEE 成立了802.11k和802.11v工作组。此外,为了简化大量AP设备部署时的操作成本,IETF成立了CAPWAP工作组以制定相关标准。 其它标准 为了满足Voice over WLAN等业务对QoS、快速漫游的要求,IEEE成立了802.11e、802.11r工作组。为了标准化基于WLAN的mesh网络技术,IEEE成立了802.11s工作组。 谈到IEEE 802.11工作组的相关标准,就必然谈到Wi-Fi联盟。IEEE 802.11主要关注的是技术标准和协议接口,并没有限制协议的具体实现,所以即使各厂家基于相同协议标准开发,仍然存在互通风险。802.11标准的产品化、产业化需要一个组织来推动,产品互通性需要一个组织来认证,这些需求促进了Wi-Fi联盟的诞生。Wi-Fi联盟参考IEEE 802.11标准制定了大量认证标准。比如,参考802.11i协议,Wi-Fi联盟制定了WPA/WPA2认证标准;参考802.11e协议,制定了WMM认证标准。Wi-Fi联盟的存在极大地推动了WLAN产业化。 标准组简介 本文将重点介绍IETF CAPWAP工作组、802.11n、802.11i、WAPI等协议标准。 1. IETF CAPWAP工作组 在企业中大量部署AP时,对这些AP升级软件、设置发射功率等管理工作将给用户带来很高的操作成本。2002年左右,WLAN在企业等应用发展出现了新的趋势:瘦AP(FIT AP)架构。即通过无线控制器(AC)来管理多个AP,AP和AC间采用某种隧道协议进行通讯,无线接入报文的处理在AP和AC间分担实现。而传统的AP由于在一个AP上实现了所有无线接入等功能,所以被称为胖AP(FAT AP)。
图1 瘦AP架构 为了解决隧道协议不兼容造成的A厂家的AP和B厂家的AC无法进行互通的问题,IETF在2005年成立了CAPWAP工作组以标准化AP和AC间的隧道协议。该协议主要功能包括了:AP自动发现AC,AC对AP进行安全认证,AP从AC获取软件映像,AP从AC获得初始和动态配置等。此外,系统可以支持本地数据转发和集中数据转发。瘦AP架构让AC具有了对整个WLAN网络的完整视图,为无线漫游、无线资源管理等业务功能的实现提供了基础。 作为隧道协议的一个重要设计目标,它希望能够承载多种无线接入技术,如802.11和802.16。所以工作组协议包括了两部分:CAPWAP协议和无线binding协议。CAPWAP协议(RFC5415,2009年4月发布)作为通用隧道协议,完成了AP发现AC等基本协议功能,和具体的无线接入技术无关。目前工作组只提供了802.11的binding协议(RFC5416,2009年4月发布),以支持802.11网络的配置管理功能。 目前,包括H3C在内的多个厂家已经将支持CAPWAP相关协议列入产品下一步开发计划。H3C的技术专家作为第一作者起草了CAPWAP协议的MIB草案和802.11 binding协议的MIB草案。创新地提出了虚拟无线口的概念,实现了在瘦AP架构下完全可以重用IEEE 802.11工作组(包括802.16等)已有的面向胖AP架构的MIB标准,很好地促进了IEEE标准在瘦AP架构的演进。目前两篇工作组草案处于WGLC(Working Group Last Call)阶段,预计年内作为RFC发布。 ###NextPage### 2. IEEE 802.11n工作组 随着YouTube、无线家庭媒体网关、企业Voice over WLAN等应用的不断涌现,对WLAN技术提出了越来越高的带宽要求,802.11a/b/g这些传统技术已经无法支撑新的业务需求,IEEE 802.11工作组意识到支持高吞吐将是WLAN技术发展历程的关键点。基于IEEE HTSG(High Throughput Study Group)前期的技术工作,于2003年成立了Task Group n(TGn)。N表示Next Generation,核心内容就是通过物理层和MAC层的优化来充分提高WLAN技术的吞吐。由于802.11n涉及了大量的复杂技术,标准过程中又涉及了大量的设备厂家,所以整个标准制定过程历时漫长,预计2009年末才可能成为标准。相关设备厂家早已无法耐心等待这么漫长的标准化周期,纷纷提前发布了各自的11n产品。为了确保这些产品的互通性,Wi-Fi联盟基于IEEE 2007年发布的802.11n草案的2.0版本制定了11n产品认证规范,以帮助11n技术能够快速产业化。 802.11n首要的任务是提高吞吐,通过结合物理层的多项技术,包括提供多条空间流(SDM)的MIMO技术来实现多条数据流并发、通过绑定两个20MHz带宽(即40MHz)来提高物理频宽、采用了MIMO-OFDM并提供了更多的子载频等,从而将物理层吞吐提高到300Mbps。如果仅仅提高物理层的速率,而没有对空口访问等MAC协议层的优化,802.11n的物理层优化将无从发挥,所以802.11n对MAC采用了Block确认、帧聚合等技术,大大提高了MAC层的效率。 802.11n对用户应用的另一个重要收益是无线覆盖的改善。由于采用了多天线技术,无线信号(对应同一条空间流)将通过多条路径从发送端到接收端,从而提供了分集效应。在接收端采用一定方法对多个天线收到信号进行处理,就可以明显改善接收端的SNR,即使接受端较远时,也能获得较好的信号质量,从而间接提高了信号的覆盖范围。典型的技术包括MRC等。 除了吞吐和覆盖的改善,11n技术还有一个重要的功能就是兼容传统的802.11a/b/g,以保护用户已有的投资。 目前,Cisco、H3C和Aruba公司已经在全球率先发布了面向企业级和运营级市场的802.11n产品。 3. IEEE 802.11i工作组 802.11标准定义了WEP安全机制,WEP本意是“等同有线的安全”。WEP采用RC4流加密算法,为避免加密key的重复使用,WEP引入了24位的IV。对于24位的IV, 5000个报文后就有50%的机率出现重复的IV。2001年8月,Scott Fluhrer、Itsik Mantin和Adi Shamir公开了对WEP的分析报告,展示了完全可能在1分钟内完成对WEP的破解。除了加密算法的瑕疵,WEP没有提供出有效的密钥管理机制,密钥完全是静态配置,非常不适合企业等大规模部署场景。此外,WEP的共享密钥认证机制也是漏洞百出。总之,WEP机制无论在加密强度、用户认证、数据完整性和密钥管理方面都存在着大量的安全漏洞。 面对诸多的WEP安全漏洞,IEEE 802.11在2002年迅速成立了802.11i工作组,以解决WEP的上述问题。考虑到企业等规模部署应用需要扩展性很好的安全管理机制,工作组采用了802.1x、Radius体系来完成接入用户的身份认证。无论802.1x还是Radius体系都早已广泛部署并获得了业界的认可,同时支持灵活的扩展,提供了EAP-TLS、EAP-TTLS、EAP-PEAP等大量认证方法来灵活满足各种部署要求。所以,802.11i工作组只需要关注无线空口的安全,包括提高数据报文的加密强度、确保数据报文完整性、实现加密密钥的动态协商。对于数据加解密,802.11i使用了AES-CCM和TKIP算法;完整性校验采用Michael和CBC算法;同时基于4次握手过程实现了密钥的动态协商。
图2 Radius和802.11i认证过程 4. 中国WAPI标准 针对WLAN安全问题,中国制定了自己的WLAN安全标准:WAPI。 WAPI基本架构上和802.11i采用的AAA架构类似,也包括了三个实体,即鉴别请求者系统(WLAN终端)、鉴别器系统(WLAN设备)和鉴别服务系统;但与其他WLAN安全机制(如802.11i)相比,具有支持双向身份鉴别、数字证书身份凭证等优势。
图3 WAPI协议基本过程 整个WAPI协议过程主要包括两个阶段: WLAN终端和WLAN设备把各自证书发给鉴别服务器,后者负责判断证书的合法性; WLAN终端和WLAN设备通过报文交互,完成相互的身份认证和密钥协商。 WAPI一直致力于标准的国际化,但是遭遇很大的阻力。在搁浅5年之后的2009年,我国提出的无线局域网安全技术标准WAPI有望获国际认可,晋升国际标准。日前,WAPI产业联盟宣布,WAPI已获得国际标准组织ISO/IECJTC1/SC6的提案邀请,将作为独立标准重新进入国际标准流程。此外,工信部已经明确:只要支持WAPI,具有Wi-Fi功能的手机就可以获得入网许可。总的看来,WAPI产业当前已经得到了很好的标准和政策支持。 为了推动WAPI的实际应用,H3C提出了WAPI over EAP的WAPI部署方案,实现了WAPI和电信现有Radius系统的很好融合,节省了用户单独部署鉴别服务器的成本,简化了管理,实现了802.11i和WAPI用户的统一认证管理。 ###NextPage### 总结 WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。用户对WLAN安全的关注,以及由应用促使的对更高吞吐的呼唤、对可管理性的更高要求等,推动了WLAN技术的不断创新和技术标准的不断完善。 参考文献 [1] [RFC5415] Calhoun, P., Montemurro, M., and D.Stanley, "Control And Provisioning of Wireless Access Points (CAPWAP) Protocol Specification", March 2009. [2] [RFC5416] Calhoun, P., Montemurro, M., and D.Stanley, "Control and Provisioning of Wireless Access Points (CAPWAP) Protocol Binding for IEEE 802.11", RFC 5416, March 2009. [3] [IEEE.802-11.2007] "Information technology - Telecommunications and information exchange between systems - Local and metropolitan area networks – Specific requirements - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications", IEEE Standard 802.11, 2007 [4] [IEEE.802-11.2007] 基于痩AP架构实现WAPI 作者史扬 蔡自彬 蔡贤森 缩略语 CAPWAP Control and Provisioning of Wireless Access Points SDM Spatial Division Multiplexing MIMO Multiple Input Multiple Output OFDM Maximal-Ratio Combining SNR Signal Noise Ratio WEP Wired Equivalent Privacy WAPI Wireless Area Network Authentication and Privacy Infrastructure WAI WLAN Authentication Infrastructure IV Initialization Vector |
Powered by Discuz!
© 2003-2024 广州威思信息科技有限公司