WLAN的應用與技術標準的完善之間形成了良好的互動,本文從當前用戶業務需求重點關注的帶寬�、無線安全、WLAN集中管理等方面��,介紹IETF和IEEE在相關領域的進展����,重點介紹11n���,802.11i�����,WAPI,CAPWAP等標準。同時,介紹業界廠商對于這些標準的支持與創新。
概述WLAN技術所具有的移動性����、便捷性�����、較高的帶寬等特點,以及大規模的產業化和低成本等諸多優勢��,使WLAN市場能夠短短數年內得到了大規范發展����。今天從家庭娛樂終端、移動便攜����、手機終端到企業各種應用���,WLAN應用的身影無處不在����。據統計��,2008年全球銷售了3億8千多萬顆WLAN芯片���,較2007年增長了26%����。巨大的增長讓業界在期待著WLAN芯片銷售能夠在不遠的將來達到驚人的每年10億顆�����。
WLAN產業蓬勃發展和WLAN技術標準不斷完善形成了良好的互動�����。WLAN技術標準主要由IEEE 802.11工作組負責制定。第一個802.11協議標準誕生于1997年并于1999年完成修訂�。隨著WLAN早期協議暴露的安全缺陷�����,由于用戶應用不斷地呼喚著更高的吞吐,以及企業等應用對可管理性的要求�,IEEE 802.11工作組陸續地推出了802.11a��、802.11b、802.11g����、802.11i�����、802.11e、802.11n、802.11k等大量標準。此外��,IETF的CAPWAP工作組還制定了無線AP的相關管理標準��。
我們可以從無線安全��、吞吐提高、可管理等方面對WLAN相關標準的發展進行如下分類:
• 無線吞吐提高
從傳統的11a/b/g發展到最新的11n標準,物理層最高吞吐從54Mbps提高到了600Mbps��。
• 實現無線安全
為了解決802.11標準中WEP等安全機制的缺陷���,IEEE 802.11i工作組提出了802.11i標準����。此外��,中國制定了WAPI標準���,目前正在申請成為國際標準����。無論802.11i還是WAPI�,都是為了保障用戶無線數據的安全。802.11協議報文(管理報文)也是安全的重要環節���,IEEE 802.11w工作組負責制定管理報文安全。
• 提高無線可管理性
WLAN大規模部署���、Voice Over WLAN等需求對無線資源和無線終端管理提出了更高要求,為此IEEE 成立了802.11k和802.11v工作組����。此外�,為了簡化大量AP設備部署時的操作成本����,IETF成立了CAPWAP工作組以制定相關標準。
• 其它標準
為了滿足Voice Over WLAN等業務對Qos�����、快速漫游的要求,IEEE成立了802.11e��、802.11r工作組�����。為了標準化基于WLAN的mesh網絡技術�,IEEE成立了802.11s工作組�����。
談到IEEE 802.11工作組的相關標準,就必然談到Wi-Fi聯盟�����。IEEE 802.11主要關注的是技術標準和協議接口�����,并沒有限制協議的具體實現���,所以即使各廠家基于相同協議標準開發����,仍然存在互通風險�。802.11標準的產品化、產業化需要一個組織來推動���,產品互通性需要一個組織來認證,這些需求促進了Wi-Fi聯盟的誕生����。Wi-Fi聯盟參考IEEE 802.11標準制定了大量認證標準��。比如,參考802.11i協議��,Wi-Fi聯盟制定了WPA/WPA2認證標準��;參考802.11e協議���,制定了WMM認證標準。Wi-Fi聯盟的存在極大地推動了WLAN產業化����。
標準組簡介本文將重點介紹IETF CAPWAP工作組�、802.11n�����、802.11i�����、WAPI等協議標準。
1. IETF CAPWAP工作組在企業中大量部署AP時,對這些AP升級軟件��、設置發射功率等管理工作將給用戶帶來很高的操作成本��。2002年左右��,WLAN在企業等應用發展出現了新的趨勢:瘦AP架構。即通過無線控制器(AC)來管理多個AP,AP和AC間采用某種隧道協議進行通訊�,無線接入報文的處理在AP和AC間分擔實現�。而傳統的AP由于在一個AP上實現了所有無線接入等功能�,所以被稱為胖AP(FAT AP)。
圖1:瘦AP架構 為了解決隧道協議不兼容問題造成的A廠家的AP和B廠家的AC無法進行互通,IETF在2005年成立了CAPWAP工作組以標準化AP和AC間的隧道協議�����。該協議主要功能包括了:AP自動發現AC���,AC對AP進行安全認證���,AP從AC獲取軟件映像�����,AP從AC獲得初始和動態配置等。此外,系統可以支持本地數據轉發和集中數據轉發。瘦AP架構讓AC具有了對整個WLAN網絡的完整視圖����,為無線漫游����、無線資源管理等業務功能的實現提供了基礎。
作為隧道協議的一個重要設計目標,它希望能夠承載多種無線接入技術�,如802.11和802.16����。所以工作組協議包括了兩部分:CAPWAP協議和無線binding協議�。CAPWAP協議(RFC5415,2009年4月發布)作為通用隧道協議,完成了AP發現AC等基本協議功能�,和具體的無線接入技術無關��。目前工作組只提供了802.11的binding協議(RFC5416,2009年4月發布),以支持802.11網絡的配置管理功能。
目前����,包括H3C在內的多個廠家已經將支持CAPWAP相關協議列入產品下一步開發計劃�����。H3C的技術專家作為第一作者起草了CAPWAP協議的MIB草案和802.11 binding協議的MIB草案。創新地提出了虛擬無線口的概念�����,實現了在瘦AP架構下完全可以重用IEEE 802.11工作組(包括802.16等)已有的面向胖AP架構的MIB標準����,很好地促進了IEEE標準在瘦AP架構的演進。目前兩篇工作組草案處于WGLC階段,預計年內作為RFC發布���。
2. IEEE 802.11n工作組隨著YouTube���、無線家庭媒體網關��、企業Voip Over WLAN等應用的不斷涌現����,對WLAN技術提出了越來越高的帶寬要求����,802.11a/b/g這些傳統技術已經無法支撐新的業務需求,IEEE 802.11工作組意識到支持高吞吐將是WLAN技術發展歷程的關鍵點��������;贗EEE HTSG (High Throughput Study Group)前期的技術工作��,于2003年成立了Task Group n (TGn)����。N表示Next Generation�����,核心內容就是通過物理層和MAC層的優化來充分提高WLAN技術的吞吐���。由于802.11n涉及了大量的復雜技術�,標準過程中又涉及了大量的設備廠家�,所以整個標準制定過程歷時漫長,預計2009年末才可能會成為標準�����。相關設備廠家早已無法耐心等待這么漫長的標準化周期��,紛紛提前發布了各自的11n產品。為了確保這些產品的互通性����,Wi-Fi聯盟基于IEEE 2007年發布的802.11n草案的2.0版本制定了11n產品認證規范���,以幫助11n技術能夠快速產業化����。
802.11n首要的任務是提高吞吐,通過結合物理層的多項技術���,包括提供多條空間流(SDM)的MIMO技術來實現多條數據流并發、通過綁定兩個20MHz帶寬(即40MHz)來提高物理頻寬�、采用了MIMO-OFDM并提供了更多的子載頻等�����,從而將物理層吞吐提高到300Mbps。如果僅僅提高物理層的速率���,而沒有對空口訪問等MAC協議層的優化,802.11n的物理層優化將無從發揮���,所以802.11n對MAC采用了Block確認、幀聚合等技術�,大大提高了MAC層的效率����。
802.11n對用戶應用的另一個重要收益是無線覆蓋的改善�。由于采用了多天線技術,無線信號(對應同一條空間流)將通過多條路徑從發送端到接收端�����,從而提供了分集效應�。在接收端采用一定方法對多個天線收到信號進行處理����,就可以明顯改善接收端的SNR,即使接受端較遠時,也能獲得較好的信號質量����,從而間接提高了信號的覆蓋范圍��。典型的技術包括了MRC等。
除了吞吐和覆蓋的改善�,11n技術還有一個重要的功能就是要兼容傳統的802.11 a/b/g�,以保護用戶已有的投資��。
目前�����,Cisco、H3C和Aruba公司已經在全球率先發布了面向企業級和運營級市場的802.11n產品���。
3. IEEE 802.11i工作組802.11標準定義了WEP安全機制,WEP本意是“等同有線的安全”�����。WEP采用RC4流加密算法��,為避免加密key的重復使用�����,WEP引入了24位的IV��。對于24位的IV, 5000個報文后就有50%的機率出現重復的IV��。2001年8月,Scott Fluhrer, Itsik Mantin 和 Adi Shamir 公開了對WEP的分析報告�,展示了完全可能在1分鐘內完成對WEP的破解�。除了加密算法的瑕疵����,WEP沒有提供出有效的密鑰管理機制,密鑰完全是靜態配置,非常不適合在企業等大規模部署場景��。此外�,WEP的共享密鑰認證機制也是漏洞百出。總之�,WEP機制無論在加密強度�、用戶認證��、數據完整性和密鑰管理方面都存在這大量的安全漏洞�����。
面對諸多的WEP安全漏洞,IEEE 802.11在2002年迅速成立了802.11i工作組����,以解決WEP的上述問題�������?紤]到企業等規模部署應用需要擴展性很好的安全管理機制,工作組采用了802.1x、Radius體系來完成接入用戶的身份認證��。無論802.1x還是Radius體系都早已廣泛部署并獲得了業界的認可�,同時支持靈活的擴展,提供了EAP-TLS、EAP-TTLS��、EAP-PEAP等大量認證方法來靈活滿足各種部署要求�。所以�,802.11i工作組只需要關注無線空口的安全,包括提高數據報文的加密強度�����、確保數據報文完整性���、實現加密密鑰的動態協商�。EAP認證過程既完成了用戶身份的認證,又協商出了Master key�����,基于后者可以計算出PMK�����。由于PMK只被WLAN終端和Radius server所知道�����,而802.11i的密鑰協商過程并不需要Radius Server參與,所以Radius Server需要將該PMK傳遞給WLAN設備�����。WLAN設備和WLAN終端通過交換隨機數等參數完成數據加密密鑰的動態協商�����,PMK被用于幫助密鑰協商���,但是不在WLAN設備和WLAN終端之間傳遞(為了安全)��,整個過程由于涉及4次握手報文�����,所以一般稱為4次握手��。4次握手結束后,將協商出用于單播密鑰加密的PTK和用于組播加密的GTK�。PTK和GTK都是臨時的�,滿足一定條件(如時間)就會重新動態協商����。 對于數據加解密, 802.11i使用了AES-CCM和TKIP算法���。
圖2:Radius和802.11i認證過程 考慮到家庭等用戶不需要部署Radius來完成用戶身份認證,所以802.11i還定義了預共享密鑰來讓用戶直接在WLAN設備和無線終端上配置PMK���。此外,為了確保兼顧漫游的安全和快速性����,802.11i還定義了key cache和預認證機制��。
4. 中國WAPI標準針對WLAN安全問題,中國制定了自己的WLAN安全標準:WAPI����。
與其他無線局域網安全機制(如802.11i)相比���,WAPI主要的差別體現在以下幾個方面:
• 雙向身份鑒別
在WAPI安全體制下����,無線客戶端和WLAN設備二者處于對等地位,二者身份的相互鑒別在公信的鑒別服務器控制下實現���。雙向鑒別機制既可防止假冒的無線客戶端接入WLAN網絡����,同時也可杜絕假冒的WLAN設備偽裝成合法的設備。而在其它安全體制下�����,只能實現WLAN設備對無線客戶端的單向鑒別�,缺乏有效的WLAN設備身份鑒別手段。
• 數字證書身份憑證
WAPI 強制使用數字證書作為無線客戶端和WLAN設備的身份憑證����。
WAPI基本架構上和802.11i采用的AAA架構類似���,也包括了三個實體��,即鑒別請求者系統(WLAN終端)、鑒別器系統(WLAN設備)和鑒別服務系統。
圖2:WAPI協議基本過程 詳細的協議過程��,請參考作者的另一篇文章:《基于痩AP架構實現WAPI》
整個WAPI協議過程主要包括兩個階段:
• WLAN終端和WLAN設備把各自證書發給鑒別服務器���,后者負責判斷證書的合法性����;
• WLAN終端和WLAN設備通過報文交互,完成相互的身份認證和密鑰協商;
WAPI一直致力于標準的國際化��,但是一直遭遇很大的阻力���。在擱淺5年之后的2009年�,我國提出的無線局域網安全技術標準WAPI有望獲國際認可,晉升國際標準�。日前��,WAPI產業聯盟宣布,WAPI已獲得國際標準組織ISO/IECJTC1/SC6的提案邀請��,將作為獨立標準重新進入國際標準流程�。此外��,工信部已經明確:只要支持WAPI��,具有WiFi功能的手機就可以獲得入網許可���?偟目磥恚琖API產業當前已經得到了很好的標準和政策支持�。
為了推動WAPI的實際應用����,H3C提出了WAPI Over EAP的WAPI部署方案��,實現了WAPI和電信現有的Radius系統進行了很好地融合�,節省了用戶單獨部署鑒別服務器的成本�,簡化了管理,實現了802.11i和WAPI用戶的統一認證管理���。
|
QQ好友和群
QQ空間
騰訊微博
騰訊朋友
收藏
淘帖
頂
踩
