解讀WLAN主要技術安全標準

　概述

　　WLAN技術所具有的移動性、便捷性、較高的帶寬等特點,以及大規模的產業化和低成本等諸多優勢,使WLAN市場短短數年內得到了大規模發展.今天從家庭娛樂終端、移動便攜、手機終端到企業各種應用,WLAN應用的身影無處不在.據統計,2008年全球銷售了3億8千多萬顆WLAN晶元,較2007年增長了26%.巨大的增長讓業界在期待著WLAN晶元銷售能夠在不遠的將來達到驚人的每年10億顆!

　　WLAN產業蓬勃發展和WLAN技術標準不斷完善形成了良好的互動.WLAN技術標準主要由IEEE 802.11工作組負責制定.第一個802.11協議標準誕生於1997年並於1999年完成修訂.隨著WLAN早期協議暴露的安全缺陷,由於用戶應用不斷地呼喚著更高的吞吐,以及企業等應用對可管理性的要求,IEEE 802.11工作組陸續推出了802.11a、802.11b、802.11g、802.11i、802.11e、802.11n、802.11k等大量標準.此外,IETF的CAPWAP工作組還制定了無線AP的相關管理標準.

　　我們可以從無線安全、吞吐提高、可管理等方面對WLAN相關標準的發展進行如下分類：

　　無線吞吐提高

　　從傳統的11a/b/g發展到最新的11n標準,物理層最高吞吐從54Mbps提高到了600Mbps.

　　實現無線安全

　　為了解決802.11標準中WEP等安全機制的缺陷,IEEE 802.11i工作組提出了802.11i標準.此外,中國制定了WAPI標準,目前正在申請成為國際標準.無論802.11i還是WAPI,都是為了保障用戶無線數據的安全.802.11協議報文(管理報文)也是安全的重要環節,IEEE 802.11w工作組負責制定管理報文安全.

　　提高無線可管理性

　　WLAN大規模部署、Voice over WLAN等需求對無線資源和無線終端管理提出了更高要求,為此IEEE 成立了802.11k和802.11v工作組.此外,為了簡化大量AP設備部署時的操作成本,IETF成立了CAPWAP工作組以制定相關標準.

　　其它標準

　　為了滿足Voice over WLAN等業務對QoS、快速漫遊的要求,IEEE成立了802.11e、802.11r工作組.為了標準化基於WLAN的mesh網路技術,IEEE成立了802.11s工作組.

　　談到IEEE　802.11工作組的相關標準,就必然談到Wi-Fi聯盟.IEEE　802.11主要關注的是技術標準和協議介面,並沒有限制協議的具體實現,即使各廠家基於相同協議標準開發,仍然存在互通風險.802.11標準的產品化、產業化需要一個組織來推動,產品互通性需要一個組織來認證,這些需求促進了Wi-Fi聯盟的誕生.Wi-Fi聯盟參考IEEE　802.11標準制定了大量認證標準.比如,參考802.11i協議,Wi-Fi聯盟制定了WPA/WPA2認證標準;參考802.11e協議,制定了WMM認證標準.Wi-Fi聯盟的存在極大地推動了WLAN產業化.

標準組簡介

　　本文將重點介紹IETF CAPWAP工作組、802.11n、802.11i、WAPI等協議標準.

1. IETF CAPWAP工作組

　　在企業中大量部署AP時,對這些AP升級軟體、設置發射功率等管理工作將給用戶帶來很高的操作成本.2002年左右,WLAN在企業等應用發展出現了新的趨勢：瘦AP(FIT AP)架構.即通過無線控制器(AC)來管理多個AP,AP和AC間採用某種隧道協議進行通訊,無線接入報文的處理在AP和AC間分擔實現.而傳統的AP由於在一個AP上實現了所有無線接入等功能,被稱為胖AP(FAT AP).
為了解決隧道協議不兼容造成的A廠家的AP和B廠家的AC無法進行互通的問題,IETF在2005年成立了CAPWAP工作組以標準化AP和AC間的隧道協議.該協議主要功能包括了：AP自動發現AC,AC對AP進行安全認證,AP從AC獲取軟體映像,AP從AC獲得初始和動態配置等.此外,系統可以支持本地數據轉發和集中數據轉發.瘦AP架構讓AC具有了對整個WLAN網路的完整視圖,為無線漫遊、無線資源管理等業務功能的實現提供了基礎.

　　作為隧道協議的一個重要設計目標,它希望能夠承載多種無線接入技術,如802.11和802.16.工作組協議包括了兩部分：CAPWAP協議和無線binding協議.CAPWAP協議(RFC5415,2009年4月發布)作為通用隧道協議,完成了AP發現AC等基本協議功能,和具體的無線接入技術無關.目前工作組只提供了802.11的binding協議(RFC5416,2009年4月發布),以支持802.11網路的配置管理功能.

　　目前,包括H3C在內的多個廠家已經將支持CAPWAP相關協議列入產品下一步開發計劃.H3C的技術專家作為第一作者起草了CAPWAP協議的MIB草案和802.11 binding協議的MIB草案.創新地提出了虛擬無線口的概念,實現了在瘦AP架構下完全可以重用IEEE 802.11工作組(包括802.16等)已有的面向胖AP架構的MIB標準,很好地促進了IEEE標準在瘦AP架構的演進.目前兩篇工作組草案處於WGLC(Working Group Last Call)階段,預計年內作為RFC發布.

2. IEEE 802.11n工作組

　　隨著YouTube、無線家庭媒體網關、企業Voice over WLAN等應用的不斷湧現,對WLAN技術提出了越來越高的帶寬要求,802.11a/b/g這些傳統技術已經無法支撐新的業務需求,IEEE 802.11工作組意識到支持高吞吐將是WLAN技術發展歷程的關鍵點.基於IEEE HTSG(High Throughput Study Group)前期的技術工作,於2003年成立了Task Group n(TGn).N表示Next Generation,核心內容就是通過物理層和MAC層的優化來充分提高WLAN技術的吞吐.由於802.11n涉及了大量的複雜技術,標準過程中又涉及了大量的設備廠家,整個標準制定過程歷時漫長,預計2009年末才可能成為標準.相關設備廠家早已無法耐心等待這麼漫長的標準化周期,紛紛提前發布了各自的11n產品.為了確保這些產品的互通性,Wi-Fi聯盟基於IEEE 2007年發布的802.11n草案的2.0版本制定了11n產品認證規範,以幫助11n技術能夠快速產業化.

　　802.11n首要的任務是提高吞吐,通過結合物理層的多項技術,包括提供多條空間流(SDM)的MIMO技術來實現多條數據流併發、通過綁定兩個20MHz帶寬(即40MHz)來提高物理頻寬、採用了MIMO-OFDM並提供了更多的子載頻等,從而將物理層吞吐提高到300Mbps.如果僅僅提高物理層的速率,而沒有對空口訪問等MAC協議層的優化,802.11n的物理層優化將無從發揮,802.11n對MAC採用了Block確認、幀聚合等技術,大大提高了MAC層的效率.

　　802.11n對用戶應用的另一個重要收益是無線覆蓋的改善.由於採用了多天線技術,無線信號(對應同一條空間流)將通過多條路徑從發送端到接收端,從而提供了分集效應.在接收端採用一定方法對多個天線收到信號進行處理,就可以明顯改善接收端的SNR,即使接受端較遠時,也能獲得較好的信號質量,從而間接提高了信號的覆蓋範圍.典型的技術包括MRC等.

　　除了吞吐和覆蓋的改善,11n技術還有一個重要的功能就是兼容傳統的802.11a/b/g,以保護用戶已有的投資.

　　目前,Cisco、H3C和Aruba公司已經在全球率先發布了面向企業級和運營級市場的802.11n產品.

3. IEEE 802.11i工作組

　　802.11標準定義了WEP安全機制,WEP本意是“等同有線的安全”.WEP採用RC4流加密演算法,為避免加密key的重複使用,WEP引入了24位的IV.對於24位的IV, 5000個報文後就有50%的機率出現重複的IV.2001年8月,Scott Fluhrer、Itsik Mantin和Adi Shamir公開了對WEP的分析報告,展示了完全可能在1分鐘內完成對WEP的破解.除了加密演算法的瑕疵,WEP沒有提供出有效的密鑰管理機制,密鑰完全是靜態配置,非常不適合企業等大規模部署場景.此外,WEP的共享密鑰認證機制也是漏洞百出.總之,WEP機制無論在加密強度、用戶認證、數據完整性和密鑰管理方面都存在著大量的安全漏洞.

　　面對諸多的WEP安全漏洞,IEEE 802.11在2002年迅速成立了802.11i工作組,以解決WEP的上述問題.考慮到企業等規模部署應用需要擴展性很好的安全管理機制,工作組採用了802.1x、Radius體系來完成接入用戶的身份認證.無論802.1x還是Radius體系都早已廣泛部署並獲得了業界的認可,同時支持靈活的擴展,提供了EAP-TLS、EAP-TTLS、EAP-PEAP等大量認證方法來靈活滿足各種部署要求.,802.11i工作組只需要關注無線空口的安全,包括提高數據報文的加密強度、確保數據報文完整性、實現加密密鑰的動態協商.對於數據加解密,802.11i使用了AES-CCM和TKIP演算法;完整性校驗採用Michael和CBC演算法;同時基於4次握手過程實現了密鑰的動態協商.

4. 中國WAPI標準

　　針對WLAN安全問題,中國制定了自己的WLAN安全標準：WAPI.

　　WAPI基本架構上和802.11i採用的AAA架構類似,也包括了三個實體,即鑒別請求者系統(WLAN終端)、鑒別器系統(WLAN設備)和鑒別服務系統;但與其他WLAN安全機制(如802.11i)相比,具有支持雙向身份鑒別、數字證書身份憑證等優勢

整個WAPI協議過程主要包括兩個階段：

　　WLAN終端和WLAN設備把各自證書發給鑒別伺服器,後者負責判斷證書的合法性;

　　WLAN終端和WLAN設備通過報文交互,完成相互的身份認證和密鑰協商.

　　WAPI一直致力於標準的國際化,但是遭遇很大的阻力.在擱淺5年之後的2009年,我國提出的無線區域網安全技術標準WAPI有望獲國際認可,晉陞國際標準.日前,WAPI產業聯盟宣布,WAPI已獲得國際標準組織ISO/IECJTC1/SC6的提案邀請,將作為獨立標準重新進入國際標準流程.此外,工信部已經明確：只要支持WAPI,具有Wi-Fi功能的手機就可以獲得入網許可.總的看來,WAPI產業當前已經得到了很好的標準和政策支持.

　　為了推動WAPI的實際應用,H3C提出了WAPI over EAP的WAPI部署方案,實現了WAPI和電信現有Radius系統的很好融合,節省了用戶單獨部署鑒別伺服器的成本,簡化了管理,實現了802.11i和WAPI用戶的統一認證管理.

　　總結

　　WLAN產業蓬勃發展和WLAN技術標準不斷完善形成了良好的互動.用戶對WLAN安全的關注,以及由應用促使的對更高吞吐的呼喚、對可管理性的更高要求等,推動了WLAN技術的不斷創新和技術標準的不斷完善.

Tags: