WLAN的應(yīng)用與技術(shù)標(biāo)準(zhǔn)的完善之間形成了良好的互動(dòng),本文從當(dāng)前用戶業(yè)務(wù)需求重點(diǎn)關(guān)注的帶寬���、無(wú)線安全�、WLAN集中管理等方面,介紹IETF和IEEE在相關(guān)領(lǐng)域的進(jìn)展�����,重點(diǎn)介紹11n�,802.11i,WAPI�,CAPWAP等標(biāo)準(zhǔn)。同時(shí)����,介紹業(yè)界廠商對(duì)于這些標(biāo)準(zhǔn)的支持與創(chuàng)新。
概述WLAN技術(shù)所具有的移動(dòng)性�、便捷性、較高的帶寬等特點(diǎn)�,以及大規(guī)模的產(chǎn)業(yè)化和低成本等諸多優(yōu)勢(shì),使WLAN市場(chǎng)能夠短短數(shù)年內(nèi)得到了大規(guī)范發(fā)展��。今天從家庭娛樂終端�����、移動(dòng)便攜����、手機(jī)終端到企業(yè)各種應(yīng)用�����,WLAN應(yīng)用的身影無(wú)處不在����。據(jù)統(tǒng)計(jì)�����,2008年全球銷售了3億8千多萬(wàn)顆WLAN芯片��,較2007年增長(zhǎng)了26%��。巨大的增長(zhǎng)讓業(yè)界在期待著WLAN芯片銷售能夠在不遠(yuǎn)的將來(lái)達(dá)到驚人的每年10億顆��。
WLAN產(chǎn)業(yè)蓬勃發(fā)展和WLAN技術(shù)標(biāo)準(zhǔn)不斷完善形成了良好的互動(dòng)����。WLAN技術(shù)標(biāo)準(zhǔn)主要由IEEE 802.11工作組負(fù)責(zé)制定�。第一個(gè)802.11協(xié)議標(biāo)準(zhǔn)誕生于1997年并于1999年完成修訂。隨著WLAN早期協(xié)議暴露的安全缺陷�,由于用戶應(yīng)用不斷地呼喚著更高的吞吐����,以及企業(yè)等應(yīng)用對(duì)可管理性的要求�����,IEEE 802.11工作組陸續(xù)地推出了802.11a����、802.11b、802.11g���、802.11i����、802.11e�、802.11n、802.11k等大量標(biāo)準(zhǔn)����。此外,IETF的CAPWAP工作組還制定了無(wú)線AP的相關(guān)管理標(biāo)準(zhǔn)��。
我們可以從無(wú)線安全�����、吞吐提高、可管理等方面對(duì)WLAN相關(guān)標(biāo)準(zhǔn)的發(fā)展進(jìn)行如下分類:
• 無(wú)線吞吐提高
從傳統(tǒng)的11a/b/g發(fā)展到最新的11n標(biāo)準(zhǔn)����,物理層最高吞吐從54Mbps提高到了600Mbps。
• 實(shí)現(xiàn)無(wú)線安全
為了解決802.11標(biāo)準(zhǔn)中WEP等安全機(jī)制的缺陷�����,IEEE 802.11i工作組提出了802.11i標(biāo)準(zhǔn)��。此外�,中國(guó)制定了WAPI標(biāo)準(zhǔn),目前正在申請(qǐng)成為國(guó)際標(biāo)準(zhǔn)�����。無(wú)論802.11i還是WAPI����,都是為了保障用戶無(wú)線數(shù)據(jù)的安全�����。802.11協(xié)議報(bào)文(管理報(bào)文)也是安全的重要環(huán)節(jié),IEEE 802.11w工作組負(fù)責(zé)制定管理報(bào)文安全���。
• 提高無(wú)線可管理性
WLAN大規(guī)模部署���、Voice Over WLAN等需求對(duì)無(wú)線資源和無(wú)線終端管理提出了更高要求,為此IEEE 成立了802.11k和802.11v工作組���。此外�,為了簡(jiǎn)化大量AP設(shè)備部署時(shí)的操作成本����,IETF成立了CAPWAP工作組以制定相關(guān)標(biāo)準(zhǔn)。
• 其它標(biāo)準(zhǔn)
為了滿足Voice Over WLAN等業(yè)務(wù)對(duì)Qos����、快速漫游的要求,IEEE成立了802.11e、802.11r工作組�。為了標(biāo)準(zhǔn)化基于WLAN的mesh網(wǎng)絡(luò)技術(shù),IEEE成立了802.11s工作組��。
談到IEEE 802.11工作組的相關(guān)標(biāo)準(zhǔn)��,就必然談到Wi-Fi聯(lián)盟���。IEEE 802.11主要關(guān)注的是技術(shù)標(biāo)準(zhǔn)和協(xié)議接口�,并沒有限制協(xié)議的具體實(shí)現(xiàn),所以即使各廠家基于相同協(xié)議標(biāo)準(zhǔn)開發(fā)�,仍然存在互通風(fēng)險(xiǎn)。802.11標(biāo)準(zhǔn)的產(chǎn)品化�����、產(chǎn)業(yè)化需要一個(gè)組織來(lái)推動(dòng)���,產(chǎn)品互通性需要一個(gè)組織來(lái)認(rèn)證�,這些需求促進(jìn)了Wi-Fi聯(lián)盟的誕生����。Wi-Fi聯(lián)盟參考IEEE 802.11標(biāo)準(zhǔn)制定了大量認(rèn)證標(biāo)準(zhǔn)。比如���,參考802.11i協(xié)議�����,Wi-Fi聯(lián)盟制定了WPA/WPA2認(rèn)證標(biāo)準(zhǔn);參考802.11e協(xié)議�����,制定了WMM認(rèn)證標(biāo)準(zhǔn)。Wi-Fi聯(lián)盟的存在極大地推動(dòng)了WLAN產(chǎn)業(yè)化���。
標(biāo)準(zhǔn)組簡(jiǎn)介本文將重點(diǎn)介紹IETF CAPWAP工作組�����、802.11n�����、802.11i�、WAPI等協(xié)議標(biāo)準(zhǔn)���。
1. IETF CAPWAP工作組在企業(yè)中大量部署AP時(shí)�,對(duì)這些AP升級(jí)軟件��、設(shè)置發(fā)射功率等管理工作將給用戶帶來(lái)很高的操作成本��。2002年左右�,WLAN在企業(yè)等應(yīng)用發(fā)展出現(xiàn)了新的趨勢(shì):瘦AP架構(gòu)。即通過無(wú)線控制器(AC)來(lái)管理多個(gè)AP,AP和AC間采用某種隧道協(xié)議進(jìn)行通訊��,無(wú)線接入報(bào)文的處理在AP和AC間分擔(dān)實(shí)現(xiàn)���。而傳統(tǒng)的AP由于在一個(gè)AP上實(shí)現(xiàn)了所有無(wú)線接入等功能����,所以被稱為胖AP(FAT AP)�。
圖1:瘦AP架構(gòu) 為了解決隧道協(xié)議不兼容問題造成的A廠家的AP和B廠家的AC無(wú)法進(jìn)行互通,IETF在2005年成立了CAPWAP工作組以標(biāo)準(zhǔn)化AP和AC間的隧道協(xié)議���。該協(xié)議主要功能包括了:AP自動(dòng)發(fā)現(xiàn)AC�����,AC對(duì)AP進(jìn)行安全認(rèn)證����,AP從AC獲取軟件映像���,AP從AC獲得初始和動(dòng)態(tài)配置等���。此外�����,系統(tǒng)可以支持本地?cái)?shù)據(jù)轉(zhuǎn)發(fā)和集中數(shù)據(jù)轉(zhuǎn)發(fā)。瘦AP架構(gòu)讓AC具有了對(duì)整個(gè)WLAN網(wǎng)絡(luò)的完整視圖����,為無(wú)線漫游、無(wú)線資源管理等業(yè)務(wù)功能的實(shí)現(xiàn)提供了基礎(chǔ)�����。
作為隧道協(xié)議的一個(gè)重要設(shè)計(jì)目標(biāo)����,它希望能夠承載多種無(wú)線接入技術(shù),如802.11和802.16�����。所以工作組協(xié)議包括了兩部分:CAPWAP協(xié)議和無(wú)線binding協(xié)議�。CAPWAP協(xié)議(RFC5415,2009年4月發(fā)布)作為通用隧道協(xié)議��,完成了AP發(fā)現(xiàn)AC等基本協(xié)議功能���,和具體的無(wú)線接入技術(shù)無(wú)關(guān)����。目前工作組只提供了802.11的binding協(xié)議(RFC5416,2009年4月發(fā)布)�����,以支持802.11網(wǎng)絡(luò)的配置管理功能���。
目前��,包括H3C在內(nèi)的多個(gè)廠家已經(jīng)將支持CAPWAP相關(guān)協(xié)議列入產(chǎn)品下一步開發(fā)計(jì)劃�����。H3C的技術(shù)專家作為第一作者起草了CAPWAP協(xié)議的MIB草案和802.11 binding協(xié)議的MIB草案�����。創(chuàng)新地提出了虛擬無(wú)線口的概念�,實(shí)現(xiàn)了在瘦AP架構(gòu)下完全可以重用IEEE 802.11工作組(包括802.16等)已有的面向胖AP架構(gòu)的MIB標(biāo)準(zhǔn)���,很好地促進(jìn)了IEEE標(biāo)準(zhǔn)在瘦AP架構(gòu)的演進(jìn)����。目前兩篇工作組草案處于WGLC階段,預(yù)計(jì)年內(nèi)作為RFC發(fā)布�。
2. IEEE 802.11n工作組隨著YouTube、無(wú)線家庭媒體網(wǎng)關(guān)�、企業(yè)Voip Over WLAN等應(yīng)用的不斷涌現(xiàn),對(duì)WLAN技術(shù)提出了越來(lái)越高的帶寬要求��,802.11a/b/g這些傳統(tǒng)技術(shù)已經(jīng)無(wú)法支撐新的業(yè)務(wù)需求����,IEEE 802.11工作組意識(shí)到支持高吞吐將是WLAN技術(shù)發(fā)展歷程的關(guān)鍵點(diǎn)����。基于IEEE HTSG (High Throughput Study Group)前期的技術(shù)工作���,于2003年成立了Task Group n (TGn)�。N表示Next Generation����,核心內(nèi)容就是通過物理層和MAC層的優(yōu)化來(lái)充分提高WLAN技術(shù)的吞吐。由于802.11n涉及了大量的復(fù)雜技術(shù)�����,標(biāo)準(zhǔn)過程中又涉及了大量的設(shè)備廠家,所以整個(gè)標(biāo)準(zhǔn)制定過程歷時(shí)漫長(zhǎng)����,預(yù)計(jì)2009年末才可能會(huì)成為標(biāo)準(zhǔn)。相關(guān)設(shè)備廠家早已無(wú)法耐心等待這么漫長(zhǎng)的標(biāo)準(zhǔn)化周期��,紛紛提前發(fā)布了各自的11n產(chǎn)品�。為了確保這些產(chǎn)品的互通性,Wi-Fi聯(lián)盟基于IEEE 2007年發(fā)布的802.11n草案的2.0版本制定了11n產(chǎn)品認(rèn)證規(guī)范��,以幫助11n技術(shù)能夠快速產(chǎn)業(yè)化����。
802.11n首要的任務(wù)是提高吞吐,通過結(jié)合物理層的多項(xiàng)技術(shù)�,包括提供多條空間流(SDM)的MIMO技術(shù)來(lái)實(shí)現(xiàn)多條數(shù)據(jù)流并發(fā)、通過綁定兩個(gè)20MHz帶寬(即40MHz)來(lái)提高物理頻寬����、采用了MIMO-OFDM并提供了更多的子載頻等,從而將物理層吞吐提高到300Mbps�。如果僅僅提高物理層的速率,而沒有對(duì)空口訪問等MAC協(xié)議層的優(yōu)化��,802.11n的物理層優(yōu)化將無(wú)從發(fā)揮,所以802.11n對(duì)MAC采用了Block確認(rèn)���、幀聚合等技術(shù)�����,大大提高了MAC層的效率��。
802.11n對(duì)用戶應(yīng)用的另一個(gè)重要收益是無(wú)線覆蓋的改善����。由于采用了多天線技術(shù)�����,無(wú)線信號(hào)(對(duì)應(yīng)同一條空間流)將通過多條路徑從發(fā)送端到接收端�����,從而提供了分集效應(yīng)�。在接收端采用一定方法對(duì)多個(gè)天線收到信號(hào)進(jìn)行處理�����,就可以明顯改善接收端的SNR,即使接受端較遠(yuǎn)時(shí)��,也能獲得較好的信號(hào)質(zhì)量���,從而間接提高了信號(hào)的覆蓋范圍����。典型的技術(shù)包括了MRC等���。
除了吞吐和覆蓋的改善�����,11n技術(shù)還有一個(gè)重要的功能就是要兼容傳統(tǒng)的802.11 a/b/g�,以保護(hù)用戶已有的投資���。
目前���,Cisco、H3C和Aruba公司已經(jīng)在全球率先發(fā)布了面向企業(yè)級(jí)和運(yùn)營(yíng)級(jí)市場(chǎng)的802.11n產(chǎn)品���。
3. IEEE 802.11i工作組802.11標(biāo)準(zhǔn)定義了WEP安全機(jī)制����,WEP本意是“等同有線的安全”。WEP采用RC4流加密算法���,為避免加密key的重復(fù)使用�,WEP引入了24位的IV���。對(duì)于24位的IV, 5000個(gè)報(bào)文后就有50%的機(jī)率出現(xiàn)重復(fù)的IV�����。2001年8月�,Scott Fluhrer, Itsik Mantin 和 Adi Shamir 公開了對(duì)WEP的分析報(bào)告��,展示了完全可能在1分鐘內(nèi)完成對(duì)WEP的破解���。除了加密算法的瑕疵,WEP沒有提供出有效的密鑰管理機(jī)制��,密鑰完全是靜態(tài)配置���,非常不適合在企業(yè)等大規(guī)模部署場(chǎng)景�。此外,WEP的共享密鑰認(rèn)證機(jī)制也是漏洞百出��������?傊�����,WEP機(jī)制無(wú)論在加密強(qiáng)度��、用戶認(rèn)證����、數(shù)據(jù)完整性和密鑰管理方面都存在這大量的安全漏洞����。
面對(duì)諸多的WEP安全漏洞,IEEE 802.11在2002年迅速成立了802.11i工作組�,以解決WEP的上述問題�����?紤]到企業(yè)等規(guī)模部署應(yīng)用需要擴(kuò)展性很好的安全管理機(jī)制,工作組采用了802.1x����、Radius體系來(lái)完成接入用戶的身份認(rèn)證。無(wú)論802.1x還是Radius體系都早已廣泛部署并獲得了業(yè)界的認(rèn)可���,同時(shí)支持靈活的擴(kuò)展�����,提供了EAP-TLS�、EAP-TTLS��、EAP-PEAP等大量認(rèn)證方法來(lái)靈活滿足各種部署要求��。所以����,802.11i工作組只需要關(guān)注無(wú)線空口的安全�,包括提高數(shù)據(jù)報(bào)文的加密強(qiáng)度、確保數(shù)據(jù)報(bào)文完整性����、實(shí)現(xiàn)加密密鑰的動(dòng)態(tài)協(xié)商�。EAP認(rèn)證過程既完成了用戶身份的認(rèn)證�,又協(xié)商出了Master key,基于后者可以計(jì)算出PMK����。由于PMK只被WLAN終端和Radius server所知道,而802.11i的密鑰協(xié)商過程并不需要Radius Server參與����,所以Radius Server需要將該P(yáng)MK傳遞給WLAN設(shè)備。WLAN設(shè)備和WLAN終端通過交換隨機(jī)數(shù)等參數(shù)完成數(shù)據(jù)加密密鑰的動(dòng)態(tài)協(xié)商����,PMK被用于幫助密鑰協(xié)商,但是不在WLAN設(shè)備和WLAN終端之間傳遞(為了安全)����,整個(gè)過程由于涉及4次握手報(bào)文,所以一般稱為4次握手�。4次握手結(jié)束后,將協(xié)商出用于單播密鑰加密的PTK和用于組播加密的GTK��。PTK和GTK都是臨時(shí)的�,滿足一定條件(如時(shí)間)就會(huì)重新動(dòng)態(tài)協(xié)商�。 對(duì)于數(shù)據(jù)加解密�, 802.11i使用了AES-CCM和TKIP算法。
圖2:Radius和802.11i認(rèn)證過程 考慮到家庭等用戶不需要部署Radius來(lái)完成用戶身份認(rèn)證��,所以802.11i還定義了預(yù)共享密鑰來(lái)讓用戶直接在WLAN設(shè)備和無(wú)線終端上配置PMK�。此外,為了確保兼顧漫游的安全和快速性����,802.11i還定義了key cache和預(yù)認(rèn)證機(jī)制。
4. 中國(guó)WAPI標(biāo)準(zhǔn)針對(duì)WLAN安全問題��,中國(guó)制定了自己的WLAN安全標(biāo)準(zhǔn):WAPI����。
與其他無(wú)線局域網(wǎng)安全機(jī)制(如802.11i)相比,WAPI主要的差別體現(xiàn)在以下幾個(gè)方面:
• 雙向身份鑒別
在WAPI安全體制下���,無(wú)線客戶端和WLAN設(shè)備二者處于對(duì)等地位�����,二者身份的相互鑒別在公信的鑒別服務(wù)器控制下實(shí)現(xiàn)�����。雙向鑒別機(jī)制既可防止假冒的無(wú)線客戶端接入WLAN網(wǎng)絡(luò)���,同時(shí)也可杜絕假冒的WLAN設(shè)備偽裝成合法的設(shè)備。而在其它安全體制下�,只能實(shí)現(xiàn)WLAN設(shè)備對(duì)無(wú)線客戶端的單向鑒別,缺乏有效的WLAN設(shè)備身份鑒別手段�。
• 數(shù)字證書身份憑證
WAPI 強(qiáng)制使用數(shù)字證書作為無(wú)線客戶端和WLAN設(shè)備的身份憑證。
WAPI基本架構(gòu)上和802.11i采用的AAA架構(gòu)類似��,也包括了三個(gè)實(shí)體�����,即鑒別請(qǐng)求者系統(tǒng)(WLAN終端)����、鑒別器系統(tǒng)(WLAN設(shè)備)和鑒別服務(wù)系統(tǒng)。
圖2:WAPI協(xié)議基本過程 詳細(xì)的協(xié)議過程���,請(qǐng)參考作者的另一篇文章:《基于痩AP架構(gòu)實(shí)現(xiàn)WAPI》
整個(gè)WAPI協(xié)議過程主要包括兩個(gè)階段:
• WLAN終端和WLAN設(shè)備把各自證書發(fā)給鑒別服務(wù)器�����,后者負(fù)責(zé)判斷證書的合法性����;
• WLAN終端和WLAN設(shè)備通過報(bào)文交互,完成相互的身份認(rèn)證和密鑰協(xié)商����;
WAPI一直致力于標(biāo)準(zhǔn)的國(guó)際化,但是一直遭遇很大的阻力��。在擱淺5年之后的2009年�����,我國(guó)提出的無(wú)線局域網(wǎng)安全技術(shù)標(biāo)準(zhǔn)WAPI有望獲國(guó)際認(rèn)可��,晉升國(guó)際標(biāo)準(zhǔn)�����。日前���,WAPI產(chǎn)業(yè)聯(lián)盟宣布���,WAPI已獲得國(guó)際標(biāo)準(zhǔn)組織ISO/IECJTC1/SC6的提案邀請(qǐng),將作為獨(dú)立標(biāo)準(zhǔn)重新進(jìn)入國(guó)際標(biāo)準(zhǔn)流程����。此外�����,工信部已經(jīng)明確:只要支持WAPI,具有WiFi功能的手機(jī)就可以獲得入網(wǎng)許可�����?偟目磥(lái)��,WAPI產(chǎn)業(yè)當(dāng)前已經(jīng)得到了很好的標(biāo)準(zhǔn)和政策支持�。
為了推動(dòng)WAPI的實(shí)際應(yīng)用�,H3C提出了WAPI Over EAP的WAPI部署方案,實(shí)現(xiàn)了WAPI和電信現(xiàn)有的Radius系統(tǒng)進(jìn)行了很好地融合�����,節(jié)省了用戶單獨(dú)部署鑒別服務(wù)器的成本��,簡(jiǎn)化了管理����,實(shí)現(xiàn)了802.11i和WAPI用戶的統(tǒng)一認(rèn)證管理��。
| 
QQ好友和群
QQ空間
騰訊微博
騰訊朋友
收藏
淘帖
頂
踩
