標(biāo)題: WiFi的主要技術(shù)標(biāo)準(zhǔn) [打印本頁]
作者: 51黑黑黑    時間: 2016-2-21 15:59
標(biāo)題: WiFi的主要技術(shù)標(biāo)準(zhǔn)
WLAN的應(yīng)用與技術(shù)標(biāo)準(zhǔn)的完善之間形成了良好的互動,本文從當(dāng)前用戶業(yè)務(wù)需求重點關(guān)注的帶寬、無線安全、WLAN集中管理等方面,介紹IETF和IEEE在相關(guān)領(lǐng)域的進(jìn)展,重點介紹11n,802.11i,WAPI,CAPWAP等標(biāo)準(zhǔn)。同時,介紹業(yè)界廠商對于這些標(biāo)準(zhǔn)的支持與創(chuàng)新。
概述WLAN技術(shù)所具有的移動性、便捷性、較高的帶寬等特點,以及大規(guī)模的產(chǎn)業(yè)化和低成本等諸多優(yōu)勢,使WLAN市場能夠短短數(shù)年內(nèi)得到了大規(guī)范發(fā)展。今天從家庭娛樂終端、移動便攜、手機(jī)終端到企業(yè)各種應(yīng)用,WLAN應(yīng)用的身影無處不在。據(jù)統(tǒng)計,2008年全球銷售了3億8千多萬顆WLAN芯片,較2007年增長了26%。巨大的增長讓業(yè)界在期待著WLAN芯片銷售能夠在不遠(yuǎn)的將來達(dá)到驚人的每年10億顆。
WLAN產(chǎn)業(yè)蓬勃發(fā)展和WLAN技術(shù)標(biāo)準(zhǔn)不斷完善形成了良好的互動。WLAN技術(shù)標(biāo)準(zhǔn)主要由IEEE 802.11工作組負(fù)責(zé)制定。第一個802.11協(xié)議標(biāo)準(zhǔn)誕生于1997年并于1999年完成修訂。隨著WLAN早期協(xié)議暴露的安全缺陷,由于用戶應(yīng)用不斷地呼喚著更高的吞吐,以及企業(yè)等應(yīng)用對可管理性的要求,IEEE 802.11工作組陸續(xù)地推出了802.11a、802.11b、802.11g、802.11i、802.11e、802.11n、802.11k等大量標(biāo)準(zhǔn)。此外,IETF的CAPWAP工作組還制定了無線AP的相關(guān)管理標(biāo)準(zhǔn)。
我們可以從無線安全、吞吐提高、可管理等方面對WLAN相關(guān)標(biāo)準(zhǔn)的發(fā)展進(jìn)行如下分類:
• 無線吞吐提高
從傳統(tǒng)的11a/b/g發(fā)展到最新的11n標(biāo)準(zhǔn),物理層最高吞吐從54Mbps提高到了600Mbps。
• 實現(xiàn)無線安全
為了解決802.11標(biāo)準(zhǔn)中WEP等安全機(jī)制的缺陷,IEEE 802.11i工作組提出了802.11i標(biāo)準(zhǔn)。此外,中國制定了WAPI標(biāo)準(zhǔn),目前正在申請成為國際標(biāo)準(zhǔn)。無論802.11i還是WAPI,都是為了保障用戶無線數(shù)據(jù)的安全。802.11協(xié)議報文(管理報文)也是安全的重要環(huán)節(jié),IEEE 802.11w工作組負(fù)責(zé)制定管理報文安全。
• 提高無線可管理性
WLAN大規(guī)模部署、Voice Over WLAN等需求對無線資源和無線終端管理提出了更高要求,為此IEEE 成立了802.11k和802.11v工作組。此外,為了簡化大量AP設(shè)備部署時的操作成本,IETF成立了CAPWAP工作組以制定相關(guān)標(biāo)準(zhǔn)。
• 其它標(biāo)準(zhǔn)
為了滿足Voice Over WLAN等業(yè)務(wù)對Qos、快速漫游的要求,IEEE成立了802.11e、802.11r工作組。為了標(biāo)準(zhǔn)化基于WLAN的mesh網(wǎng)絡(luò)技術(shù),IEEE成立了802.11s工作組。
談到IEEE 802.11工作組的相關(guān)標(biāo)準(zhǔn),就必然談到Wi-Fi聯(lián)盟。IEEE 802.11主要關(guān)注的是技術(shù)標(biāo)準(zhǔn)和協(xié)議接口,并沒有限制協(xié)議的具體實現(xiàn),所以即使各廠家基于相同協(xié)議標(biāo)準(zhǔn)開發(fā),仍然存在互通風(fēng)險。802.11標(biāo)準(zhǔn)的產(chǎn)品化、產(chǎn)業(yè)化需要一個組織來推動,產(chǎn)品互通性需要一個組織來認(rèn)證,這些需求促進(jìn)了Wi-Fi聯(lián)盟的誕生。Wi-Fi聯(lián)盟參考IEEE 802.11標(biāo)準(zhǔn)制定了大量認(rèn)證標(biāo)準(zhǔn)。比如,參考802.11i協(xié)議,Wi-Fi聯(lián)盟制定了WPA/WPA2認(rèn)證標(biāo)準(zhǔn);參考802.11e協(xié)議,制定了WMM認(rèn)證標(biāo)準(zhǔn)。Wi-Fi聯(lián)盟的存在極大地推動了WLAN產(chǎn)業(yè)化。
標(biāo)準(zhǔn)組簡介本文將重點介紹IETF CAPWAP工作組、802.11n、802.11i、WAPI等協(xié)議標(biāo)準(zhǔn)。
1. IETF CAPWAP工作組在企業(yè)中大量部署AP時,對這些AP升級軟件、設(shè)置發(fā)射功率等管理工作將給用戶帶來很高的操作成本。2002年左右,WLAN在企業(yè)等應(yīng)用發(fā)展出現(xiàn)了新的趨勢:瘦AP架構(gòu)。即通過無線控制器(AC)來管理多個AP,AP和AC間采用某種隧道協(xié)議進(jìn)行通訊,無線接入報文的處理在AP和AC間分擔(dān)實現(xiàn)。而傳統(tǒng)的AP由于在一個AP上實現(xiàn)了所有無線接入等功能,所以被稱為胖AP(FAT AP)。
圖1:瘦AP架構(gòu)
為了解決隧道協(xié)議不兼容問題造成的A廠家的AP和B廠家的AC無法進(jìn)行互通,IETF在2005年成立了CAPWAP工作組以標(biāo)準(zhǔn)化AP和AC間的隧道協(xié)議。該協(xié)議主要功能包括了:AP自動發(fā)現(xiàn)AC,AC對AP進(jìn)行安全認(rèn)證,AP從AC獲取軟件映像,AP從AC獲得初始和動態(tài)配置等。此外,系統(tǒng)可以支持本地數(shù)據(jù)轉(zhuǎn)發(fā)和集中數(shù)據(jù)轉(zhuǎn)發(fā)。瘦AP架構(gòu)讓AC具有了對整個WLAN網(wǎng)絡(luò)的完整視圖,為無線漫游、無線資源管理等業(yè)務(wù)功能的實現(xiàn)提供了基礎(chǔ)。
作為隧道協(xié)議的一個重要設(shè)計目標(biāo),它希望能夠承載多種無線接入技術(shù),如802.11和802.16。所以工作組協(xié)議包括了兩部分:CAPWAP協(xié)議和無線binding協(xié)議。CAPWAP協(xié)議(RFC5415,2009年4月發(fā)布)作為通用隧道協(xié)議,完成了AP發(fā)現(xiàn)AC等基本協(xié)議功能,和具體的無線接入技術(shù)無關(guān)。目前工作組只提供了802.11的binding協(xié)議(RFC5416,2009年4月發(fā)布),以支持802.11網(wǎng)絡(luò)的配置管理功能。
目前,包括H3C在內(nèi)的多個廠家已經(jīng)將支持CAPWAP相關(guān)協(xié)議列入產(chǎn)品下一步開發(fā)計劃。H3C的技術(shù)專家作為第一作者起草了CAPWAP協(xié)議的MIB草案和802.11 binding協(xié)議的MIB草案。創(chuàng)新地提出了虛擬無線口的概念,實現(xiàn)了在瘦AP架構(gòu)下完全可以重用IEEE 802.11工作組(包括802.16等)已有的面向胖AP架構(gòu)的MIB標(biāo)準(zhǔn),很好地促進(jìn)了IEEE標(biāo)準(zhǔn)在瘦AP架構(gòu)的演進(jìn)。目前兩篇工作組草案處于WGLC階段,預(yù)計年內(nèi)作為RFC發(fā)布。

2. IEEE 802.11n工作組隨著YouTube、無線家庭媒體網(wǎng)關(guān)、企業(yè)Voip Over WLAN等應(yīng)用的不斷涌現(xiàn),對WLAN技術(shù)提出了越來越高的帶寬要求,802.11a/b/g這些傳統(tǒng)技術(shù)已經(jīng)無法支撐新的業(yè)務(wù)需求,IEEE 802.11工作組意識到支持高吞吐將是WLAN技術(shù)發(fā)展歷程的關(guān)鍵點;贗EEE HTSG (High Throughput Study Group)前期的技術(shù)工作,于2003年成立了Task Group n (TGn)。N表示Next Generation,核心內(nèi)容就是通過物理層和MAC層的優(yōu)化來充分提高WLAN技術(shù)的吞吐。由于802.11n涉及了大量的復(fù)雜技術(shù),標(biāo)準(zhǔn)過程中又涉及了大量的設(shè)備廠家,所以整個標(biāo)準(zhǔn)制定過程歷時漫長,預(yù)計2009年末才可能會成為標(biāo)準(zhǔn)。相關(guān)設(shè)備廠家早已無法耐心等待這么漫長的標(biāo)準(zhǔn)化周期,紛紛提前發(fā)布了各自的11n產(chǎn)品。為了確保這些產(chǎn)品的互通性,Wi-Fi聯(lián)盟基于IEEE 2007年發(fā)布的802.11n草案的2.0版本制定了11n產(chǎn)品認(rèn)證規(guī)范,以幫助11n技術(shù)能夠快速產(chǎn)業(yè)化。
802.11n首要的任務(wù)是提高吞吐,通過結(jié)合物理層的多項技術(shù),包括提供多條空間流(SDM)的MIMO技術(shù)來實現(xiàn)多條數(shù)據(jù)流并發(fā)、通過綁定兩個20MHz帶寬(即40MHz)來提高物理頻寬、采用了MIMO-OFDM并提供了更多的子載頻等,從而將物理層吞吐提高到300Mbps。如果僅僅提高物理層的速率,而沒有對空口訪問等MAC協(xié)議層的優(yōu)化,802.11n的物理層優(yōu)化將無從發(fā)揮,所以802.11n對MAC采用了Block確認(rèn)、幀聚合等技術(shù),大大提高了MAC層的效率。
802.11n對用戶應(yīng)用的另一個重要收益是無線覆蓋的改善。由于采用了多天線技術(shù),無線信號(對應(yīng)同一條空間流)將通過多條路徑從發(fā)送端到接收端,從而提供了分集效應(yīng)。在接收端采用一定方法對多個天線收到信號進(jìn)行處理,就可以明顯改善接收端的SNR,即使接受端較遠(yuǎn)時,也能獲得較好的信號質(zhì)量,從而間接提高了信號的覆蓋范圍。典型的技術(shù)包括了MRC等。
除了吞吐和覆蓋的改善,11n技術(shù)還有一個重要的功能就是要兼容傳統(tǒng)的802.11 a/b/g,以保護(hù)用戶已有的投資。
目前,Cisco、H3C和Aruba公司已經(jīng)在全球率先發(fā)布了面向企業(yè)級和運營級市場的802.11n產(chǎn)品。

3. IEEE 802.11i工作組802.11標(biāo)準(zhǔn)定義了WEP安全機(jī)制,WEP本意是“等同有線的安全”。WEP采用RC4流加密算法,為避免加密key的重復(fù)使用,WEP引入了24位的IV。對于24位的IV, 5000個報文后就有50%的機(jī)率出現(xiàn)重復(fù)的IV。2001年8月,Scott Fluhrer, Itsik Mantin 和 Adi Shamir 公開了對WEP的分析報告,展示了完全可能在1分鐘內(nèi)完成對WEP的破解。除了加密算法的瑕疵,WEP沒有提供出有效的密鑰管理機(jī)制,密鑰完全是靜態(tài)配置,非常不適合在企業(yè)等大規(guī)模部署場景。此外,WEP的共享密鑰認(rèn)證機(jī)制也是漏洞百出?傊琖EP機(jī)制無論在加密強(qiáng)度、用戶認(rèn)證、數(shù)據(jù)完整性和密鑰管理方面都存在這大量的安全漏洞。
面對諸多的WEP安全漏洞,IEEE 802.11在2002年迅速成立了802.11i工作組,以解決WEP的上述問題?紤]到企業(yè)等規(guī)模部署應(yīng)用需要擴(kuò)展性很好的安全管理機(jī)制,工作組采用了802.1x、Radius體系來完成接入用戶的身份認(rèn)證。無論802.1x還是Radius體系都早已廣泛部署并獲得了業(yè)界的認(rèn)可,同時支持靈活的擴(kuò)展,提供了EAP-TLS、EAP-TTLS、EAP-PEAP等大量認(rèn)證方法來靈活滿足各種部署要求。所以,802.11i工作組只需要關(guān)注無線空口的安全,包括提高數(shù)據(jù)報文的加密強(qiáng)度、確保數(shù)據(jù)報文完整性、實現(xiàn)加密密鑰的動態(tài)協(xié)商。EAP認(rèn)證過程既完成了用戶身份的認(rèn)證,又協(xié)商出了Master key,基于后者可以計算出PMK。由于PMK只被WLAN終端和Radius server所知道,而802.11i的密鑰協(xié)商過程并不需要Radius Server參與,所以Radius Server需要將該PMK傳遞給WLAN設(shè)備。WLAN設(shè)備和WLAN終端通過交換隨機(jī)數(shù)等參數(shù)完成數(shù)據(jù)加密密鑰的動態(tài)協(xié)商,PMK被用于幫助密鑰協(xié)商,但是不在WLAN設(shè)備和WLAN終端之間傳遞(為了安全),整個過程由于涉及4次握手報文,所以一般稱為4次握手。4次握手結(jié)束后,將協(xié)商出用于單播密鑰加密的PTK和用于組播加密的GTK。PTK和GTK都是臨時的,滿足一定條件(如時間)就會重新動態(tài)協(xié)商。 對于數(shù)據(jù)加解密, 802.11i使用了AES-CCM和TKIP算法。
圖2:Radius和802.11i認(rèn)證過程
考慮到家庭等用戶不需要部署Radius來完成用戶身份認(rèn)證,所以802.11i還定義了預(yù)共享密鑰來讓用戶直接在WLAN設(shè)備和無線終端上配置PMK。此外,為了確保兼顧漫游的安全和快速性,802.11i還定義了key cache和預(yù)認(rèn)證機(jī)制。

4. 中國WAPI標(biāo)準(zhǔn)針對WLAN安全問題,中國制定了自己的WLAN安全標(biāo)準(zhǔn):WAPI。
與其他無線局域網(wǎng)安全機(jī)制(如802.11i)相比,WAPI主要的差別體現(xiàn)在以下幾個方面:
• 雙向身份鑒別
在WAPI安全體制下,無線客戶端和WLAN設(shè)備二者處于對等地位,二者身份的相互鑒別在公信的鑒別服務(wù)器控制下實現(xiàn)。雙向鑒別機(jī)制既可防止假冒的無線客戶端接入WLAN網(wǎng)絡(luò),同時也可杜絕假冒的WLAN設(shè)備偽裝成合法的設(shè)備。而在其它安全體制下,只能實現(xiàn)WLAN設(shè)備對無線客戶端的單向鑒別,缺乏有效的WLAN設(shè)備身份鑒別手段。
• 數(shù)字證書身份憑證
WAPI 強(qiáng)制使用數(shù)字證書作為無線客戶端和WLAN設(shè)備的身份憑證。
WAPI基本架構(gòu)上和802.11i采用的AAA架構(gòu)類似,也包括了三個實體,即鑒別請求者系統(tǒng)(WLAN終端)、鑒別器系統(tǒng)(WLAN設(shè)備)和鑒別服務(wù)系統(tǒng)。
圖2:WAPI協(xié)議基本過程
詳細(xì)的協(xié)議過程,請參考作者的另一篇文章:《基于痩AP架構(gòu)實現(xiàn)WAPI》
整個WAPI協(xié)議過程主要包括兩個階段:
• WLAN終端和WLAN設(shè)備把各自證書發(fā)給鑒別服務(wù)器,后者負(fù)責(zé)判斷證書的合法性;
• WLAN終端和WLAN設(shè)備通過報文交互,完成相互的身份認(rèn)證和密鑰協(xié)商;
WAPI一直致力于標(biāo)準(zhǔn)的國際化,但是一直遭遇很大的阻力。在擱淺5年之后的2009年,我國提出的無線局域網(wǎng)安全技術(shù)標(biāo)準(zhǔn)WAPI有望獲國際認(rèn)可,晉升國際標(biāo)準(zhǔn)。日前,WAPI產(chǎn)業(yè)聯(lián)盟宣布,WAPI已獲得國際標(biāo)準(zhǔn)組織ISO/IECJTC1/SC6的提案邀請,將作為獨立標(biāo)準(zhǔn)重新進(jìn)入國際標(biāo)準(zhǔn)流程。此外,工信部已經(jīng)明確:只要支持WAPI,具有WiFi功能的手機(jī)就可以獲得入網(wǎng)許可?偟目磥,WAPI產(chǎn)業(yè)當(dāng)前已經(jīng)得到了很好的標(biāo)準(zhǔn)和政策支持。
為了推動WAPI的實際應(yīng)用,H3C提出了WAPI Over EAP的WAPI部署方案,實現(xiàn)了WAPI和電信現(xiàn)有的Radius系統(tǒng)進(jìn)行了很好地融合,節(jié)省了用戶單獨部署鑒別服務(wù)器的成本,簡化了管理,實現(xiàn)了802.11i和WAPI用戶的統(tǒng)一認(rèn)證管理。







歡迎光臨 (http://www.torrancerestoration.com/bbs/) Powered by Discuz! X3.1