无线安全 WLAN芯片主要技术标准与进展
WLAN主要技术标准与进展
WLAN技术所具有的移动性、便捷性、较高的带宽等特点,以及大规模的产业化和低成本等诸多优势,使WLAN市场短短数年内得到了大规模发展。今天从家庭娱乐终端、移动便携、手机终端到企业各种应用,WLAN应用的身影无处不在。据统计,2008年全球销售了3亿8千多万颗WLAN芯片,较2007年增长了26%。巨大的增长让业界在期待着WLAN芯片销售能够在不远的将来达到惊人的每年10亿颗!
WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。WLAN技术标准主要由IEEE 802.11工作组负责制定。第一个802.11协议标准诞生于1997年并于1999年完成修订。随着WLAN早期协议暴露的安全缺陷,由于用户应用不断地呼唤着更高的吞吐,以及企业等应用对可管理性的要求,IEEE 802.11工作组陆续推出了802.11a、802.11b、802.11g、802.11i、802.11e、802.11n、802.11k等大量标准。此外,IETF的CAPWAP工作组还制定了无线AP的相关管理标准。
我们可以从无线安全、吞吐提高、可管理等方面对WLAN相关标准的发展进行如下分类:
无线吞吐提高
从传统的11a/b/g发展到最新的11n标准,物理层最高吞吐从54Mbps提高到了600Mbps。
实现无线安全
为了解决802.11标准中WEP等安全机制的缺陷,IEEE 802.11i工作组提出了802.11i标准。此外,中国制定了WAPI标准,目前正在申请成为国际标准。无论802.11i还是WAPI,都是为了保障用户无线数据的安全。802.11协议报文(管理报文)也是安全的重要环节,IEEE 802.11w工作组负责制定管理报文安全。
提高无线可管理性
WLAN大规模部署、Voice over WLAN等需求对无线资源和无线终端管理提出了更高要求,为此IEEE 成立了802.11k和802.11v工作组。此外,为了简化大量AP设备部署时的操作成本,IETF成立了CAPWAP工作组以制定相关标准。
为了满足Voice over WLAN等业务对QoS、快速漫游的要求,IEEE成立了802.11e、802.11r工作组。为了标准化基于WLAN的mesh网络技术,IEEE成立了802.11s工作组。
谈到IEEE 802.11工作组的相关标准,就必然谈到Wi-Fi联盟。IEEE 802.11主要关注的是技术标准和协议接口,并没有限制协议的具体实现,所以即使各厂家基于相同协议标准开发,仍然存在互通风险。802.11标准的产品化、产业化需要一个组织来推动,产品互通性需要一个组织来认证,这些需求促进了Wi-Fi联盟的诞生。Wi-Fi联盟参考IEEE 802.11标准制定了大量认证标准。比如,参考802.11i协议,Wi-Fi联盟制定了WPA/WPA2认证标准;参考802.11e协议,制定了WMM认证标准。Wi-Fi联盟的存在极大地推动了WLAN产业化。
1、 IETF CAPWAP工作组
在企业中大量部署AP时,对这些AP升级软件、设置发射功率等管理工作将给用户带来很高的操作成本。2002年左右,WLAN在企业等应用发展出现了新的趋势:瘦AP(FIT AP)架构。即通过无线控制器(AC)来管理多个AP,AP和AC间采用某种隧道协议进行通讯,无线接入报文的处理在AP和AC间分担实现。而传统的AP由于在一个AP上实现了所有无线接入等功能,所以被称为胖AP(FAT AP)。
为了解决隧道协议不兼容造成的A厂家的AP和B厂家的AC无法进行互通的问题,IETF在2005年成立了CAPWAP工作组以标准化AP和AC间的隧道协议。该协议主要功能包括了:AP自动发现AC,AC对AP进行安全认证,AP从AC获取软件映像,AP从AC获得初始和动态配置等。此外,系统可以支持本地数据转发和集中数据转发。瘦AP架构让AC具有了对整个WLAN网络的完整视图,为无线漫游、无线资源管理等业务功能的实现提供了基础。
作为隧道协议的一个重要设计目标,它希望能够承载多种无线接入技术,如802.11和802.16。所以工作组协议包括了两部分:CAPWAP协议和无线binding协议。CAPWAP协议(RFC5415,2009年4月发布)作为通用隧道协议,完成了AP发现AC等基本协议功能,和具体的无线接入技术无关。目前工作组只提供了802.11的binding协议(RFC5416,2009年4月发布),以支持802.11网络的配置管理功能。
目前,包括H3C在内的多个厂家已经将支持CAPWAP相关协议列入产品下一步开发计划。H3C的技术专家作为第一作者起草了CAPWAP协议的MIB草案和802.11 binding协议的MIB草案。创新地提出了虚拟无线口的概念,实现了在瘦AP架构下完全可以重用IEEE 802.11工作组(包括802.16等)已有的面向胖AP架构的MIB标准,很好地促进了IEEE标准在瘦AP架构的演进。目前两篇工作组草案处于WGLC(Working Group Last Call)阶段,预计年内作为RFC发布。
2、IEEE 802.11n工作组
随着YouTube、无线家庭媒体网关、企业Voice over WLAN等应用的不断涌现,对WLAN技术提出了越来越高的带宽要求,802.11a/b/g这些传统技术已经无法支撑新的业务需求,IEEE 802.11工作组意识到支持高吞吐将是WLAN技术发展历程的关键点。基于IEEE HTSG(High Throughput Study Group)前期的技术工作,于2003年成立了Task Group n(TGn)。N表示Next Generation,核心内容就是通过物理层和MAC层的优化来充分提高WLAN技术的吞吐。由于802.11n涉及了大量的复杂技术,标准过程中又涉及了大量的设备厂家,所以整个标准制定过程历时漫长,预计2009年末才可能成为标准。相关设备厂家早已无法耐心等待这么漫长的标准化周期,纷纷提前发布了各自的11n产品。为了确保这些产品的互通性,Wi-Fi联盟基于IEEE 2007年发布的802.11n草案的2.0版本制定了11n产品认证规范,以帮助11n技术能够快速产业化。
802.11n首要的任务是提高吞吐,通过结合物理层的多项技术,包括提供多条空间流(SDM)的MIMO技术来实现多条数据流并发、通过绑定两个20MHz带宽(即40MHz)来提高物理频宽、采用了MIMO-OFDM并提供了更多的子载频等,从而将物理层吞吐提高到300Mbps。如果仅仅提高物理层的速率,而没有对空口访问等MAC协议层的优化,802.11n的物理层优化将无从发挥,所以802.11n对MAC采用了Block确认、帧聚合等技术,大大提高了MAC层的效率。
802.11n对用户应用的另一个重要收益是无线覆盖的改善。由于采用了多天线技术,无线信号(对应同一条空间流)将通过多条路径从发送端到接收端,从而提供了分集效应。在接收端采用一定方法对多个天线收到信号进行处理,就可以明显改善接收端的SNR,即使接受端较远时,也能获得较好的信号质量,从而间接提高了信号的覆盖范围。典型的技术包括MRC等。
除了吞吐和覆盖的改善,11n技术还有一个重要的功能就是兼容传统的802.11a/b/g,以保护用户已有的投资。
目前,Cisco、H3C和Aruba公司已经在全球率先发布了面向企业级和运营级市场的802.11n产品。
3、IEEE 802.11i工作组
802.11标准定义了WEP安全机制,WEP本意是“等同有线的安全”。WEP采用RC4流加密算法,为避免加密key的重复使用,WEP引入了24位的IV。对于24位的IV, 5000个报文后就有50%的机率出现重复的IV。2001年8月,Scott Fluhrer、Itsik Mantin和Adi Shamir公开了对WEP的分析报告,展示了完全可能在1分钟内完成对WEP的破解。除了加密算法的瑕疵,WEP没有提供出有效的密钥管理机制,密钥完全是静态配置,非常不适合企业等大规模部署场景。此外,WEP的共享密钥认证机制也是漏洞百出。总之,WEP机制无论在加密强度、用户认证、数据完整性和密钥管理方面都存在着大量的安全漏洞。
面对诸多的WEP安全漏洞,IEEE 802.11在2002年迅速成立了802.11i工作组,以解决WEP的上述问题。考虑到企业等规模部署应用需要扩展性很好的安全管理机制,工作组采用了802.1x、Radius体系来完成接入用户的身份认证。无论802.1x还是Radius体系都早已广泛部署并获得了业界的认可,同时支持灵活的扩展,提供了EAP-TLS、EAP-TTLS、EAP-PEAP等大量认证方法来灵活满足各种部署要求。所以,802.11i工作组只需要关注无线空口的安全,包括提高数据报文的加密强度、确保数据报文完整性、实现加密密钥的动态协商。对于数据加解密,802.11i使用了AES-CCM和TKIP算法;完整性校验采用Michael和CBC算法;同时基于4次握手过程实现了密钥的动态协商。
针对WLAN安全问题,中国制定了自己的WLAN安全标准:WAPI。
WAPI基本架构上和802.11i采用的AAA架构类似,也包括了三个实体,即鉴别请求者系统(WLAN终端)、鉴别器系统(WLAN设备)和鉴别服务系统;但与其他WLAN安全机制(如802.11i)相比,具有支持双向身份鉴别、数字证书身份凭证等优势。
整个WAPI协议过程主要包括两个阶段:
WLAN终端和WLAN设备把各自证书发给鉴别服务器,后者负责判断证书的合法性;
WLAN终端和WLAN设备通过报文交互,完成相互的身份认证和密钥协商。
WAPI一直致力于标准的国际化,但是遭遇很大的阻力。在搁浅5年之后的2009年,我国提出的无线局域网安全技术标准WAPI有望获国际认可,晋升国际标准。日前,WAPI产业联盟宣布,WAPI已获得国际标准组织ISO/IECJTC1/SC6的提案邀请,将作为独立标准重新进入国际标准流程。此外,工信部已经明确:只要支持WAPI,具有Wi-Fi功能的手机就可以获得入网许可。总的看来,WAPI产业当前已经得到了很好的标准和政策支持。
为了推动WAPI的实际应用,H3C提出了WAPI over EAP的WAPI部署方案,实现了WAPI和电信现有Radius系统的很好融合,节省了用户单独部署鉴别服务器的成本,简化了管理,实现了802.11i和WAPI用户的统一认证管理。
总结
WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。用户对WLAN安全的关注,以及由应用促使的对更高吞吐的呼唤、对可管理性的更高要求等,推动了WLAN技术的不断创新和技术标准的不断完善。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。