WPS---无线规范服务（Wireless Provisioning Services，WPS）

Wi-Fi联盟正在设法使无线网络的安全性更容易实现。今年第一季度推出的许多芯片都将支持Wi-Fi联盟的Wi-Fi保护设置(WPS)，这是一种使用PIN码或按键设置网络安全性 的方法，使得目前各种混乱的专有方案至此终于有了统一的可能。缺少一种标准的安全设置方法曾让消费者头疼不已，许多人甚至感到需要专家来帮助他们弄懂 WEP、WPA、WPA2、SSID和各种只有工程师才感兴趣的技术问题。Wi-Fi联盟宣称，WPS可以将设置安全网络的步骤减少一半。

WFA/Kelton研究公司最近的一份调查报告认为，这对占40%的认为设置网络安全性较难或很难并且不想实施的用户来说是一大喜讯。WPS规范是用软件实现的，因此芯片和系统制造商可以将此应用程序与驱动程序捆绑在一起。以前的旧系统也可以下载新的应用程序。

利用“傻瓜”方式设置无线网络安全性似乎是件很容易实现的事。但这一过程用了好几年的时间，因为IEEE没有接手标准化工作，而是让Wi- Fi联盟处理这项任务。“这是Wi-Fi联盟不得不同时做规范和测试计划的首个案例。”Atheros通信公司高级产品经理Teresa Liou表示。该公司将它的WPS版本称为Jumpstart2.0。

理论上这一过程似乎比较简单明了。当用户打开WPS设备时，网络会要求用户输入一个8位数的PIN码，或按一个按键。一旦成功进入，网络名字和加密数据就会发送给PC、照相机或电话机。今年晚些时候Wi-Fi联盟将增加对近场通信和USB闪存驱动的支持。

网络产品制造商Netgear的Doug Hagen透露，该公司在今后几个月准备开发支持WPS的多款路由器。“我们全力支持Wi-Fi联盟。”他表示。

图：Wi-Fi保护设置减少了网络的配置步骤，使得网络安全更容易现实

WPS将成为一种可选的认证程序。对于已经完成WPS认证的产品，联盟已经设计好了一个WPS商标，可张贴在Wi-Fi认证商标旁边。Wi-Fi联盟网站提供WPS1.0规范下载，费用是99美元。

 

无线规范服务（Wireless Provisioning Services，WPS）是面向 Microsoft Windows XP Service Pack 2（SP2）和Windows Server 2003 Service Pack 1（SP1）的一组增强特性。WPS扩展了Windows XP附带的无线客户端软件和Windows Server 2003附带的Internet身份验证服务（Internet Authentication Service，IAS），以便允许在建立以下连接时进行统一的自动化配置过程：

•	提供Internet访问的公共无线热点（hotspot）。
•	提供Internet来客访问（guest access）的专用组织无线网络。

本文描述无线客户端最初连接到提供Internet访问的公共无线热点时的基础结构和过程。

当无线客户端连接到公共无线热点时，它们或者已经是无线Internet服务提供商（WISP）的客户，或者不是。如果不是，无线客户端的用户将面临执行以下任务的挑战：

•	配置网络设置以连接到WISP网路。
•	向WISP提供身份验证和支付信息。
•	获得连接凭证。
•	在获得有效凭证之后重新连接到WISP网络。

WPS旨在简化、自动化和标准化服务的首次订阅和续订，以便用户不必针对他们希望连接到的每家无线提供商执行一组不同的步骤。

本页内容

	WPS基础结构的组件
	新帐户连接过程示例
	更多信息

WPS基础结构的组件

WPS所需要的组件集如下：

•	支持WPS的无线客户端
•	支持虚拟专用局域网（VLAN）或Internet协议（IP）过滤的无线访问点（AP）
•	访问控制器
•	规范服务器
•	Active Directory®目录域控制器
•	Internet身份验证服务（IAS）服务器
•	动态主机配置协议（DHCP）服务器

这些组件如下图所示。

查看大图。

如果您的浏览器不支持内嵌框，请单击此处查看单独的页面。

支持WPS的无线客户端

支持WPS的无线客户端是运行Windows XP Home Edition SP2、Windows XP Professional SP2或Windows XP Tablet PC Edition SP2的计算机。

支持VLAN或IP过滤的无线AP

用于WPS的无线AP必须支持以下功能之一：

•	VLAN 对 于VLAN，来自无线客户端的流量可以添加一个VLAN ID标记来识别其是经过身份验证（在这种情况下，流量将被转发到Internet VLAN）还是未经过身份验证（在这种情况下，流量将被转发到包含用于配置无线客户端的服务器集的规范资源VLAN）。访问控制器使用VLAN ID来确定如何切换流量。
•	IP过滤 作为VLAN支持的替代办法，无线AP必须能够基于目标IP地址或由无线控制器用来过滤的标记流量，过滤来自独立无线客户端的流量。IP过滤允许无线AP将未经身份验证的客户端的流量限制到网络上的一组特定资源。

IP过滤和VLAN的使用都提供了将未经身份验证的流量隔离到一组特定服务器（即配置无线客户端和从那里获得合法连接凭证的服务器）的途径。

对VLAN或IP过滤的支持是对电子和电气工程师协会（IEEE）802.X和“远程身份验证拔入用户服务（RADIUS）”的补充。

推 荐无线AP还应该支持虚拟AP，在虚拟AP中，单个物理无线AP能够像多个无线AP一样广播具有单独安全配置的多个服务组标识符（Service Set Identifiers，SSID）。对于虚拟AP支持，WISP能够轻松地将他们现有的公共热点从使用通用接入方法（Universal Access Method，UAM：一种基于浏览器的注册过程）迁移至使用WPS。

无线AP被配置为WISP网络上的IAS服务器的一个RADIUS客户端。

访问控制器

访问控制器是一个对来自或发往无线AP的数据包执行路由和过滤或VLAN交换的设备。如果正在使用数据包过滤，访问控制器将使用放置在帧上的标记来执行数据包过滤。如果正在使用VLAN，访问控制器将使用来自无线AP的数据包的VLAN ID来将数据包交换到：

•	规范资源VLAN 规范资源服务器VLAN允许未经身份验证的无线客户端访问DHCP和规范资源服务器，从而允许它们建立连接以接收一个DHCP配置，提供身份识别和支付信息，并接收连接凭证来作为一个经过身份验证的客户端以建立连接。
•	Internet VLAN Internet VLAN提供Internet访问。只有已经付费创建了帐户并已经使用合法凭证通过身份验证的客户，才会被交换到这个VLAN以进行Internet访问。

未经身份验证（规范资源VLAN）和经过身份验证（Internet VLAN）的无线客户端流量的IP过滤器或VLAN ID是通过IAS服务器发送的RADIUS Access-Accept消息中特定于厂商的RADIUS特性来提供的。

规范服务器

规范服务器配置了以下组件：

•	基于安全超文本传输协议（HTTPS）的Web服务器 这是一个必须使用HTTPS来部署的Web服务器：Internet Information Services（IIS）或第三方Web服务器。
•	Web应用程序 基 于HTTPS的Web服务器配置了基于WPS的Web应用程序来处理客户在注册或续订时提供的信息。当客户在无线客户端上使用WPS注册向导来付费创建 WISP帐户时，客户将键入身份识别和支付信息，比如：姓名、地址和信用卡信息。这些信息将由WPS转换为一个XML文档，并发送到规范服务器。 规范服务器上的Web应用程序必须能够接受和处理包含无线客户端用户信息的XML文档。例如，对于新客户，该Web应用程序必须在Active Directory中动态创建一个帐户。对于续订用户，该Web应用程序必须动态更新帐户和支付信息。
•	XML主文件和子文件 规范服务器维护着XML主文件和子文件，它们为无线客户端提供访问网络、创建帐户、提交支付信息以及最终访问Internet所需要的所有配置信息。该XML数据还包含WISP标记内容、WISP热点位置以及帮助信息。

Active Directory域控制器

Active Directory域控制器用于存储活动客户的用户帐户数据库。当客户执行初始的注册过程时，规范服务器上的Web应用程序在Active Directory中创建一个新帐户，并将该用户帐户添加到正确的组。

与使用Active Directory不同，WISP可以使用基于轻量级目录访问协议（LDAP）的数据库，该数据库支持用户帐户的动态创建。

IAS服务器

作为Windows所实施的RADIUS服务器和代理，IAS被用作一台RADIUS服务器，用于对连接到WISP网络的用户进行身份验证和授权。IAS配置了远程访问策略，以允许以下特性：

•	为还没有帐户和合法连接凭证的无线客户端提供来客身份验证和对规范资源的访问。
•	为还没有帐户和合法连接凭证的无线客户端提供Internet访问。

IAS 服务器必须运行Windows Server 2003 SP1，后者包含一种新的“受保护的可扩展身份验证协议（PEAP）”类型，称为PEAP类型长度值（Type-Length-Value，TLV）。 PEAP-TLV是由标题为“一种用于可扩展身份验证协议（EAP）的容器”（draft-hiller-eap-tlv-0x.txt）的Internet草案所定义的，为IAS提供了将规范服务器的位置以统一资源定位符（URL）的形式发送给无线客户端计算机的能力。使用规范服务器的URL，无线客户端上的WPS能够下载规范XML文件，并启动初始的注册或续订过程。

为 了给无线客户端计算机提供服务器端PEAP身份验证，IAS服务器将使用一个存储在IAS服务器的“本地计算机”存储库中的计算机证书。IAS计算机证书 在其“增强的密钥用法”属性中包含“服务器身份验证”用途，并且通常由某个公共的第三方证书权威（CA）发行，比如：VeriSign, Inc.。

通 常使用公共第三方证书是因为，Windows XP无线客户端为了验证IAS服务器证书，必须拥有IAS服务器计算机证书（存储在“受信任的根证书权威”证书存储库中）的发行CA的根CA证书。 Windows XP已经在“受信任的根证书权威”证书存储库中包含了许多公共第三方证书的根CA证书。

如果您在Active Directory域控制器上安装IAS，该计算机必须具有一个计算机证书。如果IAS服务器和Active Directory域控制器属于不同的计算机，那么只有IAS服务器需要计算机证书。

DHCP服务器

DHCP服务器必须能够为正在作为来客或作为经过身份验证的客户端来连接的、正在访问Internet的无线客户端计算机分配有效的IP地址。

返回页首

新帐户连接过程示例

下面的例子描述了一个新的客户在某个Wi-Fi热点位置的WPS过程。 当新的客户连接到WISP，注册了一个新的帐户，并访问Internet时，整个过程将在以下几个阶段中进行：

•	第1阶段：客户端在某个Wi-Fi热点发现WISP网络。
•	第2阶段：客户端作为来客进行身份验证。
•	第3阶段：客户端接受服务，新帐户创建完成。
•	第4阶段：客户端在访问Internet时使用新的帐户凭证进行身份验证。

第1阶段：客户端在某个Wi-Fi热点发现WISP网络

客 户启动位于该Wi-Fi热点的某个无线AP范围内可支持WPS的无线客户端。无线网络适配器通知“Windows XP自动配置”关于该WISP无线网络名称（也称为SSID）的存在情况。Windows XP通知客户关于一个新的无线网络可用的情况。客户查看WISP无线网络信息并决定建立连接。

第2阶段：客户端作为来客进行身份验证

由于这是一个新的无线网络，“无线自动配置”使用“PEAP-传输层安全性（TLS）”来客身份验证来连接到该WISP网络。对于PEAP-TLS来客身份验证，无线客户端向IAS服务器传递一个空的用户名称（并且没有传递证书）。

IAS 服务器授权新的客户端成为一个来客。在经过PEAP-TLS身份验证之后，PEAP-TLV将被用来向无线客户端发送规范服务器的URL。在最后的 RADIUS Access-Accept消息中，RADIUS特性包含规范资源VLAN ID的VLAN ID或IP过滤器集，后者限制从无线客户端到需要规范化的资源的流量。

然后无线客户端计算机从DHCP服务器请求并接收一个IP地址配置。

第3阶段：客户端接受服务，新帐户创建完成

无线客户端使用通过PEAP-TLV接收到的URL了来连接到规范服务器。无线客户端上的WPS下载XML主文件和正确的子文件。WPS注册向导将基于这些文件中的信息来运行，从而允许客户配置身份识别和支付信息，创建帐户，并接受有效凭证。

客户配置的信息将由WPS转换为一个XML文档，并发送给规范服务器。一旦支付情况通过检验，注册信息就成功完成了，Web应用程序将在Active Directory（或支持LDAP的其他用户帐户数据库）中创建一个用户帐户，并将该帐户添加到正确的组。

规范服务器将创建一个包含新帐户凭证的XML文档，并将它发送给无线客户端计算机上的WPS。WPS在一个配置文件中存储无线客户端、帐户和凭证信息。

第4阶段：客户端在访问Internet时使用新的帐户凭证进行身份验证

“无 线自动配置”与WISP的无线AP分离，重新关联，然后再尝试进行身份验证。由于现在有一个配置文件与WISP无线网络相匹配，“无线自动配置”将从该配 置文件中检索信息，并使用“PEAP-Microsoft质询握手身份验证协议第2版（MS-CHAP v2）”和存储在该配置文件中的用户帐户和密码凭证来进行身份验证。

基于无线客户端发送的有效凭证，IAS服务器根据Active Directory中的新帐户来对连接进行身份验证和授权。基于用户帐户属性和匹配的远程访问策略设置，IAS服务器将向无线AP发送一条Access- Accept信息，其中包含Internet VLAN的VLAN ID或允许无线客户端计算访问Internet的IP过滤器。

在经过身份验证的连接得到接受之后，无线客户端将使用DHCP来请求和接收IP地址配置。 在从DHCP获得地址配置之后，无线客户端就能够访问Internet资源了。