概述
  WLAN技术所具有的移动性、便捷性、较高的带宽等特点,以及大规模的产业化和低成本等诸多优势,使WLAN市场能够短短数年内得到了大规范发展。今天从家庭娱乐终端、移动便携、手机终端到企业各种应用,WLAN应用的身影无处不在。据统计,2008年全球销售了3亿8千多万颗WLAN芯片,较2007年增长了26%。巨大的增长让业界在期待着WLAN芯片销售能够在不远的将来达到惊人的每年10亿颗。
  WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。WLAN技术标准主要由IEEE 802.11工作组负责制定。第一个802.11协议标准诞生于1997年并于1999年完成修订。随着WLAN早期协议暴露的安全缺陷,由于用户应用不断地呼唤着更高的吞吐,以及企业等应用对可管理性的要求,IEEE 802.11工作组陆续地推出了802.11a、802.11b、802.11g、802.11i、802.11e、802.11n、802.11k等大量标准。此外,IETF的CAPWAP工作组还制定了无线AP的相关管理标准。
  我们可以从无线安全、吞吐提高、可管理等方面对WLAN相关标准的发展进行如下分类:
   无线吞吐提高
  从传统的11a/b/g发展到最新的11n标准,物理层最高吞吐从54Mbps提高到了600Mbps。
   实现无线安全
  为了解决802.11标准中WEP等安全机制的缺陷,IEEE 802.11i工作组提出了802.11i标准。此外,中国制定了WAPI标准,目前正在申请成为国际标准。无论802.11i还是WAPI,都是为了保障用户无线数据的安全。802.11协议报文(管理报文)也是安全的重要环节,IEEE 802.11w工作组负责制定管理报文安全。
   提高无线可管理性
  WLAN大规模部署、Voice Over WLAN等需求对无线资源和无线终端管理提出了更高要求,为此IEEE 成立了802.11k和802.11v工作组。此外,为了简化大量AP设备部署时的操作成本,IETF成立了CAPWAP工作组以制定相关标准。
   其它标准
  为了满足Voice Over WLAN等业务对Qos、快速漫游的要求,IEEE成立了802.11e、802.11r工作组。为了标准化基于WLAN的mesh网络技术,IEEE成立了802.11s工作组。
  谈到IEEE 802.11工作组的相关标准,就必然谈到Wi-Fi联盟。IEEE 802.11主要关注的是技术标准和协议接口,并没有限制协议的具体实现,所以即使各厂家基于相同协议标准开发,仍然存在互通风险。802.11标准的产品化、产业化需要一个组织来推动,产品互通性需要一个组织来认证,这些需求促进了Wi-Fi联盟的诞生。Wi-Fi联盟参考IEEE 802.11标准制定了大量认证标准。比如,参考802.11i协议,Wi-Fi联盟制定了WPA/WPA2认证标准;参考802.11e协议,制定了WMM认证标准。Wi-Fi联盟的存在极大地推动了WLAN产业化。
  标准组简介
  本文将重点介绍IETF CAPWAP工作组、802.11n、802.11i、WAPI等协议标准。
   IETF CAPWAP 工作组
  在企业中大量部署AP时,对这些AP升级软件、设置发射功率等管理工作将给用户带来很高的操作成本。2002年左右,WLAN在企业等应用发展出现了新的趋势:瘦AP架构。即通过无线控制器(AC)来管理多个AP,AP和AC间采用某种隧道协议进行通讯,无线接入报文的处理在AP和AC间分担实现。而传统的AP由于在一个AP上实现了所有无线接入等功能,所以被称为胖AP(FAT AP)。
20090701_791332_p_w_picpath001_640415_30004_0.jpg
                           图1:瘦AP架构
   为了解决隧道协议不兼容问题造成的A厂家的AP和B厂家的AC无法进行互通,IETF在2005年成立了CAPWAP工作组以标准化AP和AC间的隧道协议。该协议主要功能包括了:AP自动发现AC,AC对AP进行安全认证,AP从AC获取软件映像,AP从AC获得初始和动态配置等。此外,系统可以支持本地数据转发和集中数据转发。瘦AP架构让AC具有了对整个WLAN网络的完整视图,为无线漫游、无线资源管理等业务功能的实现提供了基础。
  作为隧道协议的一个重要设计目标,它希望能够承载多种无线接入技术,如802.11和802.16。所以工作组协议包括了两部分:CAPWAP协议和无线binding协议。CAPWAP协议(RFC5415,2009年4月发布)作为通用隧道协议,完成了AP发现AC等基本协议功能,和具体的无线接入技术无关。目前工作组只提供了802.11的binding协议(RFC5416,2009年4月发布),以支持802.11网络的配置管理功能。
  目前,H3C等多个厂家已经将支持CAPWAP相关协议列入产品下一步开发计划。
  H3C的技术专家作为第一作者起草了CAPWAP协议的MIB草案和802.11 binding协议的MIB草案。创新地提出了虚拟无线口的概念,实现了在瘦AP架构下完全可以重用IEEE 802.11工作组(包括802.16等)已有的面向胖AP架构的MIB标准,很好地促进了IEEE标准在瘦AP架构的演进。目前两篇工作组草案处于WGLC阶段,预计年内作为RFC发布。
   IEEE 802.11n 工作组
  随着YouTube、无线家庭媒体网关、企业Voip Over WLAN等应用的不断涌现,对WLAN技术提出了越来越高的带宽要求,802.11a/b/g这些传统技术已经无法支撑新的业务需求,IEEE 802.11工作组意识到支持高吞吐将是WLAN技术发展历程的关键点。基于IEEE HTSG (High Throughput Study Group)前期的技术工作,于2003年成立了Task Group n (TGn)。N表示Next Generation,核心内容就是通过物理层和MAC层的优化来充分提高WLAN技术的吞吐。由于802.11n涉及了大量的复杂技术,标准过程中又涉及了大量的设备厂家,所以整个标准制定过程历时漫长,预计 今年末可能成为标准。相关设备厂家早已无法耐心等待这么漫长的标准化周期,纷纷提前发布了各自的11n产品。为了确保这些产品的互通性,Wi-Fi联盟基于IEEE 2007年发布的802.11n草案的2.0版本制定了11n产品认证规范,以帮助11n技术能够快速产业化。
  802.11n首要的任务是提高吞吐,通过结合物理层的多项技术,包括提供多条空间流(SDM)的MIMO技术来实现多条数据流并发、通过绑定两个20MHz带宽(即40MHz)来提高物理频宽、采用了MIMO-OFDM并提供了更多的子载频等,从而将物理层吞吐提高到300Mbps。如果仅仅提高物理层的速率,而没有对空口访问等MAC协议层的优化,802.11n的物理层优化将无从发挥,所以802.11n对MAC采用了Block确认、帧聚合等技术,大大提高了MAC层的效率。
  802.11n对用户应用的另一个重要收益是无线覆盖的改善。由于采用了多天线技术,无线信号(对应同一条空间流)将通过多条路径从发送端到接收端,从而提供了分集效应。在接收端采用一定方法对多个天线收到信号进行处理,就可以明显改善接收端的SNR,即使接受端较远时,也能获得较好的信号质量,从而间接提高了信号的覆盖范围。典型的技术包括了MRC等。
  除了吞吐和覆盖的改善,11n技术还有一个重要的功能就是要兼容传统的802.11 a/b/g,以保护用户已有的投资。
  目前,Cisco、H3C和Aruba公司已经在全球发布了面向企业级和运营级市场的802.11n产品。
   IEEE 802.11i 工作组
  802.11标准定义了WEP安全机制,WEP本意是“等同有线的安全”。WEP采用RC4流加密算法,为避免加密key的重复使用,WEP引入了24位的IV。对于24位的IV, 5000个报文后就有50%的机率出现重复的IV。2001年8月, Scott Fluhrer, Itsik MantinAdi Shamir 公开了对WEP的分析报告,展示了完全可能在1分钟内完成对WEP的破解。除了加密算法的瑕疵,WEP没有提供出有效的密钥管理机制,密钥完全是静态配置,非常不适合在企业等大规模部署场景。此外,WEP的共享密钥认证机制也是漏洞百出。总之,WEP机制无论在加密强度、用户认证、数据完整性和密钥管理方面都存在这大量的安全漏洞。
  面对诸多的WEP安全漏洞,IEEE 802.11在2002年迅速成立了802.11i工作组,以解决WEP的上述问题。考虑到企业等规模部署应用需要扩展性很好的安全管理机制,工作组采用了802.1x、Radius体系来完成接入用户的身份认证。无论802.1x还是Radius体系都早已广泛部署并获得了业界的认可,同时支持灵活的扩展,提供了EAP-TLS、EAP-TTLS、EAP-PEAP等大量认证方法来灵活满足各种部署要求。所以,802.11i工作组只需要关注无线空口的安全,包括提高数据报文的加密强度、确保数据报文完整性、实现加密密钥的动态协商。EAP认证过程既完成了用户身份的认证,又协商出了Master key,基于后者可以计算出PMK。由于PMK只被WLAN终端和Radius server所知道,而802.11i的密钥协商过程并不需要Radius Server参与,所以Radius Server需要将该PMK传递给WLAN设备。WLAN设备和WLAN终端通过交换随机数等参数完成数据加密密钥的动态协商,PMK被用于帮助密钥协商,但是不在WLAN设备和WLAN终端之间传递(为了安全),整个过程由于涉及4次握手报文,所以一般称为4次握手。4次握手结束后,将协商出用于单播密钥加密的PTK和用于组播加密的GTK。PTK和GTK都是临时的,满足一定条件(如时间)就会重新动态协商。 对于数据加解密, 802.11i使用了AES-CCM和TKIP算法。
20090701_791333_p_w_picpath002_640415_30004_0.jpg
                      图2:Radius和802.11i认证过程
  考虑到家庭等用户不需要部署Radius来完成用户身份认证,所以802.11i还定义了预共享密钥来让用户直接在WLAN设备和无线终端上配置PMK。此外,为了确保兼顾漫游的安全和快速性,802.11i还定义了key cache和预认证机制。
   中国WAPI标准
  针对WLAN安全问题,中国制定了自己的WLAN安全标准:WAPI。
  与其他无线局域网安全机制(如802.11i)相比,WAPI主要的差别体现在以下几个方面:
   双向身份鉴别
  在WAPI安全体制下,无线客户端和WLAN设备二者处于对等地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可防止假冒的无线客户端接入WLAN网络,同时也可杜绝假冒的WLAN设备伪装成合法的设备。而在其它安全体制下,只能实现WLAN设备对无线客户端的单向鉴别,缺乏有效的WLAN设备身份鉴别手段。
   数字证书身份凭证
  WAPI 强制使用数字证书作为无线客户端和WLAN设备的身份凭证。
  WAPI基本架构上和802.11i采用的AAA架构类似,也包括了三个实体,即鉴别请求者系统(WLAN终端)、鉴别器系统(WLAN设备)和鉴别服务系统。
20090701_791334_p_w_picpath003_640415_30004_0.jpg
                       图3:WAPI协议基本过程
  详细的协议过程,请参考作者的另一篇文章[4](建立链接)。
  整个WAPI协议过程主要包括两个阶段:
  WLAN终端和WLAN设备把各自证书发给鉴别服务器,后者负责判断证书的合法性;
  WLAN终端和WLAN设备通过报文交互,完成相互的身份认证和密钥协商;
  WAPI一直致力于标准的国际化,但是一直遭遇很大的阻力。在搁浅5年之后的2009年,我国提出的无线局域网安全技术标准WAPI有望获国际认可,晋升国际标准。日前,WAPI产业联盟宣布,WAPI已获得国际标准组织ISO/IECJTC1/SC6的提案邀请,将作为独立标准重新进入国际标准流程。此外,工信部已经明确:只要支持WAPI,具有WiFi功能的手机就可以获得入网许可。总的看来,WAPI产业当前已经得到了很好的标准和政策支持。
  为了推动WAPI的实际应用,H3C提出了WAPI Over EAP的WAPI部署方案,实现了WAPI和电信现有的Radius系统进行了很好地融合,节省了用户单独部署鉴别服务器的成本,简化了管理,实现了802.11i和WAPI用户的统一认证管理。
   总结
  WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。用户对WLAN安全的关注,以及由应用促使的对更高吞吐的呼唤、对可管理性的更高要求等,推动了WLAN技术的不断创新和技术标准的不断完善。
参考文献
[1] [RFC5415]    Calhoun, P., Montemurro, M., and D.Stanley, "Control And Provisioning of Wireless Access Points (CAPWAP) Protocol Specification", March 2009.
[2] [RFC5416]    Calhoun, P., Montemurro, M., and D.Stanley, "Control and Provisioning of Wireless Access Points (CAPWAP) Protocol Binding for IEEE 802.11",
RFC 5416, March 2009.
[3] [IEEE.802-11.2007]  "Information technology - Telecommunications and
information exchange between systems - Local and metropolitan area networks – Specific requirements - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications", IEEE Standard 802.11, 2007,
[4] [IEEE.802-11.2007]  基于痩AP架构实现WAPI  作者史扬 蔡自彬 蔡贤森
缩略语
CAPWAP    Control and Provisioning of Wireless Access Points
SDM       Spatial Division Multiplexing
MIMO      Multiple Input Multiple Output
OFDM      Maximal-Ratio Combining
SNR       Signal Noise Ratio
WEP       Wired Equivalent Privacy
WAPI      Wireless Area Network Authentication and Privacy Infrastructure
WAI       WLAN Authentication Infrastructure
IV        Initialization Vector
PMK       Pairwise Master Key
PTK       Pairwise Transient Key
GTK       Groupwise Transient Key