选择区域语言: EN CN HK
docurl=/cn/Products___Technology/Products/IP_Wlan/Home/White_Book/200807/613063_30003_0.htm

WLAN安全服务技术白皮书

【发布时间:2008-07-30】

目录

WLAN安全服务技术白皮书... 1

1 WLAN概述... 4

2 WLAN用户接入介绍... 5

2.1 802.11链路协商... 5

2.1.1 WLAN服务发现... 6

2.1.2 链路认证... 6

2.1.3 链路服务协商... 7

2.2 用户接入认证... 7

2.2.1 802.1x接入认证... 7

2.2.2 MAC接入认证... 9

2.2.3 PSK接入认证... 10

2.3 密钥协商... 10

3 H3C公司的WLAN服务... 11

3.1 集中管理WLAN架构... 11

3.2 自治WLAN架构... 12

3.3 WLAN接入认证... 13

3.4 WLAN服务的数据安全... 14

3.5 WLAN接入服务... 14

3.5.1 明文WLAN服务... 14

3.5.2 WEP加密WLAN服务... 15

3.5.3 WPA WLAN服务... 17

3.5.4 RSN WLAN服务... 18

3.5.5 WPARSN组合WLAN服务... 19

4 H3C公司WLAN的优势... 20


摘要

    现在WLAN应用已经非常普遍,在很多场所被部署,例如公司,校园,工厂,甚至咖啡厅等等。

本文介绍了WLAN的基本概念和技术原理,以及H3C WLAN解决方案能够提供的多种无线安全接入服务。

 

关键词

WLAN, Station, ESS, SSID, RSN, OSA, IE, PSK, EAP, AC, AP, WTP

 

 

缩略语

WLAN

无线局域网(Wireless Local Area Network

Station

本文指WLAN的客户端

ESS

扩展服务集(Extended Service Set

SSID

服务标示(Service Set ID

RSN

Robust安全网络(Robust Security Network

OSA

开放系统认证(Open System Authentication

IE

信息单元(Information Element

PSK

预共享密钥(Pre-Shared Key

EAP

扩展认证协议(Extensible Authentication Protocol

AC

接入控制器(Access Controller

AP

接入控制点(Access Point

WTP

无线终端控制点(Wireless Termination Points

IV

初始向量(Initialization Vector


第1章  WLAN概述

WLAN,全称是Wireless Local Area Network,即无线局域网,和传统的有线接入方式相比无线局域网让网络使用更自由:

1、              无线局域网彻底摆脱了线缆和端口位置的束缚,用户不在为四处寻找有线端口和网线而苦恼,接入网络如喝咖啡般轻松和惬意。

2、              无线局域网具有便于携带,易于移动的优点,无论是在办公大楼、机场候机大厅、酒店,用户都可以随时随地自由接入网络办公、娱乐。

 

另外,WLAN最大的优势就是免去或减少了繁杂的网络布线,一般只要在安放一个或多个接入点(Access Point)设备就可建立覆盖整个建筑或地区的局域网络。另外对于地铁、公路交通监控等难于布线的场所,无线局域网的应用越来越广泛。和有线相比,无线局域网的启动和实施相对简单,后期维护容易,整个建网和维护的成本更低廉。

 

IEEE802.11系列协议定义了WLAN网络服务的相关特性:IEEE802.11-1999作为WLAN的基本协议定义了基本的802.11链路协商机制;IEEE802.11i-2004增强了802.11链路的安全特性;IEEE802.11e将提供802.11链路服务的质量保证机制等等。

虽然IEEE802.11-1999协议已经考虑到了无线局域网的安全问题,并且定义了相应的安全机制(包括Shared-Key认证机制和OSA认证机制)以及WEP加密机制(基于RC4对称流加密算法,而且需要预先配置相同的静态Key);但是无论从加密机制还是加密算法本身,WEP加密机制都容易受到安全威胁。随着无线局域网的发展,IEEE802.11i比较彻底的解决无线局域网的安全问题(特别采用了更加高级的加密算法AES,通过密钥协商实现动态密钥管理和更新,结合了802.1x接入认证为无线局域网提供安全保护)。

由于IEEE颁布一个新的WLAN标准的时间间隔很长,而各厂商的产品往往已经先于标准推出了,为了能够满足不同厂商间的产品的互通性,Wi-Fi联盟制定的标准在IEEE的正式标准颁布前往往成为了大家都遵从的事实标准。对于无线局域网的安全标准IEEE802.11i就存在这样问题:Wi-Fi Protected Access (WPA) 是一种过渡性行业标准它通过升级到基于 802.11 的无线网络适配器的固件和无线接入点 (AP) 来保护 802.11 无线 LAN 联网的安全。WPA 将临时密钥完整性协议 (TKIP) Michael 结合起来,取代了有线对等保密 (WEP);临时密钥完整性协议可通过加密来保证数据机密性,Michael 可保证数据完整性。

H3C公司WLAN实现了无线接入点特性,为无线用户提供WLAN接入服务。H3C公司WLAN实现了上面描述的各种特性,并且能够根据实际网络需求,提供不同的无线接入服务。例如:对于公司办公无线局域网需要高的安全性,所以对这种网络可以采用802.1x认证以及AES算法进行身份认证和数据保护;而对于咖啡厅无线局域网只需要采用WEP加密和Shared-Key认证,就可以满足安全需要。

第2章  WLAN用户接入介绍

任何WLAN网络的最终目的是为无线用户提供网络接入服务,实现用户访问网络资源(例如Internet)的需求。

WLAN客户端访问WLAN网络,有线网络或者Internet网络之前,客户端需要和WLAN设备端完成802.11的链路协商;通过设备端的接入认证;以及成功的协商802.11链路使用的密钥。

下图描述了一个802.11用户接入WLAN网络过程。WLAN客户端和WLAN服务端协商的整个过程中,802.11链路协商直接确定了WLAN服务端是否对WLAN客户端进行接入认证;是否需要对该客户端的数据进行安全保护;以及是否需要进行密钥协商。

 

 

2.1  802.11链路协商

802.11链路不同于802.3802.11定义了一套链路协商机制,其中包括802.11链路认证过程和802.11链接协商过程。

只有当WLAN客户端成功发现WLAN服务,并且和WLAN服务设备成功完成链路认证和链接协商后,客户端和设备端才成功的建立802.11链路,客户端才拥有了访问网络的基础。如果网络服务没有使用任何接入认证,此时客户端已经成功的接入到网络服务中;如果网络服务指定了接入认证方式,则WLAN会触发对用户的接入认证,只有接入认证成功后,WLAN客户端才可以成功的访问网络。

下图简单描述了802.11客户端接入到WLAN服务的链路协商过程,如果WLAN使能了接入认证,在链路协商成功以后会触发接入认证,下图没有给出相应的描述。通常WLAN客户端为由无线网卡的主机设备,而WLAN服务端则为AP设备。

2.1.1  WLAN服务发现

WLAN客户端有两种方式可以发现WLAN服务,目前H3CWLAN同时支持这两种方式:

方式一,WLAN设备会主动发送Beacon通告提供的WLAN服务,客户端可以根据该报文确定周围存在的WLAN服务;

方式二,WLAN客户端可以指定SSIDWLAN服务的标示)或者使用广播SSID(即没有指定SSID)主动地探测(Probe Request)是否存在指定的网络,WLAN设备存在指定的WLAN服务,会发送确认信息(Probe Response)给客户端。

之后,WLAN客户端可以从已经发现的WLAN服务列表中选择特定的服务,发起802.11链路协商。

2.1.2  链路认证

当前802.11的链路认证支持两种认证方式:OSA认证(Open System Authentication)和Shared-Key认证(Shared Key Authentication)。两种认证方式都是在IEEE802.11中定义,802.11链路认证通过Authentication报文实现。

其中OSA认证其实没有对用户进行任何认证操作,只是根据WLAN服务是否支持OSA认证确定对客户端的认证是否成功。当WLAN提供RSN以及WPA的安全服务时,链路认证必须使用OSA认证,而不能使用Shared Key认证。

Shared Key认证是需要客户端和设备端配置共享密钥;WLAN设备会在链路认证过程中随机产生一串字符发送给客户端;客户端会对接收到字符串拷贝到新的消息中加密后发送给WLAN设备端;设备端接收到该消息后,会对解密后的字符串和最初给客户端的字符串进行比较,确定客户端是否通过认证。如果字符串匹配,则说明客户端拥有设备端相同的共享密钥,即通过了Shared Key认证;否则Shared Key认证失败。

2.1.3  链路服务协商

在完成了802.11的链路认证后,WLAN客户端会继续发起802.11链路服务协商,具体的协商通过Association报文或者Re-association报文实现。

WLAN服务发现过程中,WLAN客户端已经获得了当前服务的配置和参数(WLAN设备端会在BeaconProbe Response报文中携带,例如接入认证算法以及加密密钥)。WLAN客户端在发起的Association或者Re-association请求时,会携带WLAN客户端自身的各种参数,以及根据服务配置选择的各种参数(主要包括支持的速率,支持的信道,支持的QoS的能力,以及选择的接入认证和加密算法)。

WLAN客户端和WLAN服务设备端成功完成链路服务协商,表明两个设备成功建立了802.11链路。对于没有使能接入认证的服务,客户端已经可以访问WLAN网络;如果WLAN服务使能了接入认证,则WLAN设备端会发起对客户端的接入认证。

2.2  用户接入认证

用户接入认证实现了对接入用户的身份认证,为网络服务提供了安全保护。H3C接入认证主要有802.1x接入认证,MAC接入认证以及PSK认证。其中802.1x接入认证和MAC接入认证可以支持对有线用户和WLAN无线接入用户进行身份认证,而PSK认证则是专门为WLAN无线用户提供认证的一种方法。

WLAN服务应用中,对于WPA用户或者RSN用户需要进行EAPOL-Key密钥协商。根据WLAN协议服务定义,对于WPA服务和RSN服务需要和802.1x接入认证以及PSK接入认证配合使用:在802.11链路协商的过程中,可以确定用户使用的接入认证算法;并且在链路协商成功后触发对用户的接入认证;随后需要为该接入用户的协商密钥;之后WLAN客户端才才可以访问WLAN网络。

2.2.1  802.1x接入认证

以设备端PAEEAP报文进行中继转发为例,IEEE 802.1X认证系统的基本业务流程如下图所示(该种认证为典型的有线应用,无线局域网也可以支持该种认证)。

WLAN应用网络中,WLAN客户端Station为客户端PAE,提供WLAN服务的设备为设备端PAE。设备端通过产生一个随机Challenge发送给客户端;客户端会使用配置的密钥对该Challenge进行加密处理并将处理后的信息返回设备端;设备端根据客户端返回的加密后的Challenge以及原始的Challenge进行比较判断,设备端完成对客户端的单项认证。

图1 IEEE 802.1X认证系统的EAP方式业务流程

 

为了提高WLAN服务的数据安全性,IEEE 802.1xIEEE802.11i中使用了EAPOL-Key的协商过程,设备端和客户端实现动态密钥协商和管理;同时通过802.1x协商,客户端PAE和设备端PAE协商相同的一个种子密钥PMK(参见IEEE802.11i),进一步提高了密钥协商的安全性。802.1x支持多种EAP认证方式,其中EAP-TLS为基于用户证书的身份验证。EAP-TLS 是一种相互的身份验证方法,也就是说,客户端和服务器端进行相互身份验证。在EAP-TLS 交换过程中,远程访问客户端发送其用户证书,而远程访问服务器发送其计算机证书。如果其中一个证书未发送或无效,则连接将终断。下图描述了EAP TLS认证方式过程:

 

图2 EAP TLS认证消息序列图

 

在无线局域网应用中,当EAP TLS认证成功时,客户端PAERadius服务器会对应产生公用的对称的Radius KeyRadius服务器会在认证成功消息中将Radius Key通知设备端PAE。客户端PAE和设备端PAE会根据该Radius Key,客户端MAC地址以及设备端MAC地址,产生种子密钥PMK以及对应的索引PMKID。根据IEEE802.11i协议定义的算法(本文档不再对该算法进行描述,可以直接参见相应的协议),设备端PAE和客户端PAE可以获得相同的PMK,该种子密钥将在密钥协商过程(EAPOL-Key密钥协商)中使用(具体的密钥协商随后将进行专门的介绍)。

2.2.2  MAC接入认证

MAC接入认证是另外一种接入认证方式。MAC接入认证主要为当设备端发现客户端的MAC地址为未知的MAC地址时,设备端会发起对客户端的MAC地址的认证。

MAC接入认证也使用Radius服务器对客户端进行认证。当MAC接入认证发现当前接入的客户端为未知客户端,会主动向Radius服务器发起认证请求。Radius服务器完成对该客户端的认证,并通知设备端认证结果以及相应的授权信息。MAC接入认证过程不需要客户端参与,MAC接入认证可以支持有线用户和WLAN用户。

无线局域网虽然没有明确采用MAC认证,当时在实际的无线局域网应用中,无线局域网会将MAC认证和其它的认证方式一起配合使用。例如,WPARSNWLAN网络,可以同时使用MAC接入认证可以和PSK认证(PSK认证过程逻辑上包含EAPOL-Key的密钥协商过程)。PSK认证完成密钥协商以及预共享密钥确认;而MAC接入认证除了实现MAC地址认证外,还可以实现对该用户的计费,授权。

2.2.3  PSK接入认证

PSK接入认证为IEEE802.11i定义的一种新的接入认证方式,该认证方式仅支持WLAN接入客户端。

PSK认证需要实现在客户端和设备端配置相同的预共享密钥,而具体的认证过程实际上在密钥协商过程(EAPOL-Key密钥协商过程)中完成。在密钥协商过程中,预共享密钥将作为输入生成密钥协商使用的PMK

可以通过是否能够对协商的消息成功解密,来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同,完成设备端和客户端的互相认证。

如果密钥协商成功,则表明PSK接入认证成功;如果密钥协商失败,则可以认为PSK接入认证失败。

WLAN应用中,PSK接入认证可以和MAC接入认证配置使用;但是对于一个客户端不能同时进行PSK接入认证和802.1x接入认证。在WLAN客户端和WLAN建立链路协商过程中,WLAN会为接入用户选择所使用的认证方式。这个在802.11用户接入过程的描述中,会给出相应的描述。

2.3  密钥协商

密钥协商为数据安全提供有力保障,为了实现WLAN数据的安全,IEEE802.11iIEEE 802.1X定义了EAPOL-Key密钥协商机制(也称4-Way Handshake),WLAN就是用该机制实现WLAN设备和WLAN客户端的密钥协商,协商出来的密钥将作为802.11数据传输过程中的加密/解密密钥。

对于支持WPARSN服务的WLAN,需要进行EAPOL-Key密钥协商。密钥协商过程在逻辑上可以看作接入认证的一部分,所以只有在EAPOL-Key密钥协商成功以后,接入认证才会打开端口,允许用户的报文通过。

WLAN密钥协商主要包括四次握手密钥协商和组密钥协商过程,这两种密钥协商都通过EAPOL-Key报文协商实现。WLAN客户端和WLAN设备端使用四次握手机制协商该客户端的单播数据报文使用的密钥,而WLAN设备端可以通过组密钥协商过程将广播和组播使用的密钥通知所有的WLAN客户端。

下图描述了四次握手密钥协商过程,该图只给出了关键参数描述,详细的处理请参见IEEE802.11i的描述:

第3章  H3C公司的WLAN服务

H3C公司在WLAN基本协议的基础上,结合H3C公司提供的端口安全策略(接入认证)提供各种安全级别的WLAN接入服务,用户可以根据具体网络需要定制所使用的WLAN接入服务。

H3C公司WLAN实现了RFC4118定义的多种WLAN架构:自治WLAN架构和集中管理WLAN架构。集中WLAN管理架构通过AC+AP的拓扑提供WLAN服务,而自治WLAN架构则采用单台设备提供WLAN服务(例如Fat AP或者无线路由器)。

3.1  集中管理WLAN架构

一般来说,集中管理WLAN架构适合于大中型网络(例如校园网,地铁等),由于WTP接入设备众多,覆盖面积广,集中架构有利于管理和集中控制。

H3C公司的WLAN已经支持的集中WLAN架构的Split MAC架构以及Tunnel数据转发模式:

1)      802.11的部分实时性不是特别强的功能将AC上实现(例如WLAN客户端的链路认证处理),其他功能在AP上实现;

2)      需要AC处理的802.11报文,可以通过CAPWAP隧道到AC处理;

3)      AP不进行本地数据转发,所有802.11数据报文都会通过CAPWAP直接隧道到ACAC将完成数据的转换和转发;

4)      AC对于发送到客户端的报文,首先需要完成报文的转换,然后将802.11数据报文通过CAPWAP隧道到AP,最后由AP通过空口发送给客户端。

下图给出了一个集中管理WLAN的组网。在该组网中,三台AC设备和多台AP设备构建了一个WLAN服务域。三台AC两两建立点对点的WLAN隧道连接,构建一个WLANAC组,所有的AP设备可以任意选择连接到其中的一台AC设备(例如AP1AP2可以选择连接到AC1AP3可以选择连接到AC2,而AP4AP5可以选择连接到AC3)。AP设备不需要进行任何的配置,通过从连接的AC上获取配置后开始提供WLAN接入服务。

图3 集中管理WLAN架构组网

 

根据网络服务需要,在不同的AP上可以提供不同的WLAN服务,一个WLAN服务也可以在多个AP上同时提供,甚至在一个AP上可以同时提供几个不同的WLAN服务,不同的WLAN可以选择不同的服务策略。如图所示,SSID1(蓝色的WLAN服务)可以为明文WLAN服务,而SSID2(红色的WLAN服务)则提供RSN WLAN服务。

WLAN客户端可以适当选择AP接入WLAN网络。如图所示,用户1选择SSID1WLAN服务通过AP1接入网络;用户2选择SSID2WLAN服务通过AP1接入网络;而用户3选择SSID2WLAN服务通过AP5接入WLAN网络。

3.2  自治WLAN架构

对于小型的网络,例如家庭使用或者小型公司使用,没有必要使用集中管理WLAN,可以直接采用自治WLAN架构。通常,可以使用一台设备实现自治WLAN,提供WLAN的接入服务,不但应用简单,而且可以节约大量的成本。

对于自治WLANH3C公司的WLAN也支持一台设备同时提供多个WLAN服务,而且不同的WLAN可以选择不同的服务策略。

下图给出了一个通过自治WLAN架构组建的一个WLAN网络。在该网络中,两个自治的AP提供WLAN的接入服务,所有的WLAN客户端可以通过这两个AP连接到WLAN网络,并最终访问Internet。在该网络中,AP1提供两个WLAN接入服务,其中SSID1提供明文WLAN接入服务,而SSID2则提供RSN WLAN服务;AP2也提供两个WLAN接入服务,其中SSID2提供RSN WLAN接入服务,而SSID3则提供WPA WLAN服务。

由于AP1AP2同时提供SSID2的接入服务,用户1可以同时发现AP1AP2提供的服务,用户1根据网络信号情况可以选择接入到AP1SSID2WLAN网络中;而用户2只能通过AP2接入到SSID3WLAN网络中。

 

图4 自治WLAN架构组网

 

3.3  WLAN接入认证

WLAN密切相关的接入认证(包含EAPOL-Key密钥协商过程),可以提供下面的四种接入认证组合:

1.         802.1x 认证(包含EAPOL-Key密钥协商)

2.         PSK认证(包含EAPOL-Key密钥协商)

3.         MAC认证+PSK认证(包含EAPOL-Key密钥协商)

4.         802.1x 认证(包含EAPOL-Key密钥协商)或者PSK认证(包含EAPOL-Key密钥协商)

特别对于第四种接入认证组合,其实是第一种和第二种接入认证的组合;WLAN设备端可以选择使用PSK认证,也可以选择802.1x认证对WLAN客户端进行接入认证。

对于根据前面接入认证组合,H3C公司的WPARSNWLAN服务可以支持对WLAN客户端支持三种接入认证方式。在进行802.11链路协商的过程中,WLAN会根据用户的参数以及自身接入认证的配置为用户选择一种接入认证方式:

1.         802.1x认证(包含EAPOL-Key密钥协商)

2.         PSK认证(包含EAPOL-Key密钥协商)

3.         MAC认证+PSK认证(包含EAPOL-Key密钥协商)

 

3.4  WLAN服务的数据安全

WLAN相对于有线网络,存在着天生的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。

802.11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前H3CWLAN支持四种安全服务:

1.         明文数据:该种服务本质上为无安全保护的WLAN服务,这里也将其作为一种安全服务进行介绍。该种服务在IEEE802.11协议中定义,所有传输的数据报文都是没有通过加密处理的。

2.         WEP安全保护:该种服务使用WEP加密机制,致力于获得与基本的有线网络同等的安全。该种服务也在IEEE802.11协议中定义,所有传输的数据报文都是通过WEP机制进行加密处理。

3.         TKIP安全保护:该服务主要使用TKIP加密机制实现对数据报文的安全保护,该安全机制主要在WPA相关协议中定义。TKIP加密机制除了提供数据的加密处理,还提供了MICCountermeasure功能实现对WLAN服务的安全保护。TKIPWEP虽然使用了相同的RC4加密算法,但是在整个机制上TKIP能够提供比WEP更高的安全性。

4.         CCMP安全保护:该服务主要使用CCMP加密机制对数据报文进行保护,该安全机制在IEEE802.11i中定义。CCMP机密机制采用了更安全的对称加密算法AES,是目前WLAN支持的最安全的数据报文保护机制。

H3CWLAN不但可以提供上面四种安全服务,而且可以提供上面四种安全服务的组合服务。例如,在一个WLAN服务中,部分用户可以使用TKIP加密机制,而其他的RSN用户可以选择使用CCMP加密机制。

3.5  WLAN接入服务

H3C公司WLAN不但提供了基本WLAN接入服务,而且可以根据不同应用环境以及相应特点,提供不同需求的WLAN接入服务。

3.5.1  明文WLAN服务

明文WLAN服务是一种没有数据安全保护的WLAN服务,采用明文数据安全策略。WLAN设备端对提供的服务进行如下的设置:

1.         使能OSA链路认证;

2.         不能使能其他的WLAN的安全策略配置,例如RSNWPA等等;

3.         可以选择对该WLAN服务进行接入认证(认证策略和有线用户相同)。

明文WLAN服务是WLAN协议定义最早的服务之一,为了避免用户的在其它WLAN安全服务中提供该种服务而造成对网络的安全威胁。H3C将明文WLAN服务作为一种独立的服务,在配置上进行限制不能和其他的安全服务混合使用,WLAN客户端不能选择其他的链路认证方式。

下图明文WLAN服务只能允许明文的无线终端用户接入;对于选择其他方式的无线终端用户,WLAN将拒绝提供接入服务。如下图只有用户1可以成功接入到AP提供的WLAN服务中,其他三个用户都无法访问该WLAN服务。

 

对于明文WLAN服务,接入认证和WLAN为两个独立的特性功能,可以根据需要选择是否对明文接入的WLAN客户端进行接入认证。

如果没有选择接入认证,当WLAN客户端成功和WLAN设备端完成链路认证和链路服务协商,WLAN客户端就可以成功的访问WLAN网络了。如果使能了接入认证,则接入认证会控制只有通过接入认证的WLAN客户端才允许访问WLAN网络,否则所有的WLAN客户端的数据报文将被丢弃。

 

3.5.2  WEP加密WLAN服务

WEP加密WLAN服务提供了对于数据报文的安全保护,使用WEP加密机制对WLAN客户端和WLAN设备端的数据进行保护。

WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。WEP加密机制采用RC4算法(一种流加密算法),最初WLAN仅支持WEP40WEP40算法的密钥长度仅为64bits),当前WLAN还可以支持WEP104WEP104算法的密钥长度仅为128bits)。但是一个WLAN服务只能允许使用WEP40或者WEP104,两种算法不能同时使用。

虽然WEP104在一定程度上提高了WEP加密的安全性,但是受到RC4加密算法以及静态配置密钥的限制,WEP加密还是存在比较大的威胁。例如如果一个WLAN客户端发生遗失,会造成整个网络的安全漏洞。

提供WEP加密机制的WLAN的服务时,WLAN可以选择另外一种链路认证算法(Shared Key认证)实现对802.11链路的安全性保护。另外,WEP加密WLAN服务可以和普通的接入认证配合使用。

提供WEP加密WLAN用户接入服务(进行Shared Key链路认证),需要进行如下的设置:

1.         使能Shared Key链路认证;

2.         使能WEP40加密算法或者WEP104加密算法;

3.         可以选择对该WLAN服务的用户进行接入认证

下图WEP加密WLAN服务只能允许使用WEP加密的无线终端用户接入;对于选择明文方式,WPA方式或者RSN方式的无线终端用户,WLAN将拒绝提供接入服务。如下图只有用户2可以成功接入到AP提供的WLAN服务中,其他三个用户都无法访问该WLAN服务。

对于WEP加密WLAN服务,和明文WLAN服务相同,可以选择是否对接入的WLAN客户端进行接入认证。

如果没有选择接入认证,当WLAN客户端成功和WLAN设备端完成链路认证和链路服务协商,WLAN客户端就可以成功的访问WLAN网络了。如果使能了接入认证,则接入认证会控制只有通过接入认证的WLAN客户端才允许访问WLAN网络,否则所有的WLAN客户端的数据报文将被丢弃。

3.5.3  WPA WLAN服务

WPA WLAN服务最初在RSN服务(IEEE802.11i协议)之前提出,主要使用TKIP加密机制实现对WLAN数据报文的安全保护,在一定程度上解决了WEP加密机制的一些弱点。例如,WPA可以通过密钥协商机制,为每一个用户协商特定的密钥。

随着技术的发展,当IEEE802.11i提出了CCMP加密机制以后,对于WPAWLAN服务在加密机制上也进行了扩展,进而可以支持CCMP加密机制。

H3C公司的WPA WLAN可以支持TKIP加密机制和CCMP加密机制,而且可以兼容WEP加密机制(组播和广播可以使用WEP加密机制进行保护),但是WPA WLAN服务必须指定TKIP加密机制或者CCMP加密机制。

TKIPWEP加密机制都是使用RC4算法,但是TKIP加密机制相比WEP加密机制可以为WLAN服务提供更加安全的保护。首先,TKIP通过增长了算法的IV长度提高了WEP加密的安全性;其次,TKIP支持密钥的动态协商,解决了WEP加密需要静态配置密钥的限制 ;另外,TKIP还支持了MIC认证和Countermeasure功能。

WPA WLAN服务必须和接入认证配合使用,可以和“接入认证组合”中的任何一个配合使用。也就是WLAN可以支持“接入认证组合”中描述的三种接入认证方式。

WPA WLAN可以支持上面两种加密机制和四种“接入认证组合”的混合使用,WLAN客户端可以选择任何一种支持的加密机制和接入认证方式访问WLAN网络。

WLAN提供WPA用户接入服务,需要进行如下的设置:

1.         必须使能OSA链路认证;

2.         必须使能WPA功能;

3.         必须配置一种“接入认证组合”,例如802.1x认证(包括EAPOL-Key密钥协商);

4.         必须指定数据加密机制,例如TKIP或者CCMP;

下图WPA WLAN服务只允许WPA的无线终端用户接入,对于选择明文方式,WEP加密或者RSN方式的无线终端用户,WLAN将拒绝提供接入服务;而WPA客户端可以选择TKIP加密机制或者CCMP加密机制;另外对于WPA无线客户端,WLAN可以选择任何一种“接入认证方式”对客户端进行认证。用户3和用户4都是WPA用户,分别选择使用TKIP加密机制和CCMP加密机制,两个用户都可以成功的接入WLAN服务;但是WLAN服务将拒绝其他的用户接入。

3.5.4  RSN WLAN服务

IEEE802.11i定义了RSN WLAN服务,该WLAN采用了CCMP加密机制,使用比RC4更加安全的AES加密算法,首先在算法上解决了前面提到的加密机制的弱点。

CCMP加密机制需要和密钥协商以及接入认证配置使用。接入认证对WLAN客户端进行认证,计费以及授权,并且可以为密钥协商提供共享的种子密钥PMK(特别802.1x接入认证可以使用非对称机制为WLAN客户端和设备端提供PMK,保证种子密钥的安全性);密钥协商不但完成了对于输入种子密钥的认证过程,而且为后续的链路数据报文的安全保护提供对应的密钥;最后WLAN采用CCMP加密机制对所有的数据报文进行加密保护。

RSN WLAN可以兼容TKIPWEP加密机制,例如,RSN WLAN可以采用TKIP加密机制,对于广播和组播报文也可以采用WEP加密机制;但是RSN WLAN服务必须指定TKIP加密机制或者CCMP加密机制。

RSN WLAN服务必须和接入认证配合使用,可以和“接入认证组合”中的任何一个配合使用。也就是WLAN可以支持“接入认证组合”中描述的三种接入认证方式。

RSN WLAN可以支持上面两种加密机制和四种“接入认证组合”的混合使用,WLAN客户端可以选择任何一种支持的加密机制和接入认证方式访问WLAN网络。

WLAN提供WPA用户接入服务,需要进行如下的设置:

1.         必须使能OSA链路认证;

2.         必须使能RSN功能;

3.         必须配置一种“接入认证组合”,例如802.1x认证(包括EAPOL-Key密钥协商);

4.         必须指定数据加密机制,例如TKIP或者CCMP;

下图RSN WLAN服务只允许RSN的无线终端用户接入,对于选择明文方式,WEP加密或者WPA方式的无线终端用户,WLAN将拒绝提供接入服务;而RSN客户端可以选择TKIP加密机制或者CCMP加密机制;另外对于RSN无线客户端,WLAN可以选择任何一种“接入认证方式”对客户端进行认证。用户4和用户5都是RSN用户,分别选择使用TKIP加密机制和CCMP加密机制,两个用户都可以成功的接入WLAN服务;但是WLAN服务将拒绝其他的用户接入。

3.5.5  WPARSN组合WLAN服务

上面介绍了H3C公司WLAN提供的四种基本的接入服务,在这些接入服务的基础上,WLAN可以为一个WLAN服务提供多种类型的用户接入。即在一个WLAN服务中,既支持WPA的用户接入,又支持RSN的用户接入。例如,WLAN设备端可以进行如下的配置:

1.         必须使能OSA链路认证;

2.         使能RSN功能;

3.         使能WPA功能

4.         必须配置一种“接入认证组合”,例如802.1x认证(包括EAPOL-Key密钥协商);

5.         必须指定数据加密机制,例如TKIPCCMP;

则该WLAN服务可以支持WLAN客户端采用如下的方式接入网络:

1.         使用OSA链路认证,选择WPA功能,采用TKIP加密算法以及802.1x接入认证;

2.         使用OSA链路认证,选择WPA功能,采用CCMP加密算法以及802.1x接入认证;

3.         使用OSA链路认证,选择RSN功能,采用TKIP加密算法以及802.1x接入认证;

4.         使用OSA链路认证,选择RSN功能,采用CCMP加密算法以及802.1x接入认证;

下图WLAN服务可以同时允许RSNWPA的无线终端用户接入,对于选择明文方式,WEP加密无线终端用户,WLAN将拒绝提供接入服务;RSN或者WPA客户端可以选择TKIP加密机制或者CCMP加密机制;另外WLAN可以选择任何一种“接入认证方式”对客户端进行认证。用户3 WPA用户,选择使用TKIP加密机制可以成功的接入WLAN服务;用户4和用户5都是RSN用户,分别选择TKIP加密机制和CCMP加密机制,两个用户也都可以成功的接入WLAN服务;但是WLAN服务将拒绝用户1(采用明文方式接入)和用户2(采用WEP加密机制)接入网络。

第4章  H3C公司WLAN的优势

H3C公司WLAN方案可以提供各种的接入服务以及灵活的服务应用组合,可以适应各种网络需要。

H3C公司的WLAN完全实现了IEEE802.11协议以及WPA规定的接入服务以及服务的安全特性,而且可以配合H3C公司的端口安全特性使用,提供更安全的接入保护。

随着WLAN技术的不断发展,H3C公司WLAN将不断提供更安全,更方便,更实用的WLAN接入服务。