WLAN技术
有线以太网技术的发展可以说是走到了一个拐点了,相信近几年都不会有太多变化,毕竟10Gbps的速率已能满足目前几乎所有的网络应用需求了。目前在这方面的变化是千兆以太网和万兆以太网技术的应用普及和设备价格的进一步下调。相反,刚刚步入实质应用的WLAN无线网络目前正处于高速发展时期。
在WLAN新技术领域,主要表现在接入标准和网络安全标准两个方面。在接入标准领域,目前主流的接入标准就是几年前颁布的IEEE 802.11g,它可以提供54Mbps的接入速率,同时兼容于早期的IEEE 802.11b和IEEE 802.11a。目前一种最新的接入标准——IEEE
802.11n正在研发之中,根据媒体报道,IEEE802.11n工作小组(Working Group)于去年1月中举行的例行会议中,正式投票通过802.11n第二版草案标准(Draft 2.0),而根据802.11n标准制定进度预估,IEEE 802.11n标准将会在2008年第三季确立。另一方面,WLAN的安全技术也在发生变化,新的安全标准IEEE
802.11i将使WLAN网络通信更加安全。这些新标准的详细介绍请参见我的《网管员必读——网络基础》(第2版)一书。
在WLAN新技术领域,主要表现在接入标准和网络安全标准两个方面。在接入标准领域,目前主流的接入标准就是几年前颁布的IEEE 802.11g,它可以提供54Mbps的接入速率,同时兼容于早期的IEEE 802.11b和IEEE 802.11a。目前一种最新的接入标准——IEEE
802.11n正在研发之中,根据媒体报道,IEEE802.11n工作小组(Working Group)于去年1月中举行的例行会议中,正式投票通过802.11n第二版草案标准(Draft 2.0),而根据802.11n标准制定进度预估,IEEE 802.11n标准将会在2008年第三季确立。另一方面,WLAN的安全技术也在发生变化,新的安全标准IEEE
802.11i将使WLAN网络通信更加安全。这些新标准的详细介绍请参见我的《网管员必读——网络基础》(第2版)一书。
1. IEEE 802.11n
IEEE 802.11n采用OFDM(正交频分复用)
和MIMO(多进多出)技术。MIMO是指在发射端和接收端,分别使用多个发射天线和接收天线。传统的通信系统是单进单出SISO(Single-Input Single-Output)系统。
IEEE 802.11n标准可以提供高达300Mbps的接入速率,通过技术改进,还可以达到更高速率,如600Mbps。而且目前已有相关产品上市,如Atheros于去年1月24日在美国上市的AR5008芯片组,去年2月23日SiGe推出全球第一款专为符合11n草案规格的Wi-Fi产品而设计的完整无线射频(RF)前端模组,型号为SE2545A10。网件公司早在去年4月5日就提前正式向全球市场发售基于802.11n标准草案的RangeMax
NEXT系列产品了,英特尔于当地时间今年1月23日在美国发布了笔记本用内置IEEE 802.11n无线网络模块。它们都支持300Mbps(实际性能可能约为60%),是IEEE 802.11g的8~9倍。DELL也推出了业界第一款支持IEEE 802.11n标准的笔记本电脑Latitude
D420。
和MIMO(多进多出)技术。MIMO是指在发射端和接收端,分别使用多个发射天线和接收天线。传统的通信系统是单进单出SISO(Single-Input Single-Output)系统。
IEEE 802.11n标准可以提供高达300Mbps的接入速率,通过技术改进,还可以达到更高速率,如600Mbps。而且目前已有相关产品上市,如Atheros于去年1月24日在美国上市的AR5008芯片组,去年2月23日SiGe推出全球第一款专为符合11n草案规格的Wi-Fi产品而设计的完整无线射频(RF)前端模组,型号为SE2545A10。网件公司早在去年4月5日就提前正式向全球市场发售基于802.11n标准草案的RangeMax
NEXT系列产品了,英特尔于当地时间今年1月23日在美国发布了笔记本用内置IEEE 802.11n无线网络模块。它们都支持300Mbps(实际性能可能约为60%),是IEEE 802.11g的8~9倍。DELL也推出了业界第一款支持IEEE 802.11n标准的笔记本电脑Latitude
D420。
2. WLAN安全技术
早期基本的无线局域网安全技术包括:
u 无线网卡物理地址过滤:每个无线工作站网卡都由唯一的物理地址标示,该物理地址编码方式类似于以太网物理地址,是48位。网络管理员可在无线局域网访问点AP中手工维护一组允许访问或不允许访问的MAC地址列表,以实现物理地址的访问过滤。
u 服务区标识符(SSID)匹配:无线工作站必须出示正确的SSID,与无线访问点AP的SSID相同,才能访问AP;如果出示的SSID与AP的SSID不同,那么AP将拒绝它通过本服务区上网。因此可以认为SSID是一个简单的口令,从而提供口令认证机制,实现一定的安全。在无线局域网接入点AP上对此项技术的支持就是可不让AP广播其SSID号,这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。
u WEP加密采用静态的保密密钥,各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能,当加密机制功能启用,客户端要尝试连接上AP时,AP会发出一个Challenge Packet给客户端,客户端再利用共享密钥将此值加密后送回存取点以进行认证比对,如果正确无误,才能获准存取网络的资源。现在的WEP也一般支持128位的钥匙,提供更高等级的安全加密。
在802.11i或者说WPA之前的安全解决方案:
在802.11i或者说WPA之前的安全解决方案:
u 端口访问控制技术(IEEE802.1x)和可扩展认证协议(EAP):该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后,是否可以使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为无线工作站打开这个逻辑端口,否则不允许用户上网。
IEEE 802.1x标准要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。现主流的PC机操作系统Windows XP
以及Windows 2000都已经有IEEE 802.1x的客户端功能。
IEEE 802.1x标准要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的认证信息转发给Radius服务器。现主流的PC机操作系统Windows XP
以及Windows 2000都已经有IEEE 802.1x的客户端功能。
u 无线客户端二层隔离技术:在电信运营商的公众热点场合,为确保不同无线工作站之间的数据流隔离,无线接入点AP也可支持其所关联的无线客户端工作站二层数据隔离,确保用户的安全。
u VPN-Over-Wireless技术:目前已广泛应用于广域网络及远程接入等领域的VPN(Virtual Private Networking)安全技术也可用于无线局域网域,与IEEE802.11b标准所采用的安全技术不同,VPN主要采用DES,3DES以及AES等技术来保障数据传输的安全。对于安全性要求更高的用户,将现有的VPN安全技术与IEEE802.11b安全技术结合起来,这是目前较为理想的无线局域网络的安全解决方案之一。
u WPA (Wi-Fi
保护访问) 技术:在IEEE 802.11i 标准最终确定前,WPA(Wi-Fi Protected Access)技术是在2003年正式提出并推行的一项无线局域网安全技术,将成为代替WEP的无线
WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。WPA在WEP的基础之上为现有的无线局域网设备大大提高了数据加密安全保护和访问认证控制。为了更好地支持用户对WPA的实施,WPA针对中小办公室/家庭用户推出了WPA-PSK、而针对企业用户则采用完整的WPA-Enterprise的形式。WPA是完全基于标准的并且在现有已存的大量无线局域网硬件设备上只需简单地进行软件升级便可完成,并且也能保证兼容将来要推出的IEEE
802.11i安全标准。
保护访问) 技术:在IEEE 802.11i 标准最终确定前,WPA(Wi-Fi Protected Access)技术是在2003年正式提出并推行的一项无线局域网安全技术,将成为代替WEP的无线
WPA是IEEE802.11i的一个子集,其核心就是IEEE 802.1x和TKIP。WPA在WEP的基础之上为现有的无线局域网设备大大提高了数据加密安全保护和访问认证控制。为了更好地支持用户对WPA的实施,WPA针对中小办公室/家庭用户推出了WPA-PSK、而针对企业用户则采用完整的WPA-Enterprise的形式。WPA是完全基于标准的并且在现有已存的大量无线局域网硬件设备上只需简单地进行软件升级便可完成,并且也能保证兼容将来要推出的IEEE
802.11i安全标准。
u IEEE 802.11i
为了进一步加强无线网络的安全性和保证不同厂家之间无线安全技术的兼容, IEEE802.11工作组于2004年6月份正式批准了新的安全标准——IEEE 802.11i。
IEEE 802.11i定义了一个新概念——固安网路(Robust Security Networks, RSN)。RSN是指无线局域网内设备之间的连线发起(creation)必须是经过固安网路连线(Robust Security Networks Associations, RSNA)程序完成的。也就是说,RSNA是定义一组程序(process),包括验证(authentication)、加密(encryption)协定以及金钥管理(key
management)。IEEE 802.11i固安网路连线RSNA定义的三项主要元件包含验证(authentication)、加密(encryption)以及金钥管理(key management),三者是一连串相辅相成的程序,缺一不可。
验证(Authentication):IEEE 802.11i所定义的验证方式是采用802.1X/EAP的架构。这样的架构之下,必须有三种角色,分别是请求者(supplicant)、验证者(authenticator)以及验证服务器。这里的验证是指更为严谨的验证方式,而不是802.11里的开放系统验证(open-
system authentication)和共享金钥验证(shared- key authentication)。
management)。IEEE 802.11i固安网路连线RSNA定义的三项主要元件包含验证(authentication)、加密(encryption)以及金钥管理(key management),三者是一连串相辅相成的程序,缺一不可。
验证(Authentication):IEEE 802.11i所定义的验证方式是采用802.1X/EAP的架构。这样的架构之下,必须有三种角色,分别是请求者(supplicant)、验证者(authenticator)以及验证服务器。这里的验证是指更为严谨的验证方式,而不是802.11里的开放系统验证(open-
system authentication)和共享金钥验证(shared- key authentication)。
加密(encryption):IEEE 802.11i设计了一个”半新”和全新的加密协议,分别是TKIP(暂时密钥完整性协议)和CCMP(CBC-MAC
计数模式协议)。TKIP是一种数据保密协议,可用于提高 WEP 产品的安全性。TKIP
使用了一种叫做 Michael 的消息完整性代码,它支持设备验证数据包是否来自所需的数据源。TKIP
还使用了一种复合功能来挫败易解密钥攻击,否则利用这种攻击,攻击者能够对所传输的信息进行解码。
TKIP协议只保留了原来WEP所使用的加密引擎RC4和基本架构,其目的是为了要使TKIP能够相容于支援WEP的硬体,以便于使用者日后升级。事实上TKIP原本被称为WEP2,但由于WEP经证实存在瑕疵,为了能与WEP有所区隔,因此更名为TKIP。
CCMP也是一种数据保密协议,可处理数据包的身份验证和加密。对于加密,CCMP 在计数模式下采用了 AES
的算法;对于身份验证和完整性,CCMP 使用了密码分组链接 - 报文鉴别代码(CBC-MAC)。在 IEEE 802.11i
标准中,CCMP 使用了128位的密钥。
计数模式协议)。TKIP是一种数据保密协议,可用于提高 WEP 产品的安全性。TKIP
使用了一种叫做 Michael 的消息完整性代码,它支持设备验证数据包是否来自所需的数据源。TKIP
还使用了一种复合功能来挫败易解密钥攻击,否则利用这种攻击,攻击者能够对所传输的信息进行解码。
TKIP协议只保留了原来WEP所使用的加密引擎RC4和基本架构,其目的是为了要使TKIP能够相容于支援WEP的硬体,以便于使用者日后升级。事实上TKIP原本被称为WEP2,但由于WEP经证实存在瑕疵,为了能与WEP有所区隔,因此更名为TKIP。
CCMP也是一种数据保密协议,可处理数据包的身份验证和加密。对于加密,CCMP 在计数模式下采用了 AES
的算法;对于身份验证和完整性,CCMP 使用了密码分组链接 - 报文鉴别代码(CBC-MAC)。在 IEEE 802.11i
标准中,CCMP 使用了128位的密钥。
CCMP 可以保护那些没有加密的数据领域。IEEE 802.11 数据帧中其它受保护的部分被称为额外验证数据(AAD)。AAD
包括数据包的源地址和目的地址,它可以防范攻击者将数据包向不同的目的地址反复传播。
IEEE 802.1x:向受保护的网络提供了一个有效的身份验证和用户通信管理的框架,同时还能动态地改变密钥。IEEE 802.1x
在有线和无线局域网媒介中都捆绑了可扩展身份验证协议(EAP),并支持多重身份验证。
EAP 局域网封装(EAPOL):它是 IEEE 802.1x
中关键通信过程的重要协议。在 IEEE 802.11i 协议中描述了 EAPOL
的两个重要的通信过程。第一个被称为四次握手;第二个被称为组密钥握手。
金钥管理(key management) :IEEE 802.11i定义的金钥管理包括了金钥阶层(key hierarchy)、无线网路设备间(例如无线网路装置和AP)如何协商出金钥、金钥的衍生(derivation)以及金钥的配送(distribution)等。
包括数据包的源地址和目的地址,它可以防范攻击者将数据包向不同的目的地址反复传播。
IEEE 802.1x:向受保护的网络提供了一个有效的身份验证和用户通信管理的框架,同时还能动态地改变密钥。IEEE 802.1x
在有线和无线局域网媒介中都捆绑了可扩展身份验证协议(EAP),并支持多重身份验证。
EAP 局域网封装(EAPOL):它是 IEEE 802.1x
中关键通信过程的重要协议。在 IEEE 802.11i 协议中描述了 EAPOL
的两个重要的通信过程。第一个被称为四次握手;第二个被称为组密钥握手。
金钥管理(key management) :IEEE 802.11i定义的金钥管理包括了金钥阶层(key hierarchy)、无线网路设备间(例如无线网路装置和AP)如何协商出金钥、金钥的衍生(derivation)以及金钥的配送(distribution)等。