WLAN的应用与技术标准的完善之间形成了良好的互动,本文从当前用户业务需求重点关注的带宽、无线安全、WLAN集中管理等方面,介绍IETF和IEEE在相关领域的进展,重点介绍11n,802.11i,WAPI,CAPWAP等标准。同时,介绍业界厂商对于这些标准的支持与创新。
文/ 史扬
概述
WLAN技术所具有的移动性、便捷性、较高的带宽等特点,以及大规模的产业化和低成本等诸多优势,使WLAN市场能够短短数年内得到了大规范发展。今天从家庭娱乐终端、移动便携、手机终端到企业各种应用,WLAN应用的身影无处不在。据统计,2008年全球销售了3亿8千多万颗WLAN芯片,较2007年增长了26%。巨大的增长让业界在期待着WLAN芯片销售能够在不远的将来达到惊人的每年10亿颗。
WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。WLAN技术标准主要由IEEE 802.11工作组负责制定。第一个802.11协议标准诞生于1997年并于1999年完成修订。随着WLAN早期协议暴露的安全缺陷,由于用户应用不断地呼唤着更高的吞吐,以及企业等应用对可管理性的要求,IEEE 802.11工作组陆续地推出了802.11a、802.11b、802.11g、802.11i、802.11e、802.11n、802.11k等大量标准。此外,IETF的CAPWAP工作组还制定了无线AP的相关管理标准。
我们可以从无线安全、吞吐提高、可管理等方面对WLAN相关标准的发展进行如下分类:
• 无线吞吐提高
从传统的11a/b/g发展到最新的11n标准,物理层最高吞吐从54Mbps提高到了600Mbps。
• 实现无线安全
为了解决802.11标准中WEP等安全机制的缺陷,IEEE 802.11i工作组提出了802.11i标准。此外,中国制定了WAPI标准,目前正在申请成为国际标准。无论802.11i还是WAPI,都是为了保障用户无线数据的安全。802.11协议报文(管理报文)也是安全的重要环节,IEEE 802.11w工作组负责制定管理报文安全。
• 提高无线可管理性
WLAN大规模部署、Voice Over WLAN等需求对无线资源和无线终端管理提出了更高要求,为此IEEE 成立了802.11k和802.11v工作组。此外,为了简化大量AP设备部署时的操作成本,IETF成立了CAPWAP工作组以制定相关标准。
• 其它标准
为了满足Voice Over WLAN等业务对Qos、快速漫游的要求,IEEE成立了802.11e、802.11r工作组。为了标准化基于WLAN的mesh网络技术,IEEE成立了802.11s工作组。
谈到IEEE 802.11工作组的相关标准,就必然谈到Wi-Fi联盟。IEEE 802.11主要关注的是技术标准和协议接口,并没有限制协议的具体实现,所以即使各厂家基于相同协议标准开发,仍然存在互通风险。802.11标准的产品化、产业化需要一个组织来推动,产品互通性需要一个组织来认证,这些需求促进了Wi-Fi联盟的诞生。Wi-Fi联盟参考IEEE 802.11标准制定了大量认证标准。比如,参考802.11i协议,Wi-Fi联盟制定了WPA/WPA2认证标准;参考802.11e协议,制定了WMM认证标准。Wi-Fi联盟的存在极大地推动了WLAN产业化。
标准组简介
本文将重点介绍IETF CAPWAP工作组、802.11n、802.11i、WAPI等协议标准。
1. IETF CAPWAP工作组
在企业中大量部署AP时,对这些AP升级软件、设置发射功率等管理工作将给用户带来很高的操作成本。2002年左右,WLAN在企业等应用发展出现了新的趋势:瘦AP架构。即通过无线控制器(AC)来管理多个AP,AP和AC间采用某种隧道协议进行通讯,无线接入报文的处理在AP和AC间分担实现。而传统的AP由于在一个AP上实现了所有无线接入等功能,所以被称为胖AP(FAT AP)。
图1:瘦AP架构
为了解决隧道协议不兼容问题造成的A厂家的AP和B厂家的AC无法进行互通,IETF在2005年成立了CAPWAP工作组以标准化AP和AC间的隧道协议。该协议主要功能包括了:AP自动发现AC,AC对AP进行安全认证,AP从AC获取软件映像,AP从AC获得初始和动态配置等。此外,系统可以支持本地数据转发和集中数据转发。瘦AP架构让AC具有了对整个WLAN网络的完整视图,为无线漫游、无线资源管理等业务功能的实现提供了基础。
作为隧道协议的一个重要设计目标,它希望能够承载多种无线接入技术,如802.11和802.16。所以工作组协议包括了两部分:CAPWAP协议和无线binding协议。CAPWAP协议(RFC5415,2009年4月发布)作为通用隧道协议,完成了AP发现AC等基本协议功能,和具体的无线接入技术无关。目前工作组只提供了802.11的binding协议(RFC5416,2009年4月发布),以支持802.11网络的配置管理功能。
目前,包括H3C在内的多个厂家已经将支持CAPWAP相关协议列入产品下一步开发计划。H3C的技术专家作为第一作者起草了CAPWAP协议的MIB草案和802.11 binding协议的MIB草案。创新地提出了虚拟无线口的概念,实现了在瘦AP架构下完全可以重用IEEE 802.11工作组(包括802.16等)已有的面向胖AP架构的MIB标准,很好地促进了IEEE标准在瘦AP架构的演进。目前两篇工作组草案处于WGLC阶段,预计年内作为RFC发布。
2. IEEE 802.11n工作组
随着YouTube、无线家庭媒体网关、企业Voip Over WLAN等应用的不断涌现,对WLAN技术提出了越来越高的带宽要求,802.11a/b/g这些传统技术已经无法支撑新的业务需求,IEEE 802.11工作组意识到支持高吞吐将是WLAN技术发展历程的关键点。基于IEEE HTSG (High Throughput Study Group)前期的技术工作,于2003年成立了Task Group n (TGn)。N表示Next Generation,核心内容就是通过物理层和MAC层的优化来充分提高WLAN技术的吞吐。由于802.11n涉及了大量的复杂技术,标准过程中又涉及了大量的设备厂家,所以整个标准制定过程历时漫长,预计2009年末才可能会成为标准。相关设备厂家早已无法耐心等待这么漫长的标准化周期,纷纷提前发布了各自的11n产品。为了确保这些产品的互通性,Wi-Fi联盟基于IEEE 2007年发布的802.11n草案的2.0版本制定了11n产品认证规范,以帮助11n技术能够快速产业化。
802.11n首要的任务是提高吞吐,通过结合物理层的多项技术,包括提供多条空间流(SDM)的MIMO技术来实现多条数据流并发、通过绑定两个20MHz带宽(即40MHz)来提高物理频宽、采用了MIMO-OFDM并提供了更多的子载频等,从而将物理层吞吐提高到300Mbps。如果仅仅提高物理层的速率,而没有对空口访问等MAC协议层的优化,802.11n的物理层优化将无从发挥,所以802.11n对MAC采用了Block确认、帧聚合等技术,大大提高了MAC层的效率。
802.11n对用户应用的另一个重要收益是无线覆盖的改善。由于采用了多天线技术,无线信号(对应同一条空间流)将通过多条路径从发送端到接收端,从而提供了分集效应。在接收端采用一定方法对多个天线收到信号进行处理,就可以明显改善接收端的SNR,即使接受端较远时,也能获得较好的信号质量,从而间接提高了信号的覆盖范围。典型的技术包括了MRC等。
除了吞吐和覆盖的改善,11n技术还有一个重要的功能就是要兼容传统的802.11 a/b/g,以保护用户已有的投资。
目前,Cisco、H3C和Aruba公司已经在全球率先发布了面向企业级和运营级市场的802.11n产品。
3. IEEE 802.11i工作组
802.11标准定义了WEP安全机制,WEP本意是“等同有线的安全”。WEP采用RC4流加密算法,为避免加密key的重复使用,WEP引入了24位的IV。对于24位的IV, 5000个报文后就有50%的机率出现重复的IV。2001年8月,Scott Fluhrer, Itsik Mantin 和 Adi Shamir 公开了对WEP的分析报告,展示了完全可能在1分钟内完成对WEP的破解。除了加密算法的瑕疵,WEP没有提供出有效的密钥管理机制,密钥完全是静态配置,非常不适合在企业等大规模部署场景。此外,WEP的共享密钥认证机制也是漏洞百出。总之,WEP机制无论在加密强度、用户认证、数据完整性和密钥管理方面都存在这大量的安全漏洞。
面对诸多的WEP安全漏洞,IEEE 802.11在2002年迅速成立了802.11i工作组,以解决WEP的上述问题。考虑到企业等规模部署应用需要扩展性很好的安全管理机制,工作组采用了802.1x、Radius体系来完成接入用户的身份认证。无论802.1x还是Radius体系都早已广泛部署并获得了业界的认可,同时支持灵活的扩展,提供了EAP-TLS、EAP-TTLS、EAP-PEAP等大量认证方法来灵活满足各种部署要求。所以,802.11i工作组只需要关注无线空口的安全,包括提高数据报文的加密强度、确保数据报文完整性、实现加密密钥的动态协商。EAP认证过程既完成了用户身份的认证,又协商出了Master key,基于后者可以计算出PMK。由于PMK只被WLAN终端和Radius server所知道,而802.11i的密钥协商过程并不需要Radius Server参与,所以Radius Server需要将该PMK传递给WLAN设备。WLAN设备和WLAN终端通过交换随机数等参数完成数据加密密钥的动态协商,PMK被用于帮助密钥协商,但是不在WLAN设备和WLAN终端之间传递(为了安全),整个过程由于涉及4次握手报文,所以一般称为4次握手。4次握手结束后,将协商出用于单播密钥加密的PTK和用于组播加密的GTK。PTK和GTK都是临时的,满足一定条件(如时间)就会重新动态协商。 对于数据加解密, 802.11i使用了AES-CCM和TKIP算法。
图2:Radius和802.11i认证过程
考虑到家庭等用户不需要部署Radius来完成用户身份认证,所以802.11i还定义了预共享密钥来让用户直接在WLAN设备和无线终端上配置PMK。此外,为了确保兼顾漫游的安全和快速性,802.11i还定义了key cache和预认证机制。
4. 中国WAPI标准
针对WLAN安全问题,中国制定了自己的WLAN安全标准:WAPI。
与其他无线局域网安全机制(如802.11i)相比,WAPI主要的差别体现在以下几个方面:
• 双向身份鉴别
在WAPI安全体制下,无线客户端和WLAN设备二者处于对等地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可防止假冒的无线客户端接入WLAN网络,同时也可杜绝假冒的WLAN设备伪装成合法的设备。而在其它安全体制下,只能实现WLAN设备对无线客户端的单向鉴别,缺乏有效的WLAN设备身份鉴别手段。
• 数字证书身份凭证
WAPI 强制使用数字证书作为无线客户端和WLAN设备的身份凭证。
WAPI基本架构上和802.11i采用的AAA架构类似,也包括了三个实体,即鉴别请求者系统(WLAN终端)、鉴别器系统(WLAN设备)和鉴别服务系统。
图2:WAPI协议基本过程
详细的协议过程,请参考作者的另一篇文章:《基于痩AP架构实现WAPI》
整个WAPI协议过程主要包括两个阶段:
• WLAN终端和WLAN设备把各自证书发给鉴别服务器,后者负责判断证书的合法性;
• WLAN终端和WLAN设备通过报文交互,完成相互的身份认证和密钥协商;
WAPI一直致力于标准的国际化,但是一直遭遇很大的阻力。在搁浅5年之后的2009年,我国提出的无线局域网安全技术标准WAPI有望获国际认可,晋升国际标准。日前,WAPI产业联盟宣布,WAPI已获得国际标准组织ISO/IECJTC1/SC6的提案邀请,将作为独立标准重新进入国际标准流程。此外,工信部已经明确:只要支持WAPI,具有WiFi功能的手机就可以获得入网许可。总的看来,WAPI产业当前已经得到了很好的标准和政策支持。
为了推动WAPI的实际应用,H3C提出了WAPI Over EAP的WAPI部署方案,实现了WAPI和电信现有的Radius系统进行了很好地融合,节省了用户单独部署鉴别服务器的成本,简化了管理,实现了802.11i和WAPI用户的统一认证管理。
总结
WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。用户对WLAN安全的关注,以及由应用促使的对更高吞吐的呼唤、对可管理性的更高要求等,推动了WLAN技术的不断创新和技术标准的不断完善。
参考文献
[1] [RFC5415] Calhoun, P., Montemurro, M., and D.Stanley, "Control And
Provisioning of Wireless Access Points (CAPWAP) Protocol
Specification", March 2009.
[2] [RFC5416] Calhoun, P., Montemurro, M., and D.Stanley, "Control and
Provisioning of Wireless Access Points (CAPWAP)
Protocol Binding for IEEE 802.11", RFC 5416, March 2009.
[3] [IEEE.802-11.2007] "Information technology - Telecommunications
and information exchange between systems - Local and
metropolitan area networks – Specific requirements - Part 11: Wireless
LAN Medium Access Control (MAC) and Physical Layer
(PHY) specifications", IEEE Standard 802.11, 2007
[4] [IEEE.802-11.2007] 基于痩AP架构实现WAPI 作者史扬 蔡自彬 蔡贤森
缩略语
CAPWAP Control and Provisioning of Wireless Access Points
SDM Spatial Division Multiplexing
MIMO Multiple Input Multiple Output
OFDM Maximal-Ratio Combining
SNR Signal Noise Ratio
WEP Wired Equivalent Privacy
WAPI Wireless Area Network Authentication and Privacy Infrastructure<
WAI WLAN Authentication Infrastructure
IV Initialization Vector
PMK Pairwise Master Key
PTK Pairwise Transient Key
GTK Groupwise Transient Key