WLAN安全服务技术白皮书 v2.00

WLAN安全服务技术白皮书杭州华三通信技术有限公司目录WLAN安全服务技术白皮书..................................................................................................1第1章WLAN概述........................................................................................................................4第2章WLAN用户接入介绍........................................................................................................52.1802.11链路协商.................................................................................................................52.1.1WLAN服务发现.....................................................................................................62.1.2链路认证.................................................................................................................62.1.3链路服务协商.........................................................................................................72.2用户接入认证....................................................................................................................72.2.1802.1x接入认证......................................................................................................72.2.2MAC接入认证........................................................................................................92.2.3PSK接入认证.......................................................................................................102.3密钥协商..........................................................................................................................10第3章H3C公司的WLAN服务................................................................................................113.1集中管理WLAN架构....................................................................................................113.2自治WLAN架构............................................................................................................123.3WLAN接入认证..............................................................................................................133.4WLAN服务的数据安全..................................................................................................143.5WLAN接入服务..............................................................................................................143.5.1明文WLAN服务.................................................................................................143.5.2WEP加密WLAN服务........................................................................................153.5.3WPAWLAN服务..................................................................................................173.5.4RSNWLAN服务..................................................................................................183.5.5WPA和RSN组合WLAN服务...........................................................................19第4章H3C公司WLAN的优势................................................................................................20摘要现在WLAN应用已经非常普遍，在很多场所被部署，例如公司，校园，工厂，甚至咖啡厅等等。本文介绍了WLAN的基本概念和技术原理，以及H3CWLAN解决方案能够提供的多种无线安全接入服务。关键词WLAN,Station,ESS,SSID,RSN,OSA,IE,PSK,EAP,AC,AP,WTP缩略语WLAN无线局域网（WirelessLocalAreaNetwork）Station本文指WLAN的客户端ESS扩展服务集（ExtendedServiceSet）SSID服务标示（ServiceSetID）RSNRobust安全网络（RobustSecurityNetwork）OSA开放系统认证（OpenSystemAuthentication）IE信息单元（InformationElement）PSK预共享密钥（Pre-SharedKey）EAP扩展认证协议（ExtensibleAuthenticationProtocol）AC接入控制器（AccessController）AP接入控制点（AccessPoint）WTP无线终端控制点（WirelessTerminationPoints）IV初始向量（InitializationVector）第1章WLAN概述WLAN，全称是WirelessLocalAreaNetwork，即无线局域网，和传统的有线接入方式相比无线局域网让网络使用更自由：1、无线局域网彻底摆脱了线缆和端口位置的束缚，用户不在为四处寻找有线端口和网线而苦恼，接入网络如喝咖啡般轻松和惬意。2、无线局域网具有便于携带，易于移动的优点，无论是在办公大楼、机场候机大厅、酒店，用户都可以随时随地自由接入网络办公、娱乐。另外，WLAN最大的优势就是免去或减少了繁杂的网络布线，一般只要在安放一个或多个接入点(AccessPoint)设备就可建立覆盖整个建筑或地区的局域网络。另外对于地铁、公路交通监控等难于布线的场所，无线局域网的应用越来越广泛。和有线相比，无线局域网的启动和实施相对简单，后期维护容易，整个建网和维护的成本更低廉。IEEE802.11系列协议定义了WLAN网络服务的相关特性：IEEE802.11-1999作为WLAN的基本协议定义了基本的802.11链路协商机制；IEEE802.11i-2004增强了802.11链路的安全特性；IEEE802.11e将提供802.11链路服务的质量保证机制等等。虽然IEEE802.11-1999协议已经考虑到了无线局域网的安全问题，并且定义了相应的安全机制（包括Shared-Key认证机制和OSA认证机制）以及WEP加密机制（基于RC4对称流加密算法，而且需要预先配置相同的静态Key）；但是无论从加密机制还是加密算法本身，WEP加密机制都容易受到安全威胁。随着无线局域网的发展，IEEE802.11i比较彻底的解决无线局域网的安全问题（特别采用了更加高级的加密算法AES，通过密钥协商实现动态密钥管理和更新，结合了802.1x接入认证为无线局域网提供安全保护）。由于IEEE颁布一个新的WLAN标准的时间间隔很长，而各厂商的产品往往已经先于标准推出了，为了能够满足不同厂商间的产品的互通性，Wi-Fi联盟制定的标准在IEEE的正式标准颁布前往往成为了大家都遵从的事实标准。对于无线局域网的安全标准IEEE802.11i就存在这样问题：Wi-FiProtectedAccess(WPA)是一种过渡性行业标准—它通过升级到基于802.11的无线网络适配器的固件和无线接入点(AP)来保护802.11无线LAN联网的安全。WPA将临时密钥完整性协议(TKIP)与Michael结合起来，取代了有线对等保密(WEP)；临时密钥完整性协议可通过加密来保证数据机密性，Michael可保证数据完整性。H3C公司WLAN实现了无线接入点特性，为无线用户提供WLAN接入服务。H3C公司WLAN实现了上面描述的各种特性，并且能够根据实际网络需求，提供不同的无线接入服务。例如：对于公司办公无线局杭州华三通信技术有限公司内部资料，请勿扩散第5页,共17页域网需要高的安全性，所以对这种网络可以采用802.1x认证以及AES算法进行身份认证和数据保护；而对于咖啡厅无线局域网只需要采用WEP加密和Shared-Key认证，就可以满足安全需要。第2章WLAN用户接入介绍任何WLAN网络的最终目的是为无线用户提供网络接入服务，实现用户访问网络资源（例如Internet）的需求。在WLAN客户端访问WLAN网络，有线网络或者Internet网络之前，客户端需要和WLAN设备端完成802.11的链路协商；通过设备端的接入认证；以及成功的协商802.11链路使用的密钥。下图描述了一个802.11用户接入WLAN网络过程。WLAN客户端和WLAN服务端协商的整个过程中，802.11链路协商直接确定了WLAN服务端是否对WLAN客户端进行接入认证；是否需要对该客户端的数据进行安全保护；以及是否需要进行密钥协商。WLAN客户端WLAN服务端WLAN服务通过Beacon报文广播所提供的WLAN接入服务WLAN