WLAN安全服务技术白皮书
第1章 WLAN概述 第2章 WLAN用户接入介绍 2.1 802.11链路协商 2.1.1 WLAN服务发现 2.1.2 链路认证 2.1.3 链路服务协商 2.2 用户接入认证 2.2.1 802.1x接入认证 2.2.2 MAC接入认证 2.2.3 PSK接入认证 2.3 密钥协商
第3章 H3C公司的WLAN服务 3.1 集中管理WLAN架构 3.2 自治WLAN架构 3.3 WLAN接入认证 3.4 WLAN服务的数据安全 3.5 WLAN接入服务 3.5.1 明文WLAN服务 3.5.2 WEP加密WLAN服务 3.5.3 WPA WLAN服务 3.5.4 RSN WLAN服务
3.5.5 WPA和RSN组合WLAN服务
第4章 H3C公司WLAN的优势
摘要
现在WLAN应用已经非常普遍,在很多场所被部署,例如公司,校园,工厂,甚至咖啡厅等等。
本文介绍了WLAN的基本概念和技术原理,以及H3C WLAN解决方案能够提供的多种无线安全接入服务。
关键词
WLAN, Station, ESS, SSID, RSN, OSA, IE, PSK, EAP, AC, AP, WTP
缩略语
WLAN Station ESS SSID RSN OSA IE PSK EAP AC AP WTP IV
无线局域网(Wireless Local Area Network) 本文指WLAN的客户端
扩展服务集(Extended Service Set) 服务标示(Service Set ID)
Robust安全网络(Robust Security Network) 开放系统认证(Open System Authentication) 信息单元(Information Element) 预共享密钥(Pre-Shared Key)
扩展认证协议(Extensible Authentication Protocol) 接入控制器(Access Controller) 接入控制点(Access Point)
无线终端控制点(Wireless Termination Points) 初始向量(Initialization Vector)
第1章 WLAN概述
WLAN,全称是Wireless Local Area Network,即无线局域网,和传统的有线接入方式相比无线局域网让网络使用更自由:
1、 无线局域网彻底摆脱了线缆和端口位置的束缚,用户不在为四
处寻找有线端口和网线而苦恼,接入网络如喝咖啡般轻松和惬意。 2、 无线局域网具有便于携带,易于移动的优点,无论是在办公大楼、机场候机大厅、酒店,用户都可以随时随地自由接入网络办公、娱乐。
另外,WLAN最大的优势就是免去或减少了繁杂的网络布线,一般只要在安放一个或多个接入点(Access Point)设备就可建立覆盖整个建筑或地区的局域网络。另外对于地铁、公路交通监控等难于布线的场所,无线局域网的应用越来越广泛。和有线相比,无线局域网的启动和实施相对简单,后期维护容易,整个建网和维护的成本更低廉。
IEEE802.11系列协议定义了WLAN网络服务的相关特性:IEEE802.11-1999作为WLAN的基本协议定义了基本的802.11链路协商机制;IEEE802.11i-2004增强了802.11链路的安全特性;IEEE802.11e将提供802.11链路服务的质量保证机制等等。
虽然IEEE802.11-1999协议已经考虑到了无线局域网的安全问题,并且定义了相应的安全机制(包括Shared-Key认证机制和OSA认证机制)以及WEP加密机制(基于RC4对称流加密算法,而且需要预先配置相同的静态Key);但是无论从加密机制还是加密算法本身,WEP加密机制都容易受到安全威胁。随着无线局域网的发展,IEEE802.11i比较彻底的解决无线局域网的安全问题(特别采用了更加高级的加密算法AES,通过密钥协商实现动态密钥管理和更新,结合了802.1x接入认证为无线局域网提供安全保护)。
由于IEEE颁布一个新的WLAN标准的时间间隔很长,而各厂商的产品往往已经先于标准推出了,为了能够满足不同厂商间的产品的互通性,Wi-Fi联盟制定的标准在IEEE的正式标准颁布前往往成为了大家都遵从的事实标准。对于无线局域网的安全标准IEEE802.11i就存在这样问题:Wi-Fi Protected Access (WPA) 是一种
过渡性行业标准 — 它通过升级到基于 802.11 的无线网络适配器的固件和无线接入点 (AP) 来保护 802.11 无线 LAN 联网的安全。WPA 将临时密钥完整性协议 (TKIP) 与 Michael 结合起来,取代了有线对等保密 (WEP);临时密钥完整性协议可通过加密来保证数据机密性,Michael 可保证数据完整性。
H3C公司WLAN实现了无线接入点特性,为无线用户提供WLAN接入服务。H3C公司WLAN实现了上面描述的各种特性,并且能够根据实际网络需求,提供不同的无线接入服务。例如:对于公司办公无线局域网需要高的安全性,所以对这种网络可以采用802.1x认证以及AES算法进行身份认证和数据保护;而对于咖啡厅无线局域网只需要采用WEP加密和Shared-Key认证,就可以满足安全需要。
第2章 WLAN用户接入介绍
任何WLAN网络的最终目的是为无线用户提供网络接入服务,实现用户访问网络资源(例如Internet)的需求。
在WLAN客户端访问WLAN网络,有线网络或者Internet网络之前,客户端需要和WLAN设备端完成802.11的链路协商;通过设备端的接入认证;以及成功的协商802.11链路使用的密钥。
下图描述了一个802.11用户接入WLAN网络过程。WLAN客户端和WLAN服务端协商的整个过程中,802.11链路协商直接确定了WLAN服务端是否对WLAN客户端进行接入认证;是否需要对该客户端的数据进行安全保护;以及是否需要进行密钥协商。