在WLAN应用中,PSK接入认证可以和MAC接入认证配置使用;但是对于一个客户端不能同时进行PSK接入认证和802.1x接入认证。在WLAN客户端和WLAN建立链路协商过程中,WLAN会为接入用户选择所使用的认证方式。这个在802.11用户接入过程的描述中,会给出相应的描述。
2.3 密钥协商
密钥协商为数据安全提供有力保障,为了实现WLAN数据的安全,IEEE802.11i和IEEE 802.1X定义了EAPOL-Key密钥协商机制(也称4-Way Handshake),WLAN就是用该机制实现WLAN设备和WLAN客户端的密钥协商,协商出来的密钥将作为802.11数据传输过程中的加密/解密密钥。
对于支持WPA和RSN服务的WLAN,需要进行EAPOL-Key密钥协商。密钥协商过程在逻辑上可以看作接入认证的一部分,所以只有在EAPOL-Key密钥协商成功以后,接入认证才会打开端口,允许用户的报文通过。
WLAN密钥协商主要包括四次握手密钥协商和组密钥协商过程,这两种密钥协商都通过EAPOL-Key报文协商实现。WLAN客户端和WLAN设备端使用四次握手机制协商该客户端的单播数据报文使用的密钥,而WLAN设备端可以通过组密钥协商过程将广播和组播使用的密钥通知所有的WLAN客户端。
下图描述了四次握手密钥协商过程,该图只给出了关键参数描述,详细的处理请参见IEEE802.11i的描述:
第3章 H3C公司的WLAN服务
H3C公司在WLAN基本协议的基础上,结合H3C公司提供的端口安全策略(接入认证)提供各种安全级别的WLAN接入服务,用户可以根据具体网络需要定制所使用的WLAN接入服务。
H3C公司WLAN实现了RFC4118定义的多种WLAN架构:自治WLAN架构和集中管理WLAN架构。集中WLAN管理架构通过AC+AP的拓扑提供WLAN服务,而自治WLAN架构则采用单台设备提供WLAN服务(例如Fat AP或者无线路由器)。
3.1 集中管理WLAN架构
一般来说,集中管理WLAN架构适合于大中型网络(例如校园网,地铁等),由于WTP接入设备众多,覆盖面积广,集中架构有利于管理和集中控制。 H3C公司的WLAN已经支持的集中WLAN架构的Split MAC架构以及Tunnel数据转发模式:
1) 802.11的部分实时性不是特别强的功能将AC上实现(例如WLAN客户端的链路认证处理),其他功能在AP上实现; 2) 需要AC处理的802.11报文,可以通过CAPWAP隧道到AC处理; 3) AP不进行本地数据转发,所有802.11数据报文都会通过CAPWAP直接隧道到AC,AC将完成数据的转换和转发; 4) AC对于发送到客户端的报文,首先需要完成报文的转换,然后将802.11数据报文通过CAPWAP隧道到AP,最后由AP通过空口发送给客户端。
下图给出了一个集中管理WLAN的组网。在该组网中,三台AC设备和多台AP设备构建了一个WLAN服务域。三台AC两两建立点对点的WLAN隧道连接,构建一个WLAN的AC组,所有的AP设备可以任意选择连接到其中的一台AC设备(例如AP1和AP2可以选择连接到AC1,AP3可以选择连接到AC2,而AP4和AP5可以选择连接到AC3)。AP设备不需要进行任何的配置,通过从连接的AC上获取配置后开始提供WLAN接入服务。
图3 集中管理WLAN架构组网
根据网络服务需要,在不同的AP上可以提供不同的WLAN服务,一个WLAN服务也可以在多个AP上同时提供,甚至在一个AP上可以同时提供几个不同的WLAN服务,不同的WLAN可以选择不同的服务策略。如图所示,SSID1(蓝色的WLAN服务)可以为明文WLAN服务,而SSID2(红色的WLAN服务)则提供RSN WLAN服务。
WLAN客户端可以适当选择AP接入WLAN网络。如图所示,用户1选择SSID1的WLAN服务通过AP1接入网络;用户2选择SSID2的WLAN服务通过AP1接入网络;而用户3选择SSID2的WLAN服务通过AP5接入WLAN网络。
3.2 自治WLAN架构
对于小型的网络,例如家庭使用或者小型公司使用,没有必要使用集中管理WLAN,可以直接采用自治WLAN架构。通常,可以使用一台设备实现自治WLAN,提供WLAN的接入服务,不但应用简单,而且可以节约大量的成本。
对于自治WLAN,H3C公司的WLAN也支持一台设备同时提供多个WLAN服务,而且不同的WLAN可以选择不同的服务策略。
下图给出了一个通过自治WLAN架构组建的一个WLAN网络。在该网络中,两个自治的AP提供WLAN的接入服务,所有的WLAN客户端可以通过这两个AP连接到WLAN网络,并最终访问Internet。在该网络中,AP1提供两个WLAN接入服务,
其中SSID1提供明文WLAN接入服务,而SSID2则提供RSN WLAN服务;AP2也提供两个WLAN接入服务,其中SSID2提供RSN WLAN接入服务,而SSID3则提供WPA WLAN服务。
由于AP1和AP2同时提供SSID2的接入服务,用户1可以同时发现AP1和AP2提供的服务,用户1根据网络信号情况可以选择接入到AP1的SSID2的WLAN网络中;而用户2只能通过AP2接入到SSID3的WLAN网络中。
图4 自治WLAN架构组网
3.3 WLAN接入认证
WLAN密切相关的接入认证(包含EAPOL-Key密钥协商过程),可以提供下面的四种接入认证组合:
1. 802.1x 认证(包含EAPOL-Key密钥协商); 2. PSK认证(包含EAPOL-Key密钥协商)
3. MAC认证+PSK认证(包含EAPOL-Key密钥协商)
4. 802.1x 认证(包含EAPOL-Key密钥协商)或者PSK认证(包含
EAPOL-Key密钥协商)
特别对于第四种接入认证组合,其实是第一种和第二种接入认证的组合;WLAN设备端可以选择使用PSK认证,也可以选择802.1x认证对WLAN客户端进行接入认证。
对于根据前面接入认证组合,H3C公司的WPA和RSN的WLAN服务可以支持对WLAN客户端支持三种接入认证方式。在进行802.11链路协商的过程中,WLAN会根据用户的参数以及自身接入认证的配置为用户选择一种接入认证方式:
1. 802.1x认证(包含EAPOL-Key密钥协商) 2. PSK认证(包含EAPOL-Key密钥协商)
3. MAC认证+PSK认证(包含EAPOL-Key密钥协商)
3.4 WLAN服务的数据安全
WLAN相对于有线网络,存在着天生的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介,任何一个设备可以接收到其他所有设备的数据,这个特性直接威胁到WLAN接入数据的安全。
802.11协议也在致力于解决WLAN的安全问题,主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现了WLAN数据的安全性保护。目前H3C的WLAN支持四种安全服务:
1. 明文数据:该种服务本质上为无安全保护的WLAN服务,这里也将
其作为一种安全服务进行介绍。该种服务在IEEE802.11协议中定义,所有传输的数据报文都是没有通过加密处理的。 2. WEP安全保护:该种服务使用WEP加密机制,致力于获得与基本的
有线网络同等的安全。该种服务也在IEEE802.11协议中定义,所有传输的数据报文都是通过WEP机制进行加密处理。 3. TKIP安全保护:该服务主要使用TKIP加密机制实现对数据报文的
安全保护,该安全机制主要在WPA相关协议中定义。TKIP加密机制除了提供数据的加密处理,还提供了MIC和Countermeasure功能实现对WLAN服务的安全保护。TKIP和WEP虽然使用了相同的RC4加密算法,但是在整个机制上TKIP能够提供比WEP更高的安全性。