4. CCMP安全保护:该服务主要使用CCMP加密机制对数据报文进行保
护,该安全机制在IEEE802.11i中定义。CCMP机密机制采用了更安全的对称加密算法AES,是目前WLAN支持的最安全的数据报文保护机制。
H3C的WLAN不但可以提供上面四种安全服务,而且可以提供上面四种安全服务的组合服务。例如,在一个WLAN服务中,部分用户可以使用TKIP加密机制,而其他的RSN用户可以选择使用CCMP加密机制。
3.5 WLAN接入服务
H3C公司WLAN不但提供了基本WLAN接入服务,而且可以根据不同应用环境以及相应特点,提供不同需求的WLAN接入服务。
3.5.1 明文WLAN服务
明文WLAN服务是一种没有数据安全保护的WLAN服务,采用明文数据安全策略。WLAN设备端对提供的服务进行如下的设置:
1. 使能OSA链路认证;
2. 不能使能其他的WLAN的安全策略配置,例如RSN,WPA等等; 3. 可以选择对该WLAN服务进行接入认证(认证策略和有线用户相同)。
明文WLAN服务是WLAN协议定义最早的服务之一,为了避免用户的在其它
WLAN安全服务中提供该种服务而造成对网络的安全威胁。H3C将明文WLAN服务作为一种独立的服务,在配置上进行限制不能和其他的安全服务混合使用,WLAN客户端不能选择其他的链路认证方式。
下图明文WLAN服务只能允许明文的无线终端用户接入;对于选择其他方式的无线终端用户,WLAN将拒绝提供接入服务。如下图只有用户1可以成功接入到AP提供的WLAN服务中,其他三个用户都无法访问该WLAN服务。
对于明文WLAN服务,接入认证和WLAN为两个独立的特性功能,可以根据需要选择是否对明文接入的WLAN客户端进行接入认证。
如果没有选择接入认证,当WLAN客户端成功和WLAN设备端完成链路认证和链路服务协商,WLAN客户端就可以成功的访问WLAN网络了。如果使能了接入认证,则接入认证会控制只有通过接入认证的WLAN客户端才允许访问WLAN网络,否则所有的WLAN客户端的数据报文将被丢弃。
3.5.2 WEP加密WLAN服务
WEP加密WLAN服务提供了对于数据报文的安全保护,使用WEP加密机制对WLAN客户端和WLAN设备端的数据进行保护。
WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。WEP加密机制采用RC4算法(一种流加密算法),最初WLAN仅支持WEP40(WEP40算法的密钥长度仅为64bits),当前WLAN还可以支持WEP104(WEP104算法的密钥长度仅为128bits)。但是一个WLAN服务只能允许使用WEP40或者WEP104,两种算法不能同时使用。
虽然WEP104在一定程度上提高了WEP加密的安全性,但是受到RC4加密算法以及静态配置密钥的限制,WEP加密还是存在比较大的威胁。例如如果一个WLAN客户端发生遗失,会造成整个网络的安全漏洞。
提供WEP加密机制的WLAN的服务时,WLAN可以选择另外一种链路认证算法(Shared Key认证)实现对802.11链路的安全性保护。另外,WEP加密WLAN服务可以和普通的接入认证配合使用。
提供WEP加密WLAN用户接入服务(进行Shared Key链路认证),需要进行如下的设置:
1. 使能Shared Key链路认证;
2. 使能WEP40加密算法或者WEP104加密算法; 3. 可以选择对该WLAN服务的用户进行接入认证
下图WEP加密WLAN服务只能允许使用WEP加密的无线终端用户接入;对于选择明文方式,WPA方式或者RSN方式的无线终端用户,WLAN将拒绝提供接入服务。如下图只有用户2可以成功接入到AP提供的WLAN服务中,其他三个用户都无法访问该WLAN服务。
对于WEP加密WLAN服务,和明文WLAN服务相同,可以选择是否对接入的WLAN客户端进行接入认证。
如果没有选择接入认证,当WLAN客户端成功和WLAN设备端完成链路认证和链路服务协商,WLAN客户端就可以成功的访问WLAN网络了。如果使能了接入认证,则接入认证会控制只有通过接入认证的WLAN客户端才允许访问WLAN网络,否则所有的WLAN客户端的数据报文将被丢弃。
3.5.3 WPA WLAN服务
WPA WLAN服务最初在RSN服务(IEEE802.11i协议)之前提出,主要使用TKIP加密机制实现对WLAN数据报文的安全保护,在一定程度上解决了WEP加密机制的一些弱点。例如,WPA可以通过密钥协商机制,为每一个用户协商特定的密钥。 随着技术的发展,当IEEE802.11i提出了CCMP加密机制以后,对于WPA的WLAN服务在加密机制上也进行了扩展,进而可以支持CCMP加密机制。 H3C公司的WPA WLAN可以支持TKIP加密机制和CCMP加密机制,而且可以兼容WEP加密机制(组播和广播可以使用WEP加密机制进行保护),但是WPA WLAN服务必须指定TKIP加密机制或者CCMP加密机制。
TKIP和WEP加密机制都是使用RC4算法,但是TKIP加密机制相比WEP加密机制可以为WLAN服务提供更加安全的保护。首先,TKIP通过增长了算法的IV长度提高了WEP加密的安全性;其次,TKIP支持密钥的动态协商,解决了WEP加密需要静态配置密钥的限制;另外,TKIP还支持了MIC认证和Countermeasure功能。
WPA WLAN服务必须和接入认证配合使用,可以和“接入认证组合”中的任何一个配合使用。也就是WLAN可以支持“接入认证组合”中描述的三种接入认证方式。
WPA WLAN可以支持上面两种加密机制和四种“接入认证组合”的混合使用,WLAN客户端可以选择任何一种支持的加密机制和接入认证方式访问WLAN网络。
WLAN提供WPA用户接入服务,需要进行如下的设置:
1. 必须使能OSA链路认证; 2. 必须使能WPA功能;
3. 必须配置一种“接入认证组合”,例如802.1x认证(包括EAPOL-Key
密钥协商); 4. 必须指定数据加密机制,例如TKIP或者CCMP;
下图WPA WLAN服务只允许WPA的无线终端用户接入,对于选择明文方式,WEP加密或者RSN方式的无线终端用户,WLAN将拒绝提供接入服务;而WPA客户端可以选择TKIP加密机制或者CCMP加密机制;另外对于WPA无线客户端,WLAN可以选择任何一种“接入认证方式”对客户端进行认证。用户3和用户4都是WPA用户,分别选择使用TKIP加密机制和CCMP加密机制,两个用户都可以成功的接入WLAN服务;但是WLAN服务将拒绝其他的用户接入。
3.5.4 RSN WLAN服务
IEEE802.11i定义了RSN WLAN服务,该WLAN采用了CCMP加密机制,使用比RC4更加安全的AES加密算法,首先在算法上解决了前面提到的加密机制的弱点。 CCMP加密机制需要和密钥协商以及接入认证配置使用。接入认证对WLAN客户端进行认证,计费以及授权,并且可以为密钥协商提供共享的种子密钥PMK(特别802.1x接入认证可以使用非对称机制为WLAN客户端和设备端提供PMK,保证种子密钥的安全性);密钥协商不但完成了对于输入种子密钥的认证过程,而且为后续的链路数据报文的安全保护提供对应的密钥;最后WLAN采用CCMP加密机制对所有的数据报文进行加密保护。
RSN WLAN可以兼容TKIP和WEP加密机制,例如,RSN WLAN可以采用TKIP加密机制,对于广播和组播报文也可以采用WEP加密机制;但是RSN WLAN服务必须指定TKIP加密机制或者CCMP加密机制。
RSN WLAN服务必须和接入认证配合使用,可以和“接入认证组合”中的任何一个配合使用。也就是WLAN可以支持“接入认证组合”中描述的三种接入认证方式。
RSN WLAN可以支持上面两种加密机制和四种“接入认证组合”的混合使用,WLAN客户端可以选择任何一种支持的加密机制和接入认证方式访问WLAN网络。
WLAN提供WPA用户接入服务,需要进行如下的设置:
1. 必须使能OSA链路认证; 2. 必须使能RSN功能;