wlan安全服务技术白皮书

WLAN安全服务技术白皮 第1章WLAN概 第2章WLAN用户接入介 802.11链路协 WLAN服务发 802.1x接入认 MAC接入认 PSK接入认 密钥协 第3章H3C公司的WLAN服 集中管理WLAN架 自治WLAN架 WLAN接入认 WLAN服务的数据安 WLAN接入服 明文WLAN服 加密WLAN服务 WLAN服务 RSNWLAN服 和RSN组合WLAN服务 第4章H3C公司WLAN的优 WLAN应用已经非常普遍，在很多场所被部署，例如公司，校园，工厂，甚至咖WLANH3CWLAN解决方案能够提供的多WLAN,Station, ,RSN,OSA,IE,PSK,EAP,AC,AP,缩略WLAN无线局域网（WirelessLocalAreaStationWLAN 扩展服务集（ExtendedServiceSet）服务标示（ServiceSetID） Robust安全网络（RobustSecurityNetwork） 开放系统认证（OpenSystemAuthentication） 信息单元（InformationElement） 预共享密钥（Pre-Shared 扩展认证协议（ExtensibleAuthentication 接入控制器（Access 接入控制点（Access 初始向量（Initialization第1章WLANWLAN，全称是WirelessLocalAreaNetwork，即无线局域网，和传统的有线接入方式相比无线局域网让网络使用更： 无线局域网彻底摆脱了线缆和端口位置的，用户不在为四处寻找有线端口和网线而 用户都可以随时随地接入网络办公、。(AccessPoint)设备就可建立覆盖整个建筑或地区的局域网络。另外对于地铁、公路交通等难于布线的场所，无线局域网的应用越来越广泛。和有线相比，无线局域网的启动和实施相对简单，后期容易，整个建网和的成本更低廉。遵从的事实标准。对于无线局域网的安全标准IEEE802.11i就存在这样问题：Wi-FiProtectedAccess( )是一种过渡性行业标准—它通过升级到基于802.11的无线网络适配器的固件和无线接入点(AP)来保护802.11无。线LAN联网的安全将临时密钥完整性协议(TKIP)与Michael结合起来，取代了有线对等()；临时密钥完整性协议可通过加密来保证数据性，Michael可保证数据完整性。。第2章WLANWLAN服务通过Beacon报文WLAN服务通过Beacon报文广播所提供的WLAN接入服WLAN客户端可以通过ProbeRequest报文请求指定的WLAN服如果WLAN服务端能够为WLAN客户端提供服务，则通过ProbeResponse报WLAN客户端可以通过(re)associationrequest报文向WLAN服务发 协WLAN服务端会通过(re)associationrespnonse报文通知WLAN客户是否能够成功建立802.11链如果选择使用802.1x认证则通过EAPOL报文交互，WLAN服务端使用认证服务器完成和客户端的互相认 安装密钥，客户端成接入W:AM客户端开始通过WLAN服务安装客户端密钥，开始客户端提供接入服网络，并且使用协商的加密制对对数据报文进行加密保认证服务WLAN服务WLAN客户WLAN客户端可以通过ProbeRequest报文请求指定的WLAN服务如果WLAN服务端能够为WLAN客户端提供服务，则通过ProbeResponse报文向客户端通告服WLAN客户端发起Authentication请求，WLAN服务端需要根据使用的链路认证方式完成对WLAN客户端的认。所有的报文为802.11认证报文WLAN客户端可以通过(re)associationrequest报文向WLAN服务发起 WLAN服务端会通过(re)associationrespnonse报文通知WLAN客户端是否能够成功建立802.11链WLAN服务WLAN客户WLAN服务发主动地探测（ProbeRequest）是否存在指定的网络，WLAN设备存在指定的WLAN（ProbeResponse）链路认SharedKey认证。SharedKey认证是需要客户端和设备端配置共享密钥；WLAN设备会在链路认证过程中随机产生一串SharedKeySharedKey链路服务协Beacon和ProbeResponseWLAN客户端在发起的Association于没有使能接入认证的服务客户端已经可以WLAN网络如果WLAN服务使能了接入认证则用户接入认证实现了对接入用户的认证为网络服务提供了安全保护H3C接入认证主要有802.1xWLAN无线接入用户进行认证，而PSK认证则是专门为WLAN无线用户提供认证的法。 该接入用户的协商密钥；之后WLAN客户端才才可以WLAN网络802.1x在WLA应用网络中，WLA客户端tonE，提供WLAN服务的设备为设备端E。设备端通过产生一个随机Challenge发给客户端客户端会使用配置的密钥对该Chllnge进行加理并处理后的信息返回设备端；设备端根据客户端返回的加密后的Chllnge以及原始的Challnge握手请求报握手定[EAP-握手应答报[EAP-EAPOL-设备端RADIUS服务设备端RADIUS服务EAPOL-EAP-EAP-Request/MD5EAP-Response/MD5ChallengeRADIUSAccess-(EAP-RADIUSAccess-Challenge(EAP-Request/MD5Challenge)RADIUSAccess-Request(EAP-Response/MD5Challenge)RADIUSAccess-Accept端口器超端口客户端为了提高WLAN服务的数据安全性，IEEE802.1x和IEEE802.11i中使用了EAPOL-Key的协商过程，设中EAP-TLS为基于用户的验证。EAP-TLS是一种相互的验证方法，也就是说，客户端和服务器端进行相互验证。在EAP-TLS交换过程中，客户端发送其用户，而服务器发送其计算机。如果其中一个未发送或无效，则连接将终断。下图描述了EAPTLS认证方式过客户端

设备端

RADIUSEAPOL-EAP-EAP-Request/EAP-TLS

RADIUSAccess-RequestRADIUSAccess-Challenge(EAP-Request/EAP-TLSStart)RADIUSAccess-Request EAP-Response/EAP-TLSserver_ o,TLS TLSserver_exchange,TLS_request,

RADIUSAccess-ChallengeTLSserver_ o,TLS TLSserver_exchange,TLS_request, ,client_key_exchange,_verify]TLSchange_cipher_spec,TLSfinished

RADIUSAccess-(EAP-Response/EAP-TLSTLS TLSclient_key_exchange,[TLS_verify]TLSchange_cipher_spec,TLSfinished)TLSchange_cipher_spec,TLSfinishedEAP-Response/EAP-

RADIUSAccess-ChallengeTLSchange_cipher_spec,TLSfinished)RADIUSAccess-RequestEAP-

RADIUSAccess-Accept图2EAPTLS在无线局域网应用中，当EAPTLS认证成功时，客户端PAE和Radius服务器会对应产生公用的对称的RadiusKey，Radius服务器会在认证成功消息中将RadiusKey通知设备端PAE。客户端PAE和设备端PAE会根据该RadiusKey，客户端MAC地址以及设备端MAC地址，产生密钥PMK以及对应的索引PMKID。MAC接入认结果以及相应的信息。MAC接入认证过程不需要客户端参与，MAC接入认证可以支持有线用户WLAN证和其它的认证方式一起配合使用。例如，和RSN的WLAN网络，可以同时使用MAC接入认证可以PSK接入认PSK密钥协商为数据安全提供有力保障，为了实现WLAN数据的安全，IEEE802.11i和IEEE802.1X定义了EAPOL-Key密钥协商机制（也称4-WayHandshake），WLAN就是用该机制实现WLAN设备和WLAN客户对于支持和RSN服务的WLAN，需要进行EAPOL-Key密钥协商。密钥协商过程在逻辑上可以看作WLANWLANWLAN预先配置产生预先配置产生Message1EAPOL-利用SNonce、ANonceMessage2EAPOL-Key(Snonce,利用SNonce、ANonce、PMK产生果校验失败说明STA的 ，认Message3EAPOL-Key(安装PTK失败。否则发送安装Key安装Meesage4EAPOL-Key安装第3章H3CWLAN（例如FatAP或者无线路由器）WLANH3C公司的WLAN已经支持的集中WLAN架构的SplitMAC架构以及TunnelAC3图3集中管理WLAN根据网络服务需要，在不同的上可以提供不同的WLAN服务，一个WLA服务也可以在多个上P上可以同时提供几个不同的WLANWLA，1（蓝色的WLA服务）可以为明文WLAN服务，而2（红色的WLA服务）则提供RSNWLN服务。WLAN客户端可以适当选择AP接入WLAN网络。，用户1选择1的WLAN服务通过AP1接入网络；用户2选择2的WLAN服务通过AP1接入网络；而用户3选择2的WLAN服务通过AP5接WLAN的接入服务所有的WLAN客户端可以通过这两个AP连接到WLAN网络并最终Internet在该网络中， 2则提供RSNWLAN服务； 3则提 WLAN服务由于AP1和AP2同时提供2的接入服务，用户1可以同时发现AP1和AP2提供的服务，用户1根据网络信号情况可以选择接入到AP1的2的WLAN2只能通过AP2接入到3的WLAN网络图4WLANWLAN802.1x认证(包含EAPOL-Key密钥协商802.1x认证(包含EAPOL-Key密钥协商)或者PSK认证（包含EAPOL-Key密钥协商WLANWLAN相对于有线网络，存在着天生的数据安全问题。在一个区域内的所有的WLAN设备共个传介绍。该种服务在IEEE802.11协议中定义，所有传输的数据报是没有通过加理的。 种服务也在IEEE802.11协议中定义，所有传输的数据报是通过 机制进行加理。 相关协议中定义。TKIP加密机制除了提供数据的加理，还提供了MIC和 WLAN明文WLAN服不能使能其他的WLAN的安全策略配置，例如 等等将提供接入服务。如下图只有用户1可以成功接入到AP提供的WLAN服务中，其他三个用户都无法访客户端就可以成功的WLAN网络了。如果使能了接入认证，则接入认证会控制只有通过接入认证的WLAN客户端才允许WLAN网络，否则所有的WLAN客户端的数据报文将被丢弃。加密WLAN服。 加密。 ，虽然 10在一定程度上提高了 加密的安全性，但是受到RC4加密法以及静态配置密钥的限制 加密还是存在比较大的例如如果一个WLAN客户端发生遗失会造成整个网络的安全。， 加密机制的WLAN的服务时，WLAN可以选择另外一种链路认证算法（SharedKey认证）实 提 加密WLAN用户接入服务（进行SharedKey链路认证），需要进行如下的设置使能SharedKey使能40加密算法或者104下图加密WLAN服务只能允许使用加密的无线终端用户接入；对于选择明文方式，方式或者RSN方式的无线终端用户，WLAN将提供接入服务。如下图只有用户2可以成功接入到AP提供的WLAN服务中，其他三个用户都无法该WLAN服务。客户端就可以成功的WLAN网络了。如果使能了接入认证，则接入认证会控制只有通过接入认证的WLAN客户端才允许WLAN网络，否则所有的WLAN客户端的数据报文将被丢弃。WLAN，WLAN服务最初在RSIEEE802.11iTKIP加密机制实现对WLAN数据报文的安全保护在一定程度上解决了加密机制的一些弱点例如可以通过密钥协商机制为每一个用户协商特定的密钥。， H3C公司的WLAN可以支持TKIP加密机制和CCMP加密机制，而且可以兼容加密机制（组播和广播可以使用加密机制进行保护），但是WLAN服务必须指定TKIP加密机制或者CCMP加TKIP和加密机制都是使用RC4算法，但是TKIP加密机制相比加密机