WLAN安全服务技术白皮书

WLAN安全服务技术白皮书第1章WLAN概述第2章WLAN用户接入介绍802.11链路协商WLAN服务发现2.1.2链路认证2.1.3链路服务协商2.2用户接入认证802.1X接入认证MAC接入认证PSK接入认证2.3密钥协商第3章H3C公司的WLAN服务3.1集中管理WLAN架构3.2自治WLAN架构WLAN接入认证WLAN服务的数据安全WLAN接入服务3.5.1明文WLAN服务WEP加密WLAN服务WPAWLAN服务RSNWLAN服务WPA和RSN组合WLAN服务第4章H3C公司WLAN的优势摘要现在WLAN应用已经非常普遍，在很多场所被部署，例如公司，校园，工厂,甚至咖啡厅等等。本文介绍了WLAN的基本概念和技术原理，以及H3CWLAN解决方案能够提供的多种无线安全接入服务。关键词WLAN,Station,ESS,SSID,RSN,OSA,IE,PSK,EAP,AC,AP,WTP缩略语WLAN无线局域网(WirelessLocalAreaNetwork)Station本文指WLAN的客户端ESS扩展服务集(ExtendedServiceSet)SSID服务标示(ServiceSetID)RSNRobust安全网络(RobustSecurityNetwork)OSA开放系统认证(OpenSystemAuthentication)IE信息单元(InformationElement)PSK预共享密钥(Pre-SharedKey)EAP扩展认证协议(ExtensibleAuthenticationProtocol)AC接入控制器(AccessController)AP接入控制点(AccessPoint)WTP无线终端控制点(WirelessTerminationPoints)IV初始向量(InitializationVector)第1章WLAN概述WLAN,全称是WirelessLocalAreaNetwork，即无线局域网，和传统的有线接入方式相比无线局域网让网络使用更自由：1、无线局域网彻底摆脱了线缆和端口位置的束缚，用户不在为四处寻找有线端口和网线而苦恼，接入网络如喝咖啡般轻松和惬意2、无线局域网具有便于携带，易于移动的优点，无论是在办公大楼、机场候机大厅、酒店，用户都可以随时随地自由接入网络办公、娱乐。另外，WLAN最大的优势就是免去或减少了繁杂的网络布线，一般只要在安放一个或多个接入点（AccessPoint）设备就可建立覆盖整个建筑或地区的局域网络。另外对于地铁、公路交通监控等难于布线的场所，无线局域网的应用越来越广泛。和有线相比，无线局域网的启动和实施相对简单，后期维护容易，整个建网和维护的成本更低廉。IEEE802.il系列协议定义了WLAN网络服务的相关特性：IEEE802.11-1999作为WLAN的基本协议定义了基本的802.11链路协商机制；IEEE802.11i-2004增强了802.11链路的安全特性；IEEE802.11e将提供802.11链路服务的质量保证机制等等。虽然IEEE802.11-1999协议已经考虑到了无线局域网的安全问题，并且定义了相应的安全机制（包括Shared-Key认证机制和OSA认证机制）以及WEP加密机制（基于RC4对称流加密算法，而且需要预先配置相同的静态Key）；但是无论从加密机制还是加密算法本身，WEP加密机制都容易受到安全威胁。随着无线局域网的发展，IEEE802.11i比较彻底的解决无线局域网的安全问题（特别采用了更加高级的加密算法AES，通过密钥协商实现动态密钥管理和更新，结合了802.1x接入认证为无线局域网提供安全保护）。由于IEEE颁布一个新的WLAN标准的时间间隔很长，而各厂商的产品往往已经先于标准推出了，为了能够满足不同厂商间的产品的互通性，Wi-Fi联盟制定的标准在IEEE的正式标准颁布前往往成为了大家都遵从的事实标准。对于无线局域网的安全标准IEEE802.11i就存在这样问题：Wi-FiProtectedAccess（WPA）是一种过渡性行业标准—它通过升级到基于802.11的无线网络适配器的固件和无线接入点（AP）来保护802.11无线LAN联网的安全。WPA将临时密钥完整性协议（TKIP）与Michael结合起来，取代了有线对等保密（WEP）；临时密钥完整性协议可通过加密来保证数据机密性，Michael可保证数据完整性。

H3C公司WLAN实现了无线接入点特性，为无线用户提供WLAN接入服务。H3C公司WLAN实现了上面描述的各种特性，并且能够根据实际网络需求，提供不同的无线接入服务。例如：对于公司办公无线局域网需要高的安全性，所以对这种网络可以采用802.1x认证以及AES算法进行身份认证和数据保护；而对于咖啡厅无线局域网只需要采用WEP加密和Shared-Key认证，就可以满足安全需要。第2章WLAN用户接入介绍任何WLAN网络的最终目的是为无线用户提供网络接入服务，实现用户访问网络资源（例如Internet）的需求。在WLAN客户端访问WLAN网络，有线网络或者Internet网络之前，客户端需要和WLAN设备端完成802.11的链路协商；通过设备端的接入认证；以及成功的协商802.11链路使用的密钥。聽丄礪戸期1肛丄翎牛哪U遲展蠹罄11肛血隈并通过HeaconTS文广惱斷尷世的■礎人服野下图描述了一个802.11用户接入WLAN网络过程。WLAN客户端和WLAN聽丄礪戸期1肛丄翎牛哪U遲展蠹罄11肛血隈并通过HeaconTS文广惱斷尷世的■礎人服野皿5客卢拠B以通过FrclieRuqueu邢女请卓招宦胎WLklT魔舉TOC\o"1-5"\h\z!熾邸WLIH眼畀璃施脏为肛口密户鱗頁锻庠势，B|通过FrduReugd來I誌丈回資广赳禺直囲金I:^CluthentiatianiS^1.莊丄IT■眼野瓚斎夏悒曇僭開的社袒!.认珏方龙之翊啦山容户凰的认.圻扫帥皿文力32.11认區毎女I叱-■■->II肛丄昭产驛甲以週过〔匚总玩RgPtE盘pm■丄酯歼忑应社慣囱商］III-->1肛口展势谓舍通过Da==ociitionr£=hhj031s亡榨文遍纺也［眩户醐良舌能酹咸般巫30E•L1龍探锻樸曲环斌强戏用SQZ.X认注同週击丄FQL悴冗亦出瓏丄曙畀綱坟囲认注嘯希轟疋舱枸答严祸驹丘恂认谨JI认还炬IB后.认还匪并暫回蛭产;I生的并平蔭钥尿闯fflUU胳歼哥IIJI畑卑肛AM容戶嚨为莊丄或黔HS稠卢，合圮发述WLUT容卢期涉理

钥肉撕曲丽址視谀用E1TQL-肮用丈定战妄费奈钥.客户谓虑期■Ami上咨产稱幵的毘谨肛丄專弄稱沖问岡拎・护且悝用曲曲的帅压凤

制射炯變齬抿丈埠片加巒煤曲

2.1802.112.1802.11链路协商802.11链路不同于802.3，802.11定义了一套链路协商机制，其中包括802.11链路认证过程和802.11链接协商过程。只有当WLAN客户端成功发现WLAN服务，并且和WLAN服务设备成功完成链路认证和链接协商后，客户端和设备端才成功的建立802.11链路，客户端才拥有了访问网络的基础。如果网络服务没有使用任何接入认证，此时客户端已经成功的接入到网络服务中；如果网络服务指定了接入认证方式，则WLAN会触发对用户的接入认证，只有接入认证成功后，WLAN客户端才可以成功的访问网络。下图简单描述了802.11客户端接入到WLAN服务的链路协商过程，如果WLAN使能了接入认证，在链路协商成功以后会触发接入认证，下图没有给出相应的描述。通常WLAN客户端为由无线网卡的主机设备，而WLAN服务端则为AP设备。WLAN服务发现WLAN客户端有两种方式可以发现WLAN服务，目前H3C的WLAN同时支持这两种方式：方式一，WLAN设备会主动发送Beacon通告提供的WLAN服务，客户端可以根据该报文确定周围存在的WLAN服务；方式二，WLAN客户端可以指定SSID(WLAN服务的标示)或者使用广播SSID(即没有指定SSID)主动地探测(ProbeRequest)是否存在指定的网络，WLAN设备存在指定的WLAN服务，会发送确认信息(ProbeResponse)给客户端。之后，WLAN客户端可以从已经发现的WLAN服务列表中选择特定的服务，发起802.11链路协商。链路认证当前802.11的链路认证支持两种认证方式：OSA认证(OpenSystemAuthentication)和Shared-Key认证(SharedKeyAuthentication)。两种认证方式都是在IEEE802.11中定义，802.11链路认证通过Authentication报文实现。其中OSA认证其实没有对用户进行任何认证操作，只是根据WLAN服务是否支持OSA认证确定对客户端的认证是否成功。当WLAN提供RSN以及WPA的安全服务时，链路认证必须使用OSA认证，而不能使用SharedKey认证。SharedKey认证是需要客户端和设备端配置共享密钥；WLAN设备会在链路认证过程中随机产生一串字符发送给客户端；客户端会对接收到字符串拷贝到新的消息中加密后发送给WLAN设备端；设备端接收到该消息后，会对解密后的字符串和最初给客户端的字符串进行比较，确定客户端是否通过认证。如果字符串匹配，则说明客户端拥有设备端相同的共享密钥，即通过了SharedKey认证；否则SharedKey认证失败。链路服务协商在完成了802.11的链路认证后，WLAN客户端会继续发起802.11链路服务协商，具体的协商通过Association报文或者Re-association报文实现。在WLAN服务发现过程中，WLAN客户端已经获得了当前服务的配置和参数(WLAN设备端会在Beacon和ProbeResponse报文中携带，例如接入认证算法以及加密密钥)。WLAN客户端在发起的Association或者Re-association请求时，会携带WLAN客户端自身的各种参数，以及根据服务配置选择的各种参数(主要包括支持的速率，支持的信道，支持的QoS的能力，以及选择的接入认证和加密算法)。WLAN客户端和WLAN服务设备端成功完成链路服务协商，表明两个设备成功建立了802.11链路。对于没有使能接入认证的服务，客户端已经可以访问WLAN网络；如果WLAN服务使能了接入认证，则WLAN设备端会发起对客户端的接入认证。2.2用户接入认证用户接入认证实现了对接入用户的身份认证，为网络服务提供了安全保护。H3C接入认证主要有802.1X接入认证，MAC接入认证以及PSK认证。其中802.1x

接入认证和MAC接入认证可以支持对有线用户和WLAN无线接入用户进行身份认证，而PSK认证则是专门为WLAN无线用户提供认证的一种方法。WLAN服务应用中，对于WPA用户或者RSN用户需要进行EAPOL-Key密钥协商。根据WLAN协议服务定义，对于WPA服务和RSN服务需要和802.1x接入认证以及PSK接入认证配合使用：在802.11链路协商的过程中，可以确定用户使用的接入认证算法；并且在链路协商成功后触发对用户的接入认证；随后需要为该接入用户的协商密钥；之后WLAN客户端才才可以访问WLAN网络。2.2.1802.1x接入认证以设备端PAE对EAP报文进行中继转发为例，IEEE802.1X认证系统的基本业务流程如下图所示（该种认证为典型的有线应用，无线局域网也可以支持该种认证）。在WLAN应用网络中，WLAN客户端Station为客户端PAE，提供WLAN服务的设备为设备端PAE。设备端通过产生一个随机Challenge发送给客户端；客户端会使用配置的密钥对该Challenge进行加密处理并将处理后的信息返回设备端；设备端根据客户端返回的加密后的Challenge以及原始的Challenge进行比较判断，设备端完成对客户端的单项认证。EAPOL-StartEAPOL-StartE卫Challenge.EAP-SuccessRADIUSAccess-RequestE卫Challenge.EAP-SuccessRADIUSAccess-Request

fEAP-ReMpcins己/工den±j■七y).RADIUSAccess-ChaiLenseRADIUSJiccess-Request

(EAF~E■豳anMe/lrtDEiChallenge).RADIUSAccess-Accept

(EAP-SucGess)握手定时器超时握手定时器超时握手请求报丈[EAF-Reque戒/工djerrtity]握手应答报文[EAF-Resp口nse/Tdenti~ty].E捉OL-Logoff.L

图1IEEE802.1X认证系统的EAP方式业务流程为了提高WLAN服务的数据安全性，IEEE802.1X和IEEE802.11i中使用了EAPOL-Key的协商过程，设备端和客户端实现动态密钥协商和管理；同时通过802.1X协商，客户端PAE和设备端PAE协商相同的一个种子密钥PMK（参见IEEE802.11i），进一步提高了密钥协商的安全性。802.1X支持多种EAP认证方式，其中EAP-TLS为基于用户证书的身份验证。EAP-TLS是一种相互的身份验证方法，也就是说，客户端和服务器端进行相互身份验证。在EAP-TLS交换过程中，远程访问客户端发送其用户证书，而远程访问服务器发送其计算机证书。如果其中一个证书未发送或无效，则连接将终断。下图描述了EAPTLS认证方式过程：RADIUSk匚cesw一匚ha.lleupt(EfcP-Ifc=F03L=±/EAP-ILS:TLSs11?jRADIUSk匚cesw一匚ha.lleupt(EfcP-Ifc=F03L=±/EAP-ILS:TLSs11?jTI£csri/ldeRti-t?deirti►RADIUSAcceCha11en.Ee〔EAF-Req口Q£t/EkF-TLSStart)/IAP-TL5:RADIUSA(EAF-S/EAP-TLS:RADIUSArcess-t图2EAPTLS认证消息序列图在无线局域网应用中，当EAPTLS认证成功时，客户端PAE和Radius服务器会对应产生公用的对称的RadiusKey，Radius服务器会在认证成功消息中将RadiusKey通知设备端PAE。客户端PAE和设备端PAE会根据该RadiusKey,客户端MAC地址以及设备端MAC地址,产生种子密钥PMK以及对应的索引PMKID。根据IEEE802.11i协议定义的算法（本文档不再对该算法进行描述，可以直接参见相应的协议），设备端PAE和客户端PAE可以获得相同的PMK,该种子密钥将在密钥协商过程（EAPOL-Key密钥协商）中使用（具体的密钥协商随后将进行专门的介绍）。2.2.2MAC接入认证MAC接入认证是另外一种接入认证方式。MAC接入认证主要为当设备端发现客户端的MAC地址为未知的MAC地址时，设备端会发起对客户端的MAC地址的认证。MAC接入认证也使用Radius服务器对客户端进行认证。当MAC接入认证发现当前接入的客户端为未知客户端，会主动向Radius服务器发起认证请求oRadius服务器完成对该客户端的认证，并通知设备端认证结果以及相应的授权信息。MAC接入认证过程不需要客户端参与,MAC接入认证可以支持有线用户和WLAN用户。无线局域网虽然没有明确采用MAC认证，当时在实际的无线局域网应用中，无线局域网会将MAC认证和其它的认证方式一起配合使用。例如，WPA和RSN的WLAN网络，可以同时使用MAC接入认证可以和PSK认证（PSK认证过程逻辑上包含EAPOL-Key的密钥协商过程）。PSK认证完成密钥协商以及预共享密钥确认；而MAC接入认证除了实现MAC地址认证外，还可以实现对该用户的计费，授权。PSK接入认证PSK接入认证为IEEE802.11i定义的一种新的接入认证方式，该认证方式仅支持WLAN接入客户端。PSK认证需要实现在客户端和设备端配置相同的预共享密钥，而具体的认证过程实际上在密钥协商过程（EAPOL-Key密钥协商过程）中完成。在密钥协商过程中，预共享密钥将作为输入生成密钥协商使用的PMK。可以通过是否能够对协商的消息成功解密，来确定本端配置的预共享密钥是否和对端配置的预共享密钥相同，完成设备端和客户端的互相认证。如果密钥协商成功，则表明PSK接入认证成功；如果密钥协商失败，则可以认为PSK接入认证失败。在WLAN应用中，PSK接入认证可以和MAC接入认证配置使用；但是对于一个客户端不能同时进行PSK接入认证和802.1X接入认证。在WLAN客户端和WLAN建立链路协商过程中，WLAN会为接入用户选择所使用的认证方式。这个在802.11用户接入过程的描述中，会给出相应的描述。2.3密钥协商密钥协商为数据安全提供有力保障，为了实现WLAN数据的安全,IEEE802.11i和IEEE802.1X定义了EAPOL-Key密钥协商机制（也称4-WayHandshake），WLAN就是用该机制实现WLAN设备和WLAN客户端的密钥协商，协商出来的密钥将作为802.11数据传输过程中的加密/解密密钥。对于支持WPA和RSN服务的WLAN，需要进行EAPOL-Key密钥协商。密钥协商过程在逻辑上可以看作接入认证的一部分，所以只有在EAPOL-Key密钥协商成功以后，接入认证才会打开端口，允许用户的报文通过。WLAN密钥协商主要包括四次握手密钥协商和组密钥协商过程，这两种密钥协商都通过EAPOL-Key报文协商实现。WLAN客户端和WLAN设备端使用四次握手机制协商该客户端的单播数据报文使用的密钥，而WLAN设备端可以通过组密钥协商过程将广播和组播使用的密钥通知所有的WLAN客户端。下图描述了四次握手密钥协商过程，该图只给出了关键参数描述，详细的处理请参见IEEE802.11i的描述：第3章H3C公司的WLAN服务H3C公司在WLAN基本协议的基础上，结合H3C公司提供的端口安全策略（接入认证）提供各种安全级别的WLAN接入服务，用户可以根据具体网络需要定制所使用的WLAN接入服务。H3C公司WLAN实现了RFC4118定义的多种WLAN架构：自治WLAN架构和集中管理WLAN架构。集中WLAN管理架构通过AC+AP的拓扑提供WLAN服务，而自治WLAN架构则采用单台设备提供WLAN服务（例如FatAP或者无线路由器）。3.1集中管理WLAN架构一般来说，集中管理WLAN架构适合于大中型网络（例如校园网，地铁等），由于WTP接入设备众多，覆盖面积广，集中架构有利于管理和集中控制。H3C公司的WLAN已经支持的集中WLAN架构的SplitMAC架构以及Tunnel数据转发模式：1）802.11的部分实时性不是特别强的功能将AC上实现（例如WLAN客户端的链路认证处理），其他功能在AP上实现；2）需要AC处理的802.11报文，可以通过CAPWAP隧道到AC处理；3）AP不进行本地数据转发，所有802.11数据报文都会通过CAPWAP直接隧道到AC，AC将完成数据的转换和转发；4）AC对于发送到客户端的报文，首先需要完成报文的转换，然后将802.11数据报文通过CAPWAP隧道到AP，最后由AP通过空口发送给客户端。下图给出了一个集中管理WLAN的组网。在该组网中，三台AC设备和多台AP设备构建了一个WLAN服务域。三台AC两两建立点对点的WLAN隧道连接，构建一个WLAN的AC组，所有的AP设备可以任意选择连接到其中的一台AC设备（例如AP1和AP2可以选择连接到AC1，AP3可以选择连接到AC2，而AP4和AP5可以选择连接到AC3）。AP设备不需要进行任何的配置，通过从连接的AC上获取配置后开始提供WLAN接入服务。

■隔LDE田B)1\SSID2■隔LDE田B)1\SSID2Internet!**■_丿hfiui、SaiM^匸卩.liididiticatioVeibnxl图3集中管理WLAN架构组网根据网络服务需要，在不同的AP上可以提供不同的WLAN服务，一个WLAN服务也可以在多个AP上同时提供，甚至在一个AP上可以同时提供几个不同的WLAN服务，不同的WLAN可以选择不同的服务策略。如图所示，SSID1（蓝色的WLAN服务）可以为明文WLAN服务，而SSID2（红色的WLAN服务）则提供RSNWLAN服务。WLAN客户端可以适当选择AP接入WLAN网络。如图所示，用户1选择SSID1的WLAN服务通过AP1接入网络；用户2选择SSID2的WLAN服务通过AP1接入网络；而用户3选择SSID2的WLAN服务通过AP5接入WLAN网络。3.2自治3.2自治WLAN架构对于小型的网络，例如家庭使用或者小型公司使用，没有必要使用集中管理WLAN，可以直接采用自治WLAN架构。通常，可以使用一台设备实现自治WLAN，提供WLAN的接入服务，不但应用简单，而且可以节约大量的成本。对于自治WLAN，H3C公司的WLAN也支持一台设备同时提供多个WLAN服务，而且不同的WLAN可以选择不同的服务策略。下图给出了一个通过自治WLAN架构组建的一个WLAN网络。在该网络中，两个自治的AP提供WLAN的接入服务，所有的WLAN客户端可以通过这两个AP连接到WLAN网络，并最终访问Internet。在该网络中，API提供两个WLAN接入服务，其中SSID1提供明文WLAN接入服务，而SSID2则提供RSNWLAN服务；AP2也提供两个WLAN接入服务，其中SSID2提供RSNWLAN接入服务，而SSID3则提供WPAWLAN服务。由于AP1和AP2同时提供SSID2的接入服务，用户1可以同时发现AP1和AP2提供的服务，用户1根据网络信号情况可以选择接入到AP1的SSID2的WLAN网络中；而用户2只能通过AP2接入到SSID3的WLAN网络中。用.Eeiwer廳IDEHiitherLtica+ionSeii.rerSSID2（ESH讥壮精备）用.Eeiwer廳IDEHiitherLtica+ionSeii.rerSSID2（ESH讥壮精备）/'SSID3（阳血孔处賀备）厂、AInternet〔明丈阪沁图4自治WLAN架构组网3.3WLAN接入认证WLAN密切相关的接入认证（包含EAPOL-Key密钥协商过程），可以提供下面的四种接入认证组合：802.1X认证（包含EAPOL-Key密钥协商）；PSK认证（包含EAPOL-Key密钥协商）MAC认证+PSK认证（包含EAPOL-Key密钥协商）802.1x认证（包含EAPOL-Key密钥协商）或者PSK认证（包含EAPOL-Key密钥协商）特别对于第四种接入认证组合，其实是第一种和第二种接入认证的组合；WLAN设备端可以选择使用PSK认证，也可以选择802.1X认证对WLAN客户端进行接入认证。对于根据前面接入认证组合，H3C公司的WPA和RSN的WLAN服务可以支持对WLAN客户端支持三种接入认证方式。在进行802.11链路协商的过程中，WLAN会根据用户的参数以及自身接入认证的配置为用户选择一种接入认证方式：802.1x认证（包含EAPOL-Key密钥协商）PSK认证（包含EAPOL-Key密钥协商）MAC认证+PSK认证（包含EAPOL-Key密钥协商）3.4WLAN服务的数据安全WLAN相对于有线网络，存在着天生的数据安全问题。在一个区域内的所有的WLAN设备共享一个传输媒介，任何一个设备可以接收到其他所有设备的数据，这个特性直接威胁到WLAN接入数据的安全。802.11协议也在致力于解决WLAN的安全问题，主要的方法为对数据报文进行加密，保证只有特定的设备可以对接收到的报文成功解密。其他的设备虽然可以接收到数据报文，但是由于没有对应的密钥，无法对数据报文解密，从而实现了WLAN数据的安全性保护。目前H3C的WLAN支持四种安全服务：明文数据：该种服务本质上为无安全保护的WLAN服务，这里也将其作为一种安全服务进行介绍。该种服务在IEEE802.11协议中定义,所有传输的数据报文都是没有通过加密处理的。WEP安全保护：该种服务使用WEP加密机制，致力于获得与基本的有线网络同等的安全。该种服务也在IEEE802.11协议中定义，所有传输的数据报文都是通过WEP机制进行加密处理。TKIP安全保护：该服务主要使用TKIP加密机制实现对数据报文的安全保护，该安全机制主要在WPA相关协议中定义。TKIP加密机制除了提供数据的加密处理，还提供了MIC和Countermeasure功能实现对WLAN服务的安全保护。TKIP和WEP虽然使用了相同的RC4加密算法，但是在整个机制上TKIP能够提供比WEP更高的安全性。CCMP安全保护：该服务主要使用CCMP加密机制对数据报文进行保护，该安全机制在IEEE802.11i中定义。CCMP机密机制采用了更安全的对称加密算法AES，是目前WLAN支持的最安全的数据报文保护机制。H3C的WLAN不但可以提供上面四种安全服务，而且可以提供上面四种安全服务的组合服务。例如，在一个WLAN服务中，部分用户可以使用TKIP加密机制，而其他的RSN用户可以选择使用CCMP加密机制。3.5WLAN接入服务H3C公司WLAN不但提供了基本WLAN接入服务，而且可以根据不同应用环境以及相应特点，提供不同需求的WLAN接入服务。3.5.1明文WLAN服务明文WLAN服务是一种没有数据安全保护的WLAN服务，采用明文数据安全策略。WLAN设备端对提供的服务进行如下的设置：使能OSA链路认证；不能使能其他的WLAN的安全策略配置，例如RSN，WPA等等；可以选择对该WLAN服务进行接入认证（认证策略和有线用户相同）。明文WLAN服务是WLAN协议定义最早的服务之一，为了避免用户的在其它WLAN安全服务中提供该种服务而造成对网络的安全威胁。H3C将明文WLAN服务作为一种独立的服务，在配置上进行限制不能和其他的安全服务混合使用，WLAN客户端不能选择其他的链路认证方式。下图明文WLAN服务只能允许明文的无线终端用户接入；对于选择其他方式的无线终端用户，WLAN将拒绝提供接入服务。如下图只有用户1可以成功接入到AP提供的WLAN服务中，其他三个用户都无法访问该WLAN服务。虻AT_垢徉"shadedK%认iiE虻AT_垢徉"shadedK%认iiE户-使用映r■加誌机潮-采用TkiRfti蛮机瀚用卢齐-■-______-选择Cl£A衣iit-采罔明丈接人户4:-E■诵户-附口?加痿机制毗疏等：-明丈慑毎-口啟认iiE-禁止真牠所有閃雯全患算对于明文WLAN服务，接入认证和WLAN为两个独立的特性功能，可以根据需要选择是否对明文接入的WLAN客户端进行接入认证。如果没有选择接入认证，当WLAN客户端成功和WLAN设备端完成链路认证和链路服务协商，WLAN客户端就可以成功的访问WLAN网络了。如果使能了接入认证，则接入认证会控制只有通过接入认证的WLAN客户端才允许访问WLAN网络，否则所有的WLAN客户端的数据报文将被丢弃。3・5・2WEP加密WLAN服务WEP加密WLAN服务提供了对于数据报文的安全保护，使用WEP加密机制对WLAN客户端和WLAN设备端的数据进行保护。WEP加密机制需要WLAN设备端以及所有接入到该WLAN网络的客户端配置相同的密钥。WEP加密机制采用RC4算法（一种流加密算法），最初WLAN仅支持WEP40（WEP40算法的密钥长度仅为64bits）,当前WLAN还可以支持WEP104（WEP104算法的密钥长度仅为128bits）。但是一个WLAN服务只能允许使用WEP40或者WEP104，两种算法不能同时使用。虽然WEP104在一定程度上提高了WEP加密的安全性，但是受到RC4加密算法以及静态配置密钥的限制，WEP加密还是存在比较大的威胁。例如如果一个WLAN客户端发生遗失，会造成整个网络的安全漏洞。提供WEP加密机制的WLAN的服务时，WLAN可以选择另外一种链路认证算法（SharedKey认证）实现对802.11链路的安全性保护。另外，WEP加密WLAN服务可以和普通的接入认证配合使用。提供WEP加密WLAN用户接入服务（进行SharedKey链路认证），需要进行如下的设置：使能SharedKey链路认证；使能WEP40加密算法或者WEP104加密算法；可以选择对该WLAN服务的用户进行接入认证下图WEP加密WLAN服务只能允许使用WEP加密的无线终端用户接入；对于选择明文方式，WPA方式或者RSN方式的无线终端用户，WLAN将拒绝提供接入服务。如下图只有用户2可以成功接入到AP提供的WLAN服务中，其他三个用户都无法访问该WLAN服务。对于WEP加密WLAN服务,和明文WLAN服务相同，可以选择是否对接入的WLAN客户端进行接入认证。如果没有选择接入认证，当WLAN客户端成功和WLAN设备端完成链路认证和链路服务协商，WLAN客户端就可以成功的访问WLAN网络了。如果使能了接入认证，则接入认证会控制只有通过接入认证的WLAN客户端才允许访问WLAN网络，否则所有的WLAN客户端的数据报文将被丢弃。WPAWLAN服务WPAWLAN服务最初在RSN服务（IEEE802.11i协议）之前提出，主要使用TKIP加密机制实现对WLAN数据报文的安全保护，在一定程度上解决了WEP加密机制的一些弱点。例如，WPA可以通过密钥协商机制，为每一个用户协商特定的密钥。随着技术的发展，当IEEE802.11i提出了CCMP加密机制以后，对于WPA的WLAN服务在加密机制上也进行了扩展，进而可以支持CCMP加密机制。H3C公司的WPAWLAN可以支持TKIP加密机制和CCMP加密机制，而且可以兼容WEP加密机制（组播和广播可以使用WEP加密机制进行保护），但是WPAWLAN服务必须指定TKIP加密机制或者CCMP加密机制。TKIP和WEP加密机制都是使用RC4算法，但是TKIP加密机制相比WEP加密机制可以为WLAN服务提供更加安全的保护。首先，TKIP通过增长了算法的IV长度提高了WEP加密的安全性；其次，TKIP支持密钥的动态协商，解决了WEP加密需要静态配置密钥的限制；另外，TKIP还支持了MIC认证和Countermeasure功能。WPAWLAN服务必须和接入认证配合使用，可以和“接入认证组合”中的任何一个配合使用。也就是WLAN可以支持“接入认证组合”中描述的三种接入认证方式。WPAWLAN可以支持上面两种加密机制和四种“接入认证组合”的混合使用，WLAN客户端可以选择任何一种支持的加密机制和接入认证方式访问WLAN网络。WLAN提供WPA用户接入服务，需要进行如下的设置：必须使能OSA链路认证；必须使能WPA功能；必须配置一种“接入认证组合”，例如802.1X认证（包括EAPOL-Key密钥协商）；必须指定数据加密机制，例如TKIP或者CCMP;下图WPAWLAN服务只允许WPA的无线终端用户接入，对于选择明文方式，WEP加密或者RSN方式的无线终端用户，WLAN将拒绝提供接入服务；而WPA客户端可以选择TKIP加密机制或者CCMP加密机制；另外对于WPA无线客户端，WLAN可以选择任何一种“接入认证方式，对客户端进行认证。用户3和用户4都是WPA用户，分别选择使用TKIP加密机制和CCMP加密机制，两个用户都可以成功的接入WLAN服务；但是WLAN服务将拒绝其他的用户接入。胡户1■—-选悻0凯认证胡户1■—-选悻0凯认证-采抨明丈蹇人师户4;-伽密机制准■,.闻户責—选ISSF^Y^lKeTtMSWAj甲"卢-便用百印技加密机制-采咼Grip血吃轨剤-伽ccmf■加謎机制用户亍他碱务：-衣会舉毎一OSAUiCi-便誥屉A-恢能TXIP述CCMP加麼机剽RSNWLAN服务IEEE802.11i定义了RSNWLAN服务，该WLAN采用了CCMP加密机制，使用比RC4更加安全的AES加密算法，首先在算法上解决了前面提到的加密机制的弱点。CCMP加密机制需要和密钥协商以及接入认证配置使用。接入认证对WLAN客户端进行认证，计费以及授权，并且可以为密钥协商提供共享的种子密钥PMK（特别802.1X接入认证可以使用非对称机制为WLAN客户端和设备端提供PMK，保证种子密钥的安全性）；密钥协商不但完成了对于输入种子密钥的认证过程，而且为后续的链路数据报文的安全保护提供对应的密钥；最后WLAN采用CCMP加密机制对所有的数据报文进行加密保护。RSNWLAN可以兼容TKIP和WEP加密机制，例如，RSNWLAN可以采用TKIP加密机制，对于广播和组播报文也可以采用WEP加密机制；但是RSNWLAN服务必须指定TKIP加密机制或者CCM