3.     IEEE 802.11i工作组

802.11标准定义了WEP安全机制，WEP本意是“等同有线的安全”。WEP采用RC4流加密算法，为避免加密key的重复使用，WEP引入了24位的IV。对于24位的IV, 5000个报文后就有50%的机率出现重复的IV。2001年8月，Scott Fluhrer、Itsik Mantin和Adi Shamir公开了对WEP的分析报告，展示了完全可能在1分钟内完成对WEP的破解。除了加密算法的瑕疵，WEP没有提供出有效的密钥管理机制，密钥完全是静态配置，非常不适合企业等大规模部署场景。此外，WEP的共享密钥认证机制也是漏洞百出。总之，WEP机制无论在加密强度、用户认证、数据完整性和密钥管理方面都存在着大量的安全漏洞。

面对诸多的WEP安全漏洞，IEEE 802.11在2002年迅速成立了802.11i工作组，以解决WEP的上述问题。考虑到企业等规模部署应用需要扩展性很好的安全管理机制，工作组采用了802.1x、Radius体系来完成接入用户的身份认证。无论802.1x还是Radius体系都早已广泛部署并获得了业界的认可，同时支持灵活的扩展，提供了EAP-TLS、EAP-TTLS、EAP-PEAP等大量认证方法来灵活满足各种部署要求。所以，802.11i工作组只需要关注无线空口的安全，包括提高数据报文的加密强度、确保数据报文完整性、实现加密密钥的动态协商。对于数据加解密，802.11i使用了AES-CCM和TKIP算法；完整性校验采用Michael和CBC算法；同时基于4次握手过程实现了密钥的动态协商。

http://www.h3c.com.cn/res/200908/12/20090812_814898_image002_644436_30008_0.jpg

图2 Radius和802.11i认证过程

4.     中国WAPI标准 

针对WLAN安全问题，中国制定了自己的WLAN安全标准：WAPI。

WAPI基本架构上和802.11i采用的AAA架构类似，也包括了三个实体，即鉴别请求者系统（WLAN终端）、鉴别器系统（WLAN设备）和鉴别服务系统；但与其他WLAN安全机制（如802.11i）相比，具有支持双向身份鉴别、数字证书身份凭证等优势。 

http://www.h3c.com.cn/res/200908/12/20090812_814899_image003_644436_30008_0.jpg

图3 WAPI协议基本过程

    整个WAPI协议过程主要包括两个阶段：

• WLAN终端和WLAN设备把各自证书发给鉴别服务器，后者负责判断证书的合法性；
• WLAN终端和WLAN设备通过报文交互，完成相互的身份认证和密钥协商。

    WAPI一直致力于标准的国际化，但是遭遇很大的阻力。在搁浅5年之后的2009年，我国提出的无线局域网安全技术标准WAPI有望获国际认可，晋升国际标准。日前，WAPI产业联盟宣布，WAPI已获得国际标准组织ISO/IECJTC1/SC6的提案邀请，将作为独立标准重新进入国际标准流程。此外，工信部已经明确：只要支持WAPI，具有Wi-Fi功能的手机就可以获得入网许可。总的看来，WAPI产业当前已经得到了很好的标准和政策支持。
    为了推动WAPI的实际应用，H3C提出了WAPI over EAP的WAPI部署方案，实现了WAPI和电信现有Radius系统的很好融合，节省了用户单独部署鉴别服务器的成本，简化了管理，实现了802.11i和WAPI用户的统一认证管理。

总结

    WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。用户对WLAN安全的关注，以及由应用促使的对更高吞吐的呼唤、对可管理性的更高要求等，推动了WLAN技术的不断创新和技术标准的不断完善。

参考文献

[1] [RFC5415]  Calhoun, P., Montemurro, M., and D.Stanley, "Control And Provisioning of Wireless Access Points (CAPWAP) Protocol Specification", March 2009.

[2] [RFC5416]  Calhoun, P., Montemurro, M., and D.Stanley, "Control and Provisioning of Wireless Access Points (CAPWAP) Protocol Binding for IEEE 802.11", RFC 5416, March 2009.

[3] [IEEE.802-11.2007]  "Information technology - Telecommunications and information exchange between systems - Local and metropolitan area networks – Specific requirements - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications", IEEE Standard 802.11, 2007

[4] [IEEE.802-11.2007]  基于痩AP架构实现WAPI  作者史扬　蔡自彬　蔡贤森

缩略语

CAPWAP  Control and Provisioning of Wireless Access Points

SDM        Spatial Division Multiplexing

MIMO       Multiple Input Multiple Output

OFDM       Maximal-Ratio Combining

SNR        Signal Noise Ratio

WEP        Wired Equivalent Privacy

WAPI       Wireless Area Network Authentication and Privacy Infrastructure

WAI        WLAN Authentication Infrastructure

IV         Initialization Vector