华为WLAN技术基础培训教材课件.pptx

上传人(卖家):三亚风情 文档编号:2191329 上传时间:2022-03-19 格式:PPTX 页数:104 大小:2.31MB
下载 相关 举报
华为WLAN技术基础培训教材课件.pptx_第1页
第1页 / 共104页
华为WLAN技术基础培训教材课件.pptx_第2页
第2页 / 共104页
华为WLAN技术基础培训教材课件.pptx_第3页
第3页 / 共104页
华为WLAN技术基础培训教材课件.pptx_第4页
第4页 / 共104页
华为WLAN技术基础培训教材课件.pptx_第5页
第5页 / 共104页
点击查看更多>>
资源描述

1、HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 1pWLANWLAN的总体技术发展的总体技术发展pWLANWLAN设备类型简介及应用场景设备类型简介及应用场景pWLANWLAN的关键技术点介绍的关键技术点介绍pWLANWLAN无线接入过程无线接入过程pWLANWLAN网络安全网络安全p瘦瘦APAP发现发现ACAC的机制的机制pWLANWLAN漫游漫游pWLANWLAN负载均衡和冗余备份负载均衡和冗余备份pWLANWLAN用户带宽控制用户带宽控制&QoS&QoSp不同应用场景下不同应用场景下BRAS,AC,APBRAS,AC,AP业务流

2、程业务流程pACAC组网、组网、VLANVLAN配置配置p智能天线智能天线HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 2WLAN标准演进lIEEE 802.11 - The original 1 Mbit/s and 2 Mbit/s, 2.4 GHz RF and IR standard (1999) lIEEE 802.11a - 54 Mbit/s, 5 GHz standard (1999, shipping products in 2001) lIEEE 802.11b - Enhancements to 802.11

3、to support 5.5 and 11 Mbit/s (1999) lIEEE 802.11c - Bridge operation procedures; standard (2001) lIEEE 802.11d - International (country-to-country) roaming extensions (2001) lIEEE 802.11e - Enhancements: QoS, (2005) lIEEE 802.11F - Inter-Access Point Protocol (2003) Withdrawn February 2006 lIEEE 802

4、.11g - 54 Mbit/s, 2.4 GHz standard (backwards compatible with b) (2003) lIEEE 802.11h - Spectrum Managed 802.11a (5 GHz) for European compatibility (2004) lIEEE 802.11i - Enhanced security (2004) lIEEE 802.11k - Radio resource measurement enhancements lIEEE 802.11m - Maintenance of the standard; odd

5、s and ends. lIEEE 802.11n - Higher throughput improvements using MIMO (Draft 2.0)lIEEE 802.11p - WAVE - Wireless Access for the Vehicular Environment lIEEE 802.11r - Fast roaming Working lIEEE 802.11s - ESS Mesh Networking lIEEE 802.11T - Wireless Performance Prediction (WPP) lIEEE 802.11u - Interwo

6、rking with non-802 networks (for example, cellular) lIEEE 802.11v - Wireless network management lIEEE 802.11w - Protected Management Frames HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 3WLAN相关组织lWIFI联盟p基本与802.11一致,但对应用和业务感受考虑更细致一些p制定WPA/WPA2、WMM/WMM PS/WMM AC、SSC、MESH、视频、语音、切换等标准p联盟关注和加强产品和

7、功能的认证测试lWAPI联盟p2006年3月7日,在国家发改委、科技部、信息产业部三部委指导下,WAPI产业联盟成立,包括4大运营商在内的22家单位成为首批会员p2003年5月,以WAPI为安全方案的两项国家标准GB 15629.11/1102颁布 p2006年1月,无线局域网国家标准GB 15629.11第1号修改单以及3项扩展子项国家标准颁布 lIEEEp非营利性科技学会,全球最大的专业学术组织 ,设有IEEE标准协会IEEE-SA(IEEE Standard Association),负责标准化工作。p负责制定802.11系列标准 lIETFpInternet 工 程 任 务 组 p负责

8、制定集中控制型AC+AP标准,形成RFC文档HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 4WLAN技术发展趋势(1/3)小范围室内覆盖802.11s大范围热区覆盖AP 模式802.11b802.11a/g802.11n11Mbps54Mbps300Mbps自主管理小规模网络轻量级管理大规模网络安全WEP802.11iWAPIHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 5WLAN技术发展趋势(2/3)lWLAN标准的演进有如下四条主线:标准的演进有如下四条主线:p速率提

9、升:802.11(2Mbps) 802.11b(11Mbps) 802.11g/a(54Mbps) 802.11n(320Mbps)p安全提升:nWEP WPA WPA2 802.11inWAPIp应用优化:包含一系列针对应用的标准:802.11e(QoS)、802.11r(快速漫游)、802.11f(无缝漫游)、802.11h(自动频率选择和发送功率控制)等pAP管理:自主管理集中管理HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 6WLAN技术发展(3/3)l从标准制定的历程可看出其从标准制定的历程可看出其WLAN技术演进的特点:

10、技术演进的特点:pWLAN技术持续演进。一项技术逐渐成熟过程中,后续技术就已开展研发p无线带宽不断增加,通过物理层的调制编码技术的更新换代,向宽带无线网络演进p无线网络的可管理性继续增强。设备配置管理,网络安全,终端平滑切换等特性相继引入,有利于构建可营运网络p另一方面,由于WLAN技术越来越复杂,参与厂商增多。WIFI标准化的周期显著增长。例如802.11s和802.11v标准都大大延长了标准制定周期HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 7pWLANWLAN的总体技术发展的总体技术发展pWLANWLAN设备类型简介及应用场

11、景设备类型简介及应用场景pWLANWLAN的关键技术点介绍的关键技术点介绍pWLANWLAN无线接入过程无线接入过程pWLANWLAN网络安全网络安全p瘦瘦APAP发现发现ACAC的机制的机制pWLANWLAN漫游漫游pWLANWLAN负载均衡和冗余备份负载均衡和冗余备份pWLANWLAN用户带宽控制用户带宽控制&QoS&QoSp不同应用场景下不同应用场景下BRAS,AC,APBRAS,AC,AP业务流程业务流程pACAC组网、组网、VLANVLAN配置配置p智能天线智能天线HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 8“瘦”AP

12、技术“胖”AP“瘦” AP集中控制器AC802.11a/b/g/n天线策略移动性转发加密认证管理加密认证安全的透明的隧道集中式的管理丰富的功能容易部署的“AP”HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 9“胖”AP与“瘦”AP组网技术对比l胖胖AP组网:组网:p每个AP都是一个单独的节点 ,独立配置其信道和功率;安装简便p每个AP独立工作,较难扩展到大型、连续、协调的无线局域网和增加高级应用 p每个AP都需要独立配置安全策略,如果AP数量增加,将会给网络管理、维护及升级带来较大的困难p很难进行无线网络质量的优化数据的采集l瘦瘦A

13、P组网:组网:p通过AC对AP群组进行自动信道分配和选择,及自动调整发射功率,降低AP之间的互干扰,提高网络动态覆盖特性 p支持二层/三层漫游切换p容易实现非法AP检测和处理 p管理节点上移后,运维数据采集针对AC而非AP,解决了网管系统受限于AP处理能力和性能的问题HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 10AAA WEB AAA WEB WLAN网管网管ME60BAS华为认证计费华为认证计费系系统统IP骨干网骨干网城域城域汇汇聚网聚网APAPAPAPWLAN终终端端家庭用家庭用户户商商业业用用户户采用华为统一网管通过SNM

14、P或TR069远程管理控制AP由BAS提供宽带用户接入认证鉴权、计费无线信道管理、无线接入安全由AP控制胖AP接入组网方案HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 11城域城域汇汇聚网聚网AAA WEB AAA WEB IP骨干网骨干网WLAN统统一网管一网管Huawei AC用户认证计费一般由功能强大的BAS负责Wlan用户关联,无线接入控制和安全由AC集中管理通过SNMP网管、telnet、WEB直接管理AC对AP,通过AC间接管理减少管理维护工作量AP、AC间建立管理通道;AC对AP集中配置管理;AP监测无线信息汇集到AC

15、AC对无线信道集中智能管理;无线信道数据加密、解密由AP完成瘦AP+AC组网方案HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 12室内热点覆盖(办公场所,会议室,图书馆等)室内热点覆盖(办公场所,会议室,图书馆等)办公场所覆盖:提供企业内部的语音、多媒体(比如视频会议、演示等)应用,并推动企业内部的移动办公。会议室、图书馆的WLAN简易快速覆盖:AP放装在室内空间的适当位置适用适用APAP:WA601WA601、WA602WA602AP发射功率:100mW /20dBm覆盖距离:3050米HUAWEI TECHNOLOGIES CO

16、., LTD.Huawei Confidential Page 13将将 WLAN WLAN 无线信号通过合路器馈入原有无线信号通过合路器馈入原有GSM/CDMA/3G/PHS GSM/CDMA/3G/PHS 室内覆盖系统天馈,对原有天馈室内覆盖系统天馈,对原有天馈系统进行扩频改造,以实现二网共用天馈。系统进行扩频改造,以实现二网共用天馈。室内分布式覆盖(可共享2G/3G/PHS室内分布天线)滤波合路滤波合路器器功分器功分器/ /耦合器耦合器功分器功分器/ /耦合器耦合器功分器功分器/ /耦合器耦合器室内分布系统室内分布系统WA631/ WA631/ WA632WA632GSM/CDMA/PH

17、SGSM/CDMA/PHS适用适用APAP:WA631,WA632WA631,WA632AP发射功率:500mW /27dBm采用室内分布天线时,通常每天线覆盖半径在1015米内。由于天线发射功率较小,对大的室内空间,天线应按一定距离连续布设。 HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 14无线城市l利用住宅区、楼宇、街区路口、树干、路灯等场所挂上利用住宅区、楼宇、街区路口、树干、路灯等场所挂上APAP接入点,组成城域接入点,组成城域WLANWLAN网络,网络,提供提供警务(比如实时交通和安全视频监视、巡警高速数据接入、现场调查

18、人员提供移动宽警务(比如实时交通和安全视频监视、巡警高速数据接入、现场调查人员提供移动宽带接入)、政务(比如市政办公移动接入互联网)、企业带接入)、政务(比如市政办公移动接入互联网)、企业/市民市民/访客移动接入等应用。访客移动接入等应用。适用适用APAP:WA651,WA652WA651,WA652AP发射功率:500mW /27dBm覆盖距离:500米可通过提高天线增益扩大覆盖距离HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 15园区覆盖“小区入户难,无入户线缆小区入户难,无入户线缆”:l对于某些被对手占据的小区,小区内部布线资

19、源不可用,可以采用无线方式接入小区内用户对于某些被对手占据的小区,小区内部布线资源不可用,可以采用无线方式接入小区内用户l克服天然或人为的对光纤的障碍,避免光纤挖沟敷设所需的时间和花费克服天然或人为的对光纤的障碍,避免光纤挖沟敷设所需的时间和花费l快速扩展进入新的市场和增加运营收入快速扩展进入新的市场和增加运营收入适用适用AP:WA651,WA652,WA656HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 16pWLANWLAN的总体技术发展的总体技术发展pWLANWLAN设备类型简介及应用场景设备类型简介及应用场景pWLANWLA

20、N的关键技术点介绍的关键技术点介绍pWLANWLAN无线接入过程无线接入过程pWLANWLAN网络安全网络安全p瘦瘦APAP发现发现ACAC的机制的机制pWLANWLAN漫游漫游pWLANWLAN负载均衡和冗余备份负载均衡和冗余备份pWLANWLAN用户带宽控制用户带宽控制&QoS&QoSp不同应用场景下不同应用场景下BRAS,AC,APBRAS,AC,AP业务流程业务流程pACAC组网、组网、VLANVLAN配置配置p智能天线智能天线HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 17无线接入过程三个阶段STASTA(工作站)启动初

21、始化、开始正式使用(工作站)启动初始化、开始正式使用APAP传送数据帧前,要经过三个阶传送数据帧前,要经过三个阶段才能够接入:段才能够接入:1)1)扫描阶段(扫描阶段(SCANSCAN)2)2)认证阶段认证阶段 (Authentication)(Authentication)3)3)关联(关联(AssociationAssociation)HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 18无线接入过程 扫描阶段l无线接入第一阶段:扫描(无线接入第一阶段:扫描(SCANSCAN)阶段)阶段l若无线站点STA设成infrastructu

22、re模式:802.11 MAC 使用Scanning来搜索AP, 有两种方式p主动扫描方式 (特点:能迅速找到)nSTA依次在11个信道发出Probe Request帧,寻找与STA所属有相同SSID的AP,若找不到相同SSID的AP,则一直扫描下去.p被动扫描方式(特点:找到时间较长,但STA节电)nSTA被动等待AP每隔一段时间定时送出的Beacon信标帧,该帧提供了AP及所在BSS相关信息:“我在这里”HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 19无线接入过程 认证阶段l无线接入第二阶段:认证(无线接入第二阶段:认证(Au

23、thenticationAuthentication)阶段)阶段l当STA找到与其有相同SSID的AP,在SSID匹配的AP中,根据收到的AP信号强度,选择一个信号最强的AP,然后进入认证阶段。只有身份认证通过的站点才能进行无线接入访问。华为的AP提供如下认证方法(后续胶片会逐一讲解每种认证方法),包括:p开放系统身份认证(open-system authentication)p共享密钥认证(shared-key authentication)pWPA PSK认证( Pre-shared key)p802.1X EAP认证HUAWEI TECHNOLOGIES CO., LTD.Huawei

24、Confidential Page 20无线接入过程 关联阶段l无线接入第三阶段:关联(无线接入第三阶段:关联(AssociationAssociation)阶段)阶段当AP向STA返回认证响应信息,身份认证获得通过后,进入关联阶段。p1. STA向AP发送关联请求p2. AP 向STA返回关联响应至此,接入过程才完成,STA初始化完毕,可以开始向AP传送数据帧。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 21无线接入过程示意图HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Pag

25、e 22pWLANWLAN的总体技术发展的总体技术发展pWLANWLAN设备类型简介及应用场景设备类型简介及应用场景pWLANWLAN的关键技术点介绍的关键技术点介绍pWLANWLAN无线接入过程无线接入过程pWLANWLAN网络安全网络安全p瘦瘦APAP发现发现ACAC的机制的机制pWLANWLAN漫游漫游pWLANWLAN负载均衡和冗余备份负载均衡和冗余备份pWLANWLAN用户带宽控制用户带宽控制&QoS&QoSp不同应用场景下不同应用场景下BRAS,AC,APBRAS,AC,AP业务流程业务流程pACAC组网、组网、VLANVLAN配置配置p智能天线智能天线HUAWEI TECHNOL

26、OGIES CO., LTD.Huawei Confidential Page 23WLAN网络安全WLANWLAN网络安全包括两个方面网络安全包括两个方面1.1.用户身份验证,防止未授权访问网络资源。用户身份验证,防止未授权访问网络资源。2.2.数据加密,以保护数据完整性和数据传输私密性。数据加密,以保护数据完整性和数据传输私密性。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 24WLAN网络安全相关标准lWPA (Wi-Fi Protected Access) - IEEE 802.11i标准致力于无线安全的各个方面,在制定IE

27、EE802.11i标准期间,无线局域网厂家已经走在前头,在尽可能多地实现该标准指定的功能,因为Wi-Fi联盟根据802.11草案的内容开发了Wi-Fi受保护的接入lWPA2 - Wi-Fi受保护的接入第2版(WPA2)是基于最终的802.11i标准的l802.11i - IEEE 802.11i的新一代安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。lWAPI - 中国在无线局域网国家标准GB15629.11-2003中提出了WAPI机制来实现无线局域网的安全之前使用的加密机制

28、和认证机制之前使用的加密机制和认证机制l加密机制:加密机制:802.11WEP - 也是IEEE提供的第一代用于无线认证和加密的安全解决方案l认证机制:认证机制:p无线局域网802.11标准定义了两种验证无线局域网客户端的机制:1.开放式认证开放式认证2.共享密钥认证共享密钥认证p还有其他两个常用的机制:1.基于基于SSID的认证的认证2.MAC地址认证地址认证802.11i和和WAPI是是认证认证和加密算法的重点,也是目前运和加密算法的重点,也是目前运营营商最关注的两种安全解决方案,将在本商最关注的两种安全解决方案,将在本章章节节重点介重点介绍绍。 。HUAWEI TECHNOLOGIES

29、CO., LTD.Huawei Confidential Page 25HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 26IEEE 802.11i标准致力于无线安全的各个方面。在制定IEEE802.11i标准期间,无线局域网厂家已经走在前头,在尽可能多地实现该标准指定的功能,因为Wi-Fi联盟根据802.11草案的一内容开发了Wi-Fi受保护的接入(Wi-Fi Protected Access,WPA)。WPA提供了下述无线局域网安全措施:l通过PSK( Pre-shared key)进行用户验证或进行802.1x(EAP)基于服务

30、器的认证;l客户端和服务器之间的双向认证;l使用暂时密钥完整性协议(暂时密钥完整性协议(Temporal Key Integrity Protocol,TKIP)或者PPK (Per-Packet Keying,每报文密钥)确保数据隐秘性;l使用消息完整性校验(Message Integrity Check,MIC)确保数据完整性支持WPA并不需要进行硬件升级,只要进行固件和软件升级即可。WPAPSKPSK( Pre-shared keyPre-shared key)认证方式)认证方式该方式要求在STA侧预先配置Key,AP通过4次握手Key协商协议来验证STA侧Key的合法性。对没有什么重要

31、数据的小型网络而言,可以使用WPAPSK 的预设共享密钥模式。主要把预设共享密钥方式的WPA-PSK 应用于小型、风险低的网络以及不需太多保护的网络用户。对大企业而言,安全性要求较高,更多的使用802.1X。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 27TKIP利用无线客户端和AP嵌入的现有WEP加密硬件。WEP加密过程与以前相同,但WEP密钥的生成频率更高,而不是像使用基于EAP的认证方法时那样在每次重新认证是生成WEP密钥。实际上,TKIP为每个分组生成新的WEP密钥。客户适用于基本EAP的方法对客户端进行认证(或重新认证)

32、时,将生成一个初始密钥。该密钥是通过混合发送方(客户端或AP)的MAC地址和一个序列号生成的。发送每个分组时,都将更新该WEP密钥。客户端被重新认证时,将生成一个全新的WEP密钥,然后再每个分组时更新该密钥。如果没有使用或不需要外部认证服务器,WPA可以使用预共享密钥进行认证。在这种情况下,客户端和AP相互进行认证时将只适用该预共享密钥。数据隐秘性(加密)根本不使用预共享密钥,而由TKIP负责进行加速加密密钥更新,以便用于进行WEP加密。WPA TKIP加密算法HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 28WPA2(802.11

33、i)Wi-Fi受保护的接入第2版(WPA2)是基于最终的802.11i标准的,从这个角度来说WPA2的标准其实与802.11i一致,与WPA相比,主要是改进措施是:1.使用AES (Advanced Encryption Standard,高级加密标准)进行加密。AES是一种健壮,可扩展的加密方法。WPA2也支持使用TKIP对数据进行加密,以便向后同WPA兼容。使用WPA和其他基于EAP的认证方法时,无线客户端必须向要访问的每个AP进行认证。如果客户端从一个AP移到另一个AP,将需要不断进行认证,这很麻烦。WPA2使用主动密钥缓存(proactive key caching,PKC)解决了这个

34、问题,客户端只需认证一次向它遇到的第一个AP认证。只要客户端访问的其他AP的都支持WPA2,且被配置为属于一个逻辑组,就将自动传递缓存的认证信息和密钥。2.使用IDS(Intrusion Detection System,入侵检测系统)来识别并防范攻击。由于使用AES加密,所以WPA2比WPA更消耗CPU资源,通常需要硬件升级。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 29l增强了STA和AP的认证机制 支持802.1x认证方式 支持Pre-shared key认证方式l增加了 Key的生成、管理以及传递的机制 每用户使用独立的

35、Key 通过安全的传递方法传递用户数据加密使用的Keyl增加了两类对称加密算法,加密强度大大增强 TKIP(临时密钥完整性协议):其中TKIP采用WEP机制里的RC4作为核心加密算法,可以通过在现有的设备上升级固件和驱动程序的方法达到提高WLAN安全的目的 CCMP(计数器模式CBC-MAC 协议):核心为AES(Advanced Encryption Standard,先进加密标准)算法,由于AES对硬件要求比较高,因此CCMP无法通过在现有设备的基础上进行升级实现。 WRAP: WRAP机制基于AES加密算法和OCB(Offset Codebook),是一种可选的加密机制。802.11i协

36、议 安全认证和加密IEEE 802.11i的新一代安全标准为了增强WLAN的数据加密和认证性能,定义了RSN(Robust Security Network)的概念,并且针对WEP加密机制的各种缺陷做了多方面的改进。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 30WPA,WPA2 & 802.11i技术总结l802.11i协议的核心内容包括:协议的核心内容包括:p基于802.1x进行身份认证p基于TKIP、CCMP等加密算法实现数据加密p基于4次握手实现用户会话密钥的动态协商lWiFi联盟参考联盟参考802.11i草案的子集,制定

37、了草案的子集,制定了WPA(Wi-Fi Protected Access)规)规范。范。WPA核心内容包括了:核心内容包括了:p基于802.1x进行身份认证p基于PSK(Pre-Shared Key)进行身份认证p基于TKIP实现数据加密p基于4次握手实现用户会话密钥的动态协商l完整的完整的802.11i支持则称为支持则称为WPA2,主要增加了,主要增加了AES-CCM加密算法支持等。加密算法支持等。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 31HUAWEI TECHNOLOGIES CO., LTD.Huawei Confid

38、ential Page 32基于WAPI的无线局域网国家标准体系HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 33WAPI协议技术原理HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 34全IP架构下的接入网三元结构HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 35WAPI构筑三元安全架构HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 36WAPI协议的核

39、心内容lWAPI协议的核心内容:协议的核心内容:pWAI(无线局域网鉴别基础结构):(无线局域网鉴别基础结构):n确定安全策略;n完成双向鉴别(包括:基于证书;预共享密钥两种形式);n单播和组播密钥协商。pWPI(无线局域网保密基础结构):主要解决所有已知的(无线局域网保密基础结构):主要解决所有已知的WEP问题问题HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 37WAPI安全协议流程lSTA通过被动侦听信标帧或主动探询获得AP的安全策略。如果AP使用的是WAI证书鉴别和密钥管理机制,AP发送鉴别激活分组启动证书鉴别过程,证书鉴别过

40、程成功结束后,AP和STA进行单播密钥协商过程和组播密钥通告过程。如果AP使用的是预共享密钥机制,AP和STA直接进行单播密钥协商过程和组播密钥通告过程。lSTA和AP之间的单播数据利用单播密钥协商过程所协商推导出的单播加密密钥、单播完整性校验密钥进行保护;AP利用自己通告的组播密钥保护发送广播/组播数据,STA接收时采用AP通告的组播密钥进行解密。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 38WAPI安全协议流程APACHUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page

41、39HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 40WAPI和802.11i的技术比较l两者的协议流程结构基本是一致的,涉及的各个实体也仅仅是命名上不同。两者的协议流程结构基本是一致的,涉及的各个实体也仅仅是命名上不同。l两者的主要区别:两者的主要区别:p用户鉴别用户鉴别n一般安全体制只能实现WLAN设备对无线客户端的单向鉴别n802.11i和WAPI都支持数字证书形式认证,可以实现WLAN接入设备和无线客户端的双向鉴别。在WAPI安全体制下,实现的是三元组认证,即WLAN接入设备和AS是独立的两个实体,AS作为公信的第三方,需同

42、时鉴别WLAN接入设备和无线客户端的合法性在802.11i安全机制下,无线客户端无法区分WLAN接入设备和AS / AAA Serverp鉴别协议鉴别协议n在WAPI中,特别保证了鉴别信息的完整性;n在IEEE 802.11i等其它安全体制中,鉴别成功信息不包含完整性校验,鉴别消息易被篡改对网络构成安全威胁HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 41WAPI和802.11i的技术比较(续)p加密方式加密方式nWAPI强制使用数字证书作为身份凭证,既方便了安全管理,同时还提升了安全性n802.11i支持多种加密方式,在互通时要采

43、用相同的加密方式,而且在多种加密方式并存的接入环境中,广播 / 组播包只能采用较低安全等级的加密算法传输,容易产生安全漏洞l中国电信中国电信WLAN网络安全现网部署策略:网络安全现网部署策略:p同时支持WAPI和802.11i安全策略p积极引入试点WAPI,直至规模布署HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 42HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 43开放系统认证( (open-system authenticationopen-system authen

44、tication ) )(一)p开放系统身份认证应用场景开放系统身份认证应用场景开放式认证也叫明文接入既不关心客户端/用户认证问题,也不关心无线客户端与网络之间所交换数据的加密问题,这种类型的认证方式主要用于公共区域或热点区域,如机场酒店、大堂等为客人提供的无线接入(如接入互联网)服务。p开放系统身份认证的原理开放系统身份认证的原理开放系统是802.11 要求必备的方式。在开放系统身份认证中,AP并未验证移动式工作站的真实身份。任何客户端都可以加入网络,而无需提供任何凭证。如果没有加密功能,任何知道无线局域网SSID 的设备都可以进入该网络。如果在AP 上启用了有线对等加密协议( WEP ),

45、WEP 密钥则成为一种访问控制的手段。没有正确的WEP密钥的设备即使认证成功也不能通过AP 传输数据,同时这样的设备也不能解密由AP 发出的数据。STAAPAuthentication requestAuthentication Response (success)HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 44开放系统认证( (open-system authenticationopen-system authentication ) )(二)p开放认证中客户端关联开放认证中客户端关联APAP的步骤的步骤1. 客户端发送一个探测

46、请求 。2. 周边的AP 回复探测响应。3. 客户端评估AP 的响应并选择信号最好的AP。4. 客户端发送一个验证请求给选定的AP。5. 该AP 确认该认证并注册客户端。6. 客户端然后发送一个关联请求给AP。7. AP 确认该关联并注册客户端。p开放认证的优点和缺点开放认证的优点和缺点优点:开放认证是一个基本的验证机制,你可以使用不支持复杂的认证算法无线设备。802.11 规范中认证的是面向连接的。对于需要验证允许设备得以快速进入网络的设计,在这种情况下,您可以使用开放式身份验证。缺点:开放认证没办法检验是否客户端是一个有效的客户端,而不是黑客客户端。如果你使用不带WEP 加密的开放验证,任

47、何知道无线局域网SSID 的用户都可以访问网络。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 45p MACMAC地址认证地址认证虽然802.11 标准没有指定MAC 地址认证,但无线局域网普遍使用该认证技术。因此,大多数的无线设备厂商(包括华为)均支持MAC 地址验证。AP上维护了一份经过授权的MAC 地址清单,不在名单上的工作站。网管人员可以键入一组经过授权的工作站地址,只要是表上有名的工作站就可以跟网络连接。MAC地址认证MAC地址认证与其说是一种认证方式,更应该是一种访问控制方式。 华为的AP都支持HUAWEI TECHNO

48、LOGIES CO., LTD.Huawei Confidential Page 46共享密钥认证(shared-key authentication)(一)STAAPAuthentication requestPlain text challengeCipher text challengeAuthentication Response (success)预置Key用Key加密明文密文解密和明文比较预置Keyn共享密钥认证共享密钥认证(shared-key authentication(shared-key authentication)的)的原理原理共享密钥认证与开放验证有一个主要的区别。

49、当你使用带WEP加密密钥的开放认证时,WEP 密钥是用来加密和解密数据,但在认证的步骤中却不使用。在共享密钥认证中,WEP 加密被用于验证。共享密钥身份认证必须使用WEP密钥,因此只能用于实现了WEP的产品上。客户端要加入WLAN时,AP向它发送一个挑战短语,客户端使用挑战短语和WEP密钥计算出一个可公开共享的值,并将其发回给AP. AP使用自己的WEP密钥计算一个类似的值,如果这两个值相同,客户端便通过了认证。HUAWEI TECHNOLOGIES CO., LTD.Huawei Confidential Page 47共享密钥认证(shared-key authentication)(二)

50、n共享密钥认证中客户端关联到共享密钥认证中客户端关联到APAP的步骤的步骤1. 客户端发送一个探测请求 2. 周边的AP 回复探测响应3. 客户端评估AP 的响应并选择信号最好的AP4. 客户端发送一个验证请求给选定的AP。5. 该AP 发送一个包含未加密挑战文本的认证响应。6. 客户端利用WEP 密钥加密挑战文本,并将加密后的文件回复给该AP7. AP 比较未加密的挑战文本和加密的挑战文本。如果验证可以解密和恢复原始的挑战文本,则该认证是成功的共享密钥认证在客户端关联过程中使用WEP 加密n共享密钥认证中的缺点共享密钥认证中的缺点使用共享密钥(常被称为静态WEP密钥)认证时,WEP密钥也被用

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(华为WLAN技术基础培训教材课件.pptx)为本站会员(三亚风情)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|