WLAN安全服務(wù)技術(shù)白皮書(shū)第1章WLAN概述第2章WLAN用戶接入介紹802.11鏈路協(xié)商WLAN服務(wù)發(fā)現(xiàn)2.1.2鏈路認(rèn)證2.1.3鏈路服務(wù)協(xié)商2.2用戶接入認(rèn)證802.1X接入認(rèn)證MAC接入認(rèn)證PSK接入認(rèn)證2.3密鑰協(xié)商第3章H3C公司的WLAN服務(wù)3.1集中管理WLAN架構(gòu)3.2自治WLAN架構(gòu)WLAN接入認(rèn)證WLAN服務(wù)的數(shù)據(jù)安全WLAN接入服務(wù)3.5.1明文WLAN服務(wù)WEP加密WLAN服務(wù)WPAWLAN服務(wù)RSNWLAN服務(wù)WPA和RSN組合WLAN服務(wù)第4章H3C公司W(wǎng)LAN的優(yōu)勢(shì)摘要現(xiàn)在WLAN應(yīng)用已經(jīng)非常普遍，在很多場(chǎng)所被部署，例如公司，校園，工廠,甚至咖啡廳等等。本文介紹了WLAN的基本概念和技術(shù)原理，以及H3CWLAN解決方案能夠提供的多種無(wú)線安全接入服務(wù)。關(guān)鍵詞WLAN,Station,ESS,SSID,RSN,OSA,IE,PSK,EAP,AC,AP,WTP縮略語(yǔ)WLAN無(wú)線局域網(wǎng)(WirelessLocalAreaNetwork)Station本文指WLAN的客戶端ESS擴(kuò)展服務(wù)集(ExtendedServiceSet)SSID服務(wù)標(biāo)示(ServiceSetID)RSNRobust安全網(wǎng)絡(luò)(RobustSecurityNetwork)OSA開(kāi)放系統(tǒng)認(rèn)證(OpenSystemAuthentication)IE信息單元(InformationElement)PSK預(yù)共享密鑰(Pre-SharedKey)EAP擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol)AC接入控制器(AccessController)AP接入控制點(diǎn)(AccessPoint)WTP無(wú)線終端控制點(diǎn)(WirelessTerminationPoints)IV初始向量(InitializationVector)第1章WLAN概述WLAN,全稱是WirelessLocalAreaNetwork，即無(wú)線局域網(wǎng)，和傳統(tǒng)的有線接入方式相比無(wú)線局域網(wǎng)讓網(wǎng)絡(luò)使用更自由：1、無(wú)線局域網(wǎng)徹底擺脫了線纜和端口位置的束縛，用戶不在為四處尋找有線端口和網(wǎng)線而苦惱，接入網(wǎng)絡(luò)如喝咖啡般輕松和愜意2、無(wú)線局域網(wǎng)具有便于攜帶，易于移動(dòng)的優(yōu)點(diǎn)，無(wú)論是在辦公大樓、機(jī)場(chǎng)候機(jī)大廳、酒店，用戶都可以隨時(shí)隨地自由接入網(wǎng)絡(luò)辦公、娛樂(lè)。另外，WLAN最大的優(yōu)勢(shì)就是免去或減少了繁雜的網(wǎng)絡(luò)布線，一般只要在安放一個(gè)或多個(gè)接入點(diǎn)（AccessPoint）設(shè)備就可建立覆蓋整個(gè)建筑或地區(qū)的局域網(wǎng)絡(luò)。另外對(duì)于地鐵、公路交通監(jiān)控等難于布線的場(chǎng)所，無(wú)線局域網(wǎng)的應(yīng)用越來(lái)越廣泛。和有線相比，無(wú)線局域網(wǎng)的啟動(dòng)和實(shí)施相對(duì)簡(jiǎn)單，后期維護(hù)容易，整個(gè)建網(wǎng)和維護(hù)的成本更低廉。IEEE802.il系列協(xié)議定義了WLAN網(wǎng)絡(luò)服務(wù)的相關(guān)特性：IEEE802.11-1999作為WLAN的基本協(xié)議定義了基本的802.11鏈路協(xié)商機(jī)制；IEEE802.11i-2004增強(qiáng)了802.11鏈路的安全特性；IEEE802.11e將提供802.11鏈路服務(wù)的質(zhì)量保證機(jī)制等等。雖然IEEE802.11-1999協(xié)議已經(jīng)考慮到了無(wú)線局域網(wǎng)的安全問(wèn)題，并且定義了相應(yīng)的安全機(jī)制（包括Shared-Key認(rèn)證機(jī)制和OSA認(rèn)證機(jī)制）以及WEP加密機(jī)制（基于RC4對(duì)稱流加密算法，而且需要預(yù)先配置相同的靜態(tài)Key）；但是無(wú)論從加密機(jī)制還是加密算法本身，WEP加密機(jī)制都容易受到安全威脅。隨著無(wú)線局域網(wǎng)的發(fā)展，IEEE802.11i比較徹底的解決無(wú)線局域網(wǎng)的安全問(wèn)題（特別采用了更加高級(jí)的加密算法AES，通過(guò)密鑰協(xié)商實(shí)現(xiàn)動(dòng)態(tài)密鑰管理和更新，結(jié)合了802.1x接入認(rèn)證為無(wú)線局域網(wǎng)提供安全保護(hù)）。由于IEEE頒布一個(gè)新的WLAN標(biāo)準(zhǔn)的時(shí)間間隔很長(zhǎng)，而各廠商的產(chǎn)品往往已經(jīng)先于標(biāo)準(zhǔn)推出了，為了能夠滿足不同廠商間的產(chǎn)品的互通性，Wi-Fi聯(lián)盟制定的標(biāo)準(zhǔn)在IEEE的正式標(biāo)準(zhǔn)頒布前往往成為了大家都遵從的事實(shí)標(biāo)準(zhǔn)。對(duì)于無(wú)線局域網(wǎng)的安全標(biāo)準(zhǔn)IEEE802.11i就存在這樣問(wèn)題：Wi-FiProtectedAccess（WPA）是一種過(guò)渡性行業(yè)標(biāo)準(zhǔn)—它通過(guò)升級(jí)到基于802.11的無(wú)線網(wǎng)絡(luò)適配器的固件和無(wú)線接入點(diǎn)（AP）來(lái)保護(hù)802.11無(wú)線LAN聯(lián)網(wǎng)的安全。WPA將臨時(shí)密鑰完整性協(xié)議（TKIP）與Michael結(jié)合起來(lái)，取代了有線對(duì)等保密（WEP）；臨時(shí)密鑰完整性協(xié)議可通過(guò)加密來(lái)保證數(shù)據(jù)機(jī)密性，Michael可保證數(shù)據(jù)完整性。

H3C公司W(wǎng)LAN實(shí)現(xiàn)了無(wú)線接入點(diǎn)特性，為無(wú)線用戶提供WLAN接入服務(wù)。H3C公司W(wǎng)LAN實(shí)現(xiàn)了上面描述的各種特性，并且能夠根據(jù)實(shí)際網(wǎng)絡(luò)需求，提供不同的無(wú)線接入服務(wù)。例如：對(duì)于公司辦公無(wú)線局域網(wǎng)需要高的安全性，所以對(duì)這種網(wǎng)絡(luò)可以采用802.1x認(rèn)證以及AES算法進(jìn)行身份認(rèn)證和數(shù)據(jù)保護(hù)；而對(duì)于咖啡廳無(wú)線局域網(wǎng)只需要采用WEP加密和Shared-Key認(rèn)證，就可以滿足安全需要。第2章WLAN用戶接入介紹任何WLAN網(wǎng)絡(luò)的最終目的是為無(wú)線用戶提供網(wǎng)絡(luò)接入服務(wù)，實(shí)現(xiàn)用戶訪問(wèn)網(wǎng)絡(luò)資源（例如Internet）的需求。在WLAN客戶端訪問(wèn)WLAN網(wǎng)絡(luò)，有線網(wǎng)絡(luò)或者Internet網(wǎng)絡(luò)之前，客戶端需要和WLAN設(shè)備端完成802.11的鏈路協(xié)商；通過(guò)設(shè)備端的接入認(rèn)證；以及成功的協(xié)商802.11鏈路使用的密鑰。聽(tīng)丄礪戸期1肛丄翎牛哪U遲展蠹罄11肛血隈并通過(guò)HeaconTS文廣惱斷尷世的■礎(chǔ)人服野下圖描述了一個(gè)802.11用戶接入WLAN網(wǎng)絡(luò)過(guò)程。WLAN客戶端和WLAN聽(tīng)丄礪戸期1肛丄翎牛哪U遲展蠹罄11肛血隈并通過(guò)HeaconTS文廣惱斷尷世的■礎(chǔ)人服野皿5客盧拠B以通過(guò)FrclieRuqueu邢女請(qǐng)卓招宦胎WLklT魔舉TOC\o"1-5"\h\z!熾邸WLIH眼畀璃施臟為肛口密戶鱗頁(yè)鍛庠勢(shì)，B|通過(guò)FrduReugd來(lái)I誌丈回資廣赳禺直囲金I:^CluthentiatianiS^1.莊丄IT■眼野瓚斎夏悒曇僭開(kāi)的社袒!.認(rèn)玨方龍之翊啦山容戶凰的認(rèn).圻掃帥皿文力32.11認(rèn)區(qū)毎女I叱-■■->II肛丄昭產(chǎn)驛甲以週過(guò)〔匚總玩RgPtE盤(pán)pm■丄酯殲忑應(yīng)社慣囪商］III-->1肛口展勢(shì)謂舍通過(guò)Da==ociitionr￡=hhj031s亡榨文遍紡也［眩戶醐良舌能酹咸般巫30E?L1龍?zhí)藉憳闱h(huán)斌強(qiáng)戲用SQZ.X認(rèn)注同週擊丄FQL悴冗亦出瓏丄曙畀綱墳囲認(rèn)注嘯希轟疋艙枸答嚴(yán)禍駒丘恂認(rèn)謹(jǐn)JI認(rèn)還炬IB后.認(rèn)還匪并暫回蛭產(chǎn);I生的并平蔭鑰尿闖fflUU胳殲哥IIJI畑卑肛AM容戶嚨為莊丄或黔HS稠盧，合圮發(fā)述WLUT容盧期涉理

鑰肉撕曲麗址視諛用E1TQL-骯用丈定戰(zhàn)妄費(fèi)奈鑰.客戶謂慮期■Ami上咨產(chǎn)稱幵的毘謹(jǐn)肛丄專弄稱沖問(wèn)岡拎?護(hù)且悝用曲曲的帥壓鳳

制射炯變齬抿丈埠片加巒煤曲

2.1802.112.1802.11鏈路協(xié)商802.11鏈路不同于802.3，802.11定義了一套鏈路協(xié)商機(jī)制，其中包括802.11鏈路認(rèn)證過(guò)程和802.11鏈接協(xié)商過(guò)程。只有當(dāng)WLAN客戶端成功發(fā)現(xiàn)WLAN服務(wù)，并且和WLAN服務(wù)設(shè)備成功完成鏈路認(rèn)證和鏈接協(xié)商后，客戶端和設(shè)備端才成功的建立802.11鏈路，客戶端才擁有了訪問(wèn)網(wǎng)絡(luò)的基礎(chǔ)。如果網(wǎng)絡(luò)服務(wù)沒(méi)有使用任何接入認(rèn)證，此時(shí)客戶端已經(jīng)成功的接入到網(wǎng)絡(luò)服務(wù)中；如果網(wǎng)絡(luò)服務(wù)指定了接入認(rèn)證方式，則WLAN會(huì)觸發(fā)對(duì)用戶的接入認(rèn)證，只有接入認(rèn)證成功后，WLAN客戶端才可以成功的訪問(wèn)網(wǎng)絡(luò)。下圖簡(jiǎn)單描述了802.11客戶端接入到WLAN服務(wù)的鏈路協(xié)商過(guò)程，如果WLAN使能了接入認(rèn)證，在鏈路協(xié)商成功以后會(huì)觸發(fā)接入認(rèn)證，下圖沒(méi)有給出相應(yīng)的描述。通常WLAN客戶端為由無(wú)線網(wǎng)卡的主機(jī)設(shè)備，而WLAN服務(wù)端則為AP設(shè)備。WLAN服務(wù)發(fā)現(xiàn)WLAN客戶端有兩種方式可以發(fā)現(xiàn)WLAN服務(wù)，目前H3C的WLAN同時(shí)支持這兩種方式：方式一，WLAN設(shè)備會(huì)主動(dòng)發(fā)送Beacon通告提供的WLAN服務(wù)，客戶端可以根據(jù)該報(bào)文確定周?chē)嬖诘腤LAN服務(wù)；方式二，WLAN客戶端可以指定SSID(WLAN服務(wù)的標(biāo)示)或者使用廣播SSID(即沒(méi)有指定SSID)主動(dòng)地探測(cè)(ProbeRequest)是否存在指定的網(wǎng)絡(luò)，WLAN設(shè)備存在指定的WLAN服務(wù)，會(huì)發(fā)送確認(rèn)信息(ProbeResponse)給客戶端。之后，WLAN客戶端可以從已經(jīng)發(fā)現(xiàn)的WLAN服務(wù)列表中選擇特定的服務(wù)，發(fā)起802.11鏈路協(xié)商。鏈路認(rèn)證當(dāng)前802.11的鏈路認(rèn)證支持兩種認(rèn)證方式：OSA認(rèn)證(OpenSystemAuthentication)和Shared-Key認(rèn)證(SharedKeyAuthentication)。兩種認(rèn)證方式都是在IEEE802.11中定義，802.11鏈路認(rèn)證通過(guò)Authentication報(bào)文實(shí)現(xiàn)。其中OSA認(rèn)證其實(shí)沒(méi)有對(duì)用戶進(jìn)行任何認(rèn)證操作，只是根據(jù)WLAN服務(wù)是否支持OSA認(rèn)證確定對(duì)客戶端的認(rèn)證是否成功。當(dāng)WLAN提供RSN以及WPA的安全服務(wù)時(shí)，鏈路認(rèn)證必須使用OSA認(rèn)證，而不能使用SharedKey認(rèn)證。SharedKey認(rèn)證是需要客戶端和設(shè)備端配置共享密鑰；WLAN設(shè)備會(huì)在鏈路認(rèn)證過(guò)程中隨機(jī)產(chǎn)生一串字符發(fā)送給客戶端；客戶端會(huì)對(duì)接收到字符串拷貝到新的消息中加密后發(fā)送給WLAN設(shè)備端；設(shè)備端接收到該消息后，會(huì)對(duì)解密后的字符串和最初給客戶端的字符串進(jìn)行比較，確定客戶端是否通過(guò)認(rèn)證。如果字符串匹配，則說(shuō)明客戶端擁有設(shè)備端相同的共享密鑰，即通過(guò)了SharedKey認(rèn)證；否則SharedKey認(rèn)證失敗。鏈路服務(wù)協(xié)商在完成了802.11的鏈路認(rèn)證后，WLAN客戶端會(huì)繼續(xù)發(fā)起802.11鏈路服務(wù)協(xié)商，具體的協(xié)商通過(guò)Association報(bào)文或者Re-association報(bào)文實(shí)現(xiàn)。在WLAN服務(wù)發(fā)現(xiàn)過(guò)程中，WLAN客戶端已經(jīng)獲得了當(dāng)前服務(wù)的配置和參數(shù)(WLAN設(shè)備端會(huì)在Beacon和ProbeResponse報(bào)文中攜帶，例如接入認(rèn)證算法以及加密密鑰)。WLAN客戶端在發(fā)起的Association或者Re-association請(qǐng)求時(shí)，會(huì)攜帶WLAN客戶端自身的各種參數(shù)，以及根據(jù)服務(wù)配置選擇的各種參數(shù)(主要包括支持的速率，支持的信道，支持的QoS的能力，以及選擇的接入認(rèn)證和加密算法)。WLAN客戶端和WLAN服務(wù)設(shè)備端成功完成鏈路服務(wù)協(xié)商，表明兩個(gè)設(shè)備成功建立了802.11鏈路。對(duì)于沒(méi)有使能接入認(rèn)證的服務(wù)，客戶端已經(jīng)可以訪問(wèn)WLAN網(wǎng)絡(luò)；如果WLAN服務(wù)使能了接入認(rèn)證，則WLAN設(shè)備端會(huì)發(fā)起對(duì)客戶端的接入認(rèn)證。2.2用戶接入認(rèn)證用戶接入認(rèn)證實(shí)現(xiàn)了對(duì)接入用戶的身份認(rèn)證，為網(wǎng)絡(luò)服務(wù)提供了安全保護(hù)。H3C接入認(rèn)證主要有802.1X接入認(rèn)證，MAC接入認(rèn)證以及PSK認(rèn)證。其中802.1x

接入認(rèn)證和MAC接入認(rèn)證可以支持對(duì)有線用戶和WLAN無(wú)線接入用戶進(jìn)行身份認(rèn)證，而PSK認(rèn)證則是專門(mén)為WLAN無(wú)線用戶提供認(rèn)證的一種方法。WLAN服務(wù)應(yīng)用中，對(duì)于WPA用戶或者RSN用戶需要進(jìn)行EAPOL-Key密鑰協(xié)商。根據(jù)WLAN協(xié)議服務(wù)定義，對(duì)于WPA服務(wù)和RSN服務(wù)需要和802.1x接入認(rèn)證以及PSK接入認(rèn)證配合使用：在802.11鏈路協(xié)商的過(guò)程中，可以確定用戶使用的接入認(rèn)證算法；并且在鏈路協(xié)商成功后觸發(fā)對(duì)用戶的接入認(rèn)證；隨后需要為該接入用戶的協(xié)商密鑰；之后WLAN客戶端才才可以訪問(wèn)WLAN網(wǎng)絡(luò)。2.2.1802.1x接入認(rèn)證以設(shè)備端PAE對(duì)EAP報(bào)文進(jìn)行中繼轉(zhuǎn)發(fā)為例，IEEE802.1X認(rèn)證系統(tǒng)的基本業(yè)務(wù)流程如下圖所示（該種認(rèn)證為典型的有線應(yīng)用，無(wú)線局域網(wǎng)也可以支持該種認(rèn)證）。在WLAN應(yīng)用網(wǎng)絡(luò)中，WLAN客戶端Station為客戶端PAE，提供WLAN服務(wù)的設(shè)備為設(shè)備端PAE。設(shè)備端通過(guò)產(chǎn)生一個(gè)隨機(jī)Challenge發(fā)送給客戶端；客戶端會(huì)使用配置的密鑰對(duì)該Challenge進(jìn)行加密處理并將處理后的信息返回設(shè)備端；設(shè)備端根據(jù)客戶端返回的加密后的Challenge以及原始的Challenge進(jìn)行比較判斷，設(shè)備端完成對(duì)客戶端的單項(xiàng)認(rèn)證。EAPOL-StartEAPOL-StartE衛(wèi)Challenge.EAP-SuccessRADIUSAccess-RequestE衛(wèi)Challenge.EAP-SuccessRADIUSAccess-Request

fEAP-ReMpcins己/工den±j■七y).RADIUSAccess-ChaiLenseRADIUSJiccess-Request

(EAF~E■豳anMe/lrtDEiChallenge).RADIUSAccess-Accept

(EAP-SucGess)握手定時(shí)器超時(shí)握手定時(shí)器超時(shí)握手請(qǐng)求報(bào)丈[EAF-Reque戒/工djerrtity]握手應(yīng)答報(bào)文[EAF-Resp口nse/Tdenti~ty].E捉OL-Logoff.L

圖1IEEE802.1X認(rèn)證系統(tǒng)的EAP方式業(yè)務(wù)流程為了提高WLAN服務(wù)的數(shù)據(jù)安全性，IEEE802.1X和IEEE802.11i中使用了EAPOL-Key的協(xié)商過(guò)程，設(shè)備端和客戶端實(shí)現(xiàn)動(dòng)態(tài)密鑰協(xié)商和管理；同時(shí)通過(guò)802.1X協(xié)商，客戶端PAE和設(shè)備端PAE協(xié)商相同的一個(gè)種子密鑰PMK（參見(jiàn)IEEE802.11i），進(jìn)一步提高了密鑰協(xié)商的安全性。802.1X支持多種EAP認(rèn)證方式，其中EAP-TLS為基于用戶證書(shū)的身份驗(yàn)證。EAP-TLS是一種相互的身份驗(yàn)證方法，也就是說(shuō)，客戶端和服務(wù)器端進(jìn)行相互身份驗(yàn)證。在EAP-TLS交換過(guò)程中，遠(yuǎn)程訪問(wèn)客戶端發(fā)送其用戶證書(shū)，而遠(yuǎn)程訪問(wèn)服務(wù)器發(fā)送其計(jì)算機(jī)證書(shū)。如果其中一個(gè)證書(shū)未發(fā)送或無(wú)效，則連接將終斷。下圖描述了EAPTLS認(rèn)證方式過(guò)程：RADIUSk匚cesw一匚ha.lleupt(EfcP-Ifc=F03L=±/EAP-ILS:TLSs11?jRADIUSk匚cesw一匚ha.lleupt(EfcP-Ifc=F03L=±/EAP-ILS:TLSs11?jTI￡csri/ldeRti-t?deirti?RADIUSAcceCha11en.Ee〔EAF-Req口Q￡t/EkF-TLSStart)/IAP-TL5:RADIUSA(EAF-S/EAP-TLS:RADIUSArcess-t圖2EAPTLS認(rèn)證消息序列圖在無(wú)線局域網(wǎng)應(yīng)用中，當(dāng)EAPTLS認(rèn)證成功時(shí)，客戶端PAE和Radius服務(wù)器會(huì)對(duì)應(yīng)產(chǎn)生公用的對(duì)稱的RadiusKey，Radius服務(wù)器會(huì)在認(rèn)證成功消息中將RadiusKey通知設(shè)備端PAE?？蛻舳薖AE和設(shè)備端PAE會(huì)根據(jù)該RadiusKey,客戶端MAC地址以及設(shè)備端MAC地址,產(chǎn)生種子密鑰PMK以及對(duì)應(yīng)的索引PMKID。根據(jù)IEEE802.11i協(xié)議定義的算法（本文檔不再對(duì)該算法進(jìn)行描述，可以直接參見(jiàn)相應(yīng)的協(xié)議），設(shè)備端PAE和客戶端PAE可以獲得相同的PMK,該種子密鑰將在密鑰協(xié)商過(guò)程（EAPOL-Key密鑰協(xié)商）中使用（具體的密鑰協(xié)商隨后將進(jìn)行專門(mén)的介紹）。2.2.2MAC接入認(rèn)證MAC接入認(rèn)證是另外一種接入認(rèn)證方式。MAC接入認(rèn)證主要為當(dāng)設(shè)備端發(fā)現(xiàn)客戶端的MAC地址為未知的MAC地址時(shí)，設(shè)備端會(huì)發(fā)起對(duì)客戶端的MAC地址的認(rèn)證。MAC接入認(rèn)證也使用Radius服務(wù)器對(duì)客戶端進(jìn)行認(rèn)證。當(dāng)MAC接入認(rèn)證發(fā)現(xiàn)當(dāng)前接入的客戶端為未知客戶端，會(huì)主動(dòng)向Radius服務(wù)器發(fā)起認(rèn)證請(qǐng)求oRadius服務(wù)器完成對(duì)該客戶端的認(rèn)證，并通知設(shè)備端認(rèn)證結(jié)果以及相應(yīng)的授權(quán)信息。MAC接入認(rèn)證過(guò)程不需要客戶端參與,MAC接入認(rèn)證可以支持有線用戶和WLAN用戶。無(wú)線局域網(wǎng)雖然沒(méi)有明確采用MAC認(rèn)證，當(dāng)時(shí)在實(shí)際的無(wú)線局域網(wǎng)應(yīng)用中，無(wú)線局域網(wǎng)會(huì)將MAC認(rèn)證和其它的認(rèn)證方式一起配合使用。例如，WPA和RSN的WLAN網(wǎng)絡(luò)，可以同時(shí)使用MAC接入認(rèn)證可以和PSK認(rèn)證（PSK認(rèn)證過(guò)程邏輯上包含EAPOL-Key的密鑰協(xié)商過(guò)程）。PSK認(rèn)證完成密鑰協(xié)商以及預(yù)共享密鑰確認(rèn)；而MAC接入認(rèn)證除了實(shí)現(xiàn)MAC地址認(rèn)證外，還可以實(shí)現(xiàn)對(duì)該用戶的計(jì)費(fèi)，授權(quán)。PSK接入認(rèn)證PSK接入認(rèn)證為IEEE802.11i定義的一種新的接入認(rèn)證方式，該認(rèn)證方式僅支持WLAN接入客戶端。PSK認(rèn)證需要實(shí)現(xiàn)在客戶端和設(shè)備端配置相同的預(yù)共享密鑰，而具體的認(rèn)證過(guò)程實(shí)際上在密鑰協(xié)商過(guò)程（EAPOL-Key密鑰協(xié)商過(guò)程）中完成。在密鑰協(xié)商過(guò)程中，預(yù)共享密鑰將作為輸入生成密鑰協(xié)商使用的PMK?？梢酝ㄟ^(guò)是否能夠?qū)f(xié)商的消息成功解密，來(lái)確定本端配置的預(yù)共享密鑰是否和對(duì)端配置的預(yù)共享密鑰相同，完成設(shè)備端和客戶端的互相認(rèn)證。如果密鑰協(xié)商成功，則表明PSK接入認(rèn)證成功；如果密鑰協(xié)商失敗，則可以認(rèn)為PSK接入認(rèn)證失敗。在WLAN應(yīng)用中，PSK接入認(rèn)證可以和MAC接入認(rèn)證配置使用；但是對(duì)于一個(gè)客戶端不能同時(shí)進(jìn)行PSK接入認(rèn)證和802.1X接入認(rèn)證。在WLAN客戶端和WLAN建立鏈路協(xié)商過(guò)程中，WLAN會(huì)為接入用戶選擇所使用的認(rèn)證方式。這個(gè)在802.11用戶接入過(guò)程的描述中，會(huì)給出相應(yīng)的描述。2.3密鑰協(xié)商密鑰協(xié)商為數(shù)據(jù)安全提供有力保障，為了實(shí)現(xiàn)WLAN數(shù)據(jù)的安全,IEEE802.11i和IEEE802.1X定義了EAPOL-Key密鑰協(xié)商機(jī)制（也稱4-WayHandshake），WLAN就是用該機(jī)制實(shí)現(xiàn)WLAN設(shè)備和WLAN客戶端的密鑰協(xié)商，協(xié)商出來(lái)的密鑰將作為802.11數(shù)據(jù)傳輸過(guò)程中的加密/解密密鑰。對(duì)于支持WPA和RSN服務(wù)的WLAN，需要進(jìn)行EAPOL-Key密鑰協(xié)商。密鑰協(xié)商過(guò)程在邏輯上可以看作接入認(rèn)證的一部分，所以只有在EAPOL-Key密鑰協(xié)商成功以后，接入認(rèn)證才會(huì)打開(kāi)端口，允許用戶的報(bào)文通過(guò)。WLAN密鑰協(xié)商主要包括四次握手密鑰協(xié)商和組密鑰協(xié)商過(guò)程，這兩種密鑰協(xié)商都通過(guò)EAPOL-Key報(bào)文協(xié)商實(shí)現(xiàn)。WLAN客戶端和WLAN設(shè)備端使用四次握手機(jī)制協(xié)商該客戶端的單播數(shù)據(jù)報(bào)文使用的密鑰，而WLAN設(shè)備端可以通過(guò)組密鑰協(xié)商過(guò)程將廣播和組播使用的密鑰通知所有的WLAN客戶端。下圖描述了四次握手密鑰協(xié)商過(guò)程，該圖只給出了關(guān)鍵參數(shù)描述，詳細(xì)的處理請(qǐng)參見(jiàn)IEEE802.11i的描述：第3章H3C公司的WLAN服務(wù)H3C公司在WLAN基本協(xié)議的基礎(chǔ)上，結(jié)合H3C公司提供的端口安全策略（接入認(rèn)證）提供各種安全級(jí)別的WLAN接入服務(wù)，用戶可以根據(jù)具體網(wǎng)絡(luò)需要定制所使用的WLAN接入服務(wù)。H3C公司W(wǎng)LAN實(shí)現(xiàn)了RFC4118定義的多種WLAN架構(gòu)：自治WLAN架構(gòu)和集中管理WLAN架構(gòu)。集中WLAN管理架構(gòu)通過(guò)AC+AP的拓?fù)涮峁￤LAN服務(wù)，而自治WLAN架構(gòu)則采用單臺(tái)設(shè)備提供WLAN服務(wù)（例如FatAP或者無(wú)線路由器）。3.1集中管理WLAN架構(gòu)一般來(lái)說(shuō)，集中管理WLAN架構(gòu)適合于大中型網(wǎng)絡(luò)（例如校園網(wǎng)，地鐵等），由于WTP接入設(shè)備眾多，覆蓋面積廣，集中架構(gòu)有利于管理和集中控制。H3C公司的WLAN已經(jīng)支持的集中WLAN架構(gòu)的SplitMAC架構(gòu)以及Tunnel數(shù)據(jù)轉(zhuǎn)發(fā)模式：1）802.11的部分實(shí)時(shí)性不是特別強(qiáng)的功能將AC上實(shí)現(xiàn)（例如WLAN客戶端的鏈路認(rèn)證處理），其他功能在AP上實(shí)現(xiàn)；2）需要AC處理的802.11報(bào)文，可以通過(guò)CAPWAP隧道到AC處理；3）AP不進(jìn)行本地?cái)?shù)據(jù)轉(zhuǎn)發(fā)，所有802.11數(shù)據(jù)報(bào)文都會(huì)通過(guò)CAPWAP直接隧道到AC，AC將完成數(shù)據(jù)的轉(zhuǎn)換和轉(zhuǎn)發(fā)；4）AC對(duì)于發(fā)送到客戶端的報(bào)文，首先需要完成報(bào)文的轉(zhuǎn)換，然后將802.11數(shù)據(jù)報(bào)文通過(guò)CAPWAP隧道到AP，最后由AP通過(guò)空口發(fā)送給客戶端。下圖給出了一個(gè)集中管理WLAN的組網(wǎng)。在該組網(wǎng)中，三臺(tái)AC設(shè)備和多臺(tái)AP設(shè)備構(gòu)建了一個(gè)WLAN服務(wù)域。三臺(tái)AC兩兩建立點(diǎn)對(duì)點(diǎn)的WLAN隧道連接，構(gòu)建一個(gè)WLAN的AC組，所有的AP設(shè)備可以任意選擇連接到其中的一臺(tái)AC設(shè)備（例如AP1和AP2可以選擇連接到AC1，AP3可以選擇連接到AC2，而AP4和AP5可以選擇連接到AC3）。AP設(shè)備不需要進(jìn)行任何的配置，通過(guò)從連接的AC上獲取配置后開(kāi)始提供WLAN接入服務(wù)。

■隔LDE田B)1\SSID2■隔LDE田B)1\SSID2Internet!**■_丿hfiui、SaiM^匸卩.liididiticatioVeibnxl圖3集中管理WLAN架構(gòu)組網(wǎng)根據(jù)網(wǎng)絡(luò)服務(wù)需要，在不同的AP上可以提供不同的WLAN服務(wù)，一個(gè)WLAN服務(wù)也可以在多個(gè)AP上同時(shí)提供，甚至在一個(gè)AP上可以同時(shí)提供幾個(gè)不同的WLAN服務(wù)，不同的WLAN可以選擇不同的服務(wù)策略。如圖所示，SSID1（藍(lán)色的WLAN服務(wù)）可以為明文WLAN服務(wù)，而SSID2（紅色的WLAN服務(wù)）則提供RSNWLAN服務(wù)。WLAN客戶端可以適當(dāng)選擇AP接入WLAN網(wǎng)絡(luò)。如圖所示，用戶1選擇SSID1的WLAN服務(wù)通過(guò)AP1接入網(wǎng)絡(luò)；用戶2選擇SSID2的WLAN服務(wù)通過(guò)AP1接入網(wǎng)絡(luò)；而用戶3選擇SSID2的WLAN服務(wù)通過(guò)AP5接入WLAN網(wǎng)絡(luò)。3.2自治3.2自治WLAN架構(gòu)對(duì)于小型的網(wǎng)絡(luò)，例如家庭使用或者小型公司使用，沒(méi)有必要使用集中管理WLAN，可以直接采用自治WLAN架構(gòu)。通常，可以使用一臺(tái)設(shè)備實(shí)現(xiàn)自治WLAN，提供WLAN的接入服務(wù)，不但應(yīng)用簡(jiǎn)單，而且可以節(jié)約大量的成本。對(duì)于自治WLAN，H3C公司的WLAN也支持一臺(tái)設(shè)備同時(shí)提供多個(gè)WLAN服務(wù)，而且不同的WLAN可以選擇不同的服務(wù)策略。下圖給出了一個(gè)通過(guò)自治WLAN架構(gòu)組建的一個(gè)WLAN網(wǎng)絡(luò)。在該網(wǎng)絡(luò)中，兩個(gè)自治的AP提供WLAN的接入服務(wù)，所有的WLAN客戶端可以通過(guò)這兩個(gè)AP連接到WLAN網(wǎng)絡(luò)，并最終訪問(wèn)Internet。在該網(wǎng)絡(luò)中，API提供兩個(gè)WLAN接入服務(wù)，其中SSID1提供明文WLAN接入服務(wù)，而SSID2則提供RSNWLAN服務(wù)；AP2也提供兩個(gè)WLAN接入服務(wù)，其中SSID2提供RSNWLAN接入服務(wù)，而SSID3則提供WPAWLAN服務(wù)。由于AP1和AP2同時(shí)提供SSID2的接入服務(wù)，用戶1可以同時(shí)發(fā)現(xiàn)AP1和AP2提供的服務(wù)，用戶1根據(jù)網(wǎng)絡(luò)信號(hào)情況可以選擇接入到AP1的SSID2的WLAN網(wǎng)絡(luò)中；而用戶2只能通過(guò)AP2接入到SSID3的WLAN網(wǎng)絡(luò)中。用.Eeiwer廳IDEHiitherLtica+ionSeii.rerSSID2（ESH譏壯精備）用.Eeiwer廳IDEHiitherLtica+ionSeii.rerSSID2（ESH譏壯精備）/'SSID3（陽(yáng)血孔處賀備）廠、AInternet〔明丈阪沁圖4自治WLAN架構(gòu)組網(wǎng)3.3WLAN接入認(rèn)證WLAN密切相關(guān)的接入認(rèn)證（包含EAPOL-Key密鑰協(xié)商過(guò)程），可以提供下面的四種接入認(rèn)證組合：802.1X認(rèn)證（包含EAPOL-Key密鑰協(xié)商）；PSK認(rèn)證（包含EAPOL-Key密鑰協(xié)商）MAC認(rèn)證+PSK認(rèn)證（包含EAPOL-Key密鑰協(xié)商）802.1x認(rèn)證（包含EAPOL-Key密鑰協(xié)商）或者PSK認(rèn)證（包含EAPOL-Key密鑰協(xié)商）特別對(duì)于第四種接入認(rèn)證組合，其實(shí)是第一種和第二種接入認(rèn)證的組合；WLAN設(shè)備端可以選擇使用PSK認(rèn)證，也可以選擇802.1X認(rèn)證對(duì)WLAN客戶端進(jìn)行接入認(rèn)證。對(duì)于根據(jù)前面接入認(rèn)證組合，H3C公司的WPA和RSN的WLAN服務(wù)可以支持對(duì)WLAN客戶端支持三種接入認(rèn)證方式。在進(jìn)行802.11鏈路協(xié)商的過(guò)程中，WLAN會(huì)根據(jù)用戶的參數(shù)以及自身接入認(rèn)證的配置為用戶選擇一種接入認(rèn)證方式：802.1x認(rèn)證（包含EAPOL-Key密鑰協(xié)商）PSK認(rèn)證（包含EAPOL-Key密鑰協(xié)商）MAC認(rèn)證+PSK認(rèn)證（包含EAPOL-Key密鑰協(xié)商）3.4WLAN服務(wù)的數(shù)據(jù)安全WLAN相對(duì)于有線網(wǎng)絡(luò)，存在著天生的數(shù)據(jù)安全問(wèn)題。在一個(gè)區(qū)域內(nèi)的所有的WLAN設(shè)備共享一個(gè)傳輸媒介，任何一個(gè)設(shè)備可以接收到其他所有設(shè)備的數(shù)據(jù)，這個(gè)特性直接威脅到WLAN接入數(shù)據(jù)的安全。802.11協(xié)議也在致力于解決WLAN的安全問(wèn)題，主要的方法為對(duì)數(shù)據(jù)報(bào)文進(jìn)行加密，保證只有特定的設(shè)備可以對(duì)接收到的報(bào)文成功解密。其他的設(shè)備雖然可以接收到數(shù)據(jù)報(bào)文，但是由于沒(méi)有對(duì)應(yīng)的密鑰，無(wú)法對(duì)數(shù)據(jù)報(bào)文解密，從而實(shí)現(xiàn)了WLAN數(shù)據(jù)的安全性保護(hù)。目前H3C的WLAN支持四種安全服務(wù)：明文數(shù)據(jù)：該種服務(wù)本質(zhì)上為無(wú)安全保護(hù)的WLAN服務(wù)，這里也將其作為一種安全服務(wù)進(jìn)行介紹。該種服務(wù)在IEEE802.11協(xié)議中定義,所有傳輸?shù)臄?shù)據(jù)報(bào)文都是沒(méi)有通過(guò)加密處理的。WEP安全保護(hù)：該種服務(wù)使用WEP加密機(jī)制，致力于獲得與基本的有線網(wǎng)絡(luò)同等的安全。該種服務(wù)也在IEEE802.11協(xié)議中定義，所有傳輸?shù)臄?shù)據(jù)報(bào)文都是通過(guò)WEP機(jī)制進(jìn)行加密處理。TKIP安全保護(hù)：該服務(wù)主要使用TKIP加密機(jī)制實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的安全保護(hù)，該安全機(jī)制主要在WPA相關(guān)協(xié)議中定義。TKIP加密機(jī)制除了提供數(shù)據(jù)的加密處理，還提供了MIC和Countermeasure功能實(shí)現(xiàn)對(duì)WLAN服務(wù)的安全保護(hù)。TKIP和WEP雖然使用了相同的RC4加密算法，但是在整個(gè)機(jī)制上TKIP能夠提供比WEP更高的安全性。CCMP安全保護(hù)：該服務(wù)主要使用CCMP加密機(jī)制對(duì)數(shù)據(jù)報(bào)文進(jìn)行保護(hù)，該安全機(jī)制在IEEE802.11i中定義。CCMP機(jī)密機(jī)制采用了更安全的對(duì)稱加密算法AES，是目前WLAN支持的最安全的數(shù)據(jù)報(bào)文保護(hù)機(jī)制。H3C的WLAN不但可以提供上面四種安全服務(wù)，而且可以提供上面四種安全服務(wù)的組合服務(wù)。例如，在一個(gè)WLAN服務(wù)中，部分用戶可以使用TKIP加密機(jī)制，而其他的RSN用戶可以選擇使用CCMP加密機(jī)制。3.5WLAN接入服務(wù)H3C公司W(wǎng)LAN不但提供了基本W(wǎng)LAN接入服務(wù)，而且可以根據(jù)不同應(yīng)用環(huán)境以及相應(yīng)特點(diǎn)，提供不同需求的WLAN接入服務(wù)。3.5.1明文WLAN服務(wù)明文WLAN服務(wù)是一種沒(méi)有數(shù)據(jù)安全保護(hù)的WLAN服務(wù)，采用明文數(shù)據(jù)安全策略。WLAN設(shè)備端對(duì)提供的服務(wù)進(jìn)行如下的設(shè)置：使能OSA鏈路認(rèn)證；不能使能其他的WLAN的安全策略配置，例如RSN，WPA等等；可以選擇對(duì)該WLAN服務(wù)進(jìn)行接入認(rèn)證（認(rèn)證策略和有線用戶相同）。明文WLAN服務(wù)是WLAN協(xié)議定義最早的服務(wù)之一，為了避免用戶的在其它WLAN安全服務(wù)中提供該種服務(wù)而造成對(duì)網(wǎng)絡(luò)的安全威脅。H3C將明文WLAN服務(wù)作為一種獨(dú)立的服務(wù)，在配置上進(jìn)行限制不能和其他的安全服務(wù)混合使用，WLAN客戶端不能選擇其他的鏈路認(rèn)證方式。下圖明文WLAN服務(wù)只能允許明文的無(wú)線終端用戶接入；對(duì)于選擇其他方式的無(wú)線終端用戶，WLAN將拒絕提供接入服務(wù)。如下圖只有用戶1可以成功接入到AP提供的WLAN服務(wù)中，其他三個(gè)用戶都無(wú)法訪問(wèn)該WLAN服務(wù)。虻A(chǔ)T_垢徉"shadedK%認(rèn)iiE虻A(chǔ)T_垢徉"shadedK%認(rèn)iiE戶-使用映r■加誌機(jī)潮-采用TkiRfti蠻機(jī)瀚用盧齊-■-______-選擇Cl￡A衣iit-采罔明丈接人戶4:-E■誦戶-附口?加痿機(jī)制毗疏等：-明丈懾毎-口啟認(rèn)iiE-禁止真牠所有閃雯全患算對(duì)于明文WLAN服務(wù)，接入認(rèn)證和WLAN為兩個(gè)獨(dú)立的特性功能，可以根據(jù)需要選擇是否對(duì)明文接入的WLAN客戶端進(jìn)行接入認(rèn)證。如果沒(méi)有選擇接入認(rèn)證，當(dāng)WLAN客戶端成功和WLAN設(shè)備端完成鏈路認(rèn)證和鏈路服務(wù)協(xié)商，WLAN客戶端就可以成功的訪問(wèn)WLAN網(wǎng)絡(luò)了。如果使能了接入認(rèn)證，則接入認(rèn)證會(huì)控制只有通過(guò)接入認(rèn)證的WLAN客戶端才允許訪問(wèn)WLAN網(wǎng)絡(luò)，否則所有的WLAN客戶端的數(shù)據(jù)報(bào)文將被丟棄。3?5?2WEP加密WLAN服務(wù)WEP加密WLAN服務(wù)提供了對(duì)于數(shù)據(jù)報(bào)文的安全保護(hù)，使用WEP加密機(jī)制對(duì)WLAN客戶端和WLAN設(shè)備端的數(shù)據(jù)進(jìn)行保護(hù)。WEP加密機(jī)制需要WLAN設(shè)備端以及所有接入到該WLAN網(wǎng)絡(luò)的客戶端配置相同的密鑰。WEP加密機(jī)制采用RC4算法（一種流加密算法），最初WLAN僅支持WEP40（WEP40算法的密鑰長(zhǎng)度僅為64bits）,當(dāng)前WLAN還可以支持WEP104（WEP104算法的密鑰長(zhǎng)度僅為128bits）。但是一個(gè)WLAN服務(wù)只能允許使用WEP40或者WEP104，兩種算法不能同時(shí)使用。雖然WEP104在一定程度上提高了WEP加密的安全性，但是受到RC4加密算法以及靜態(tài)配置密鑰的限制，WEP加密還是存在比較大的威脅。例如如果一個(gè)WLAN客戶端發(fā)生遺失，會(huì)造成整個(gè)網(wǎng)絡(luò)的安全漏洞。提供WEP加密機(jī)制的WLAN的服務(wù)時(shí)，WLAN可以選擇另外一種鏈路認(rèn)證算法（SharedKey認(rèn)證）實(shí)現(xiàn)對(duì)802.11鏈路的安全性保護(hù)。另外，WEP加密WLAN服務(wù)可以和普通的接入認(rèn)證配合使用。提供WEP加密WLAN用戶接入服務(wù)（進(jìn)行SharedKey鏈路認(rèn)證），需要進(jìn)行如下的設(shè)置：使能SharedKey鏈路認(rèn)證；使能WEP40加密算法或者WEP104加密算法；可以選擇對(duì)該WLAN服務(wù)的用戶進(jìn)行接入認(rèn)證下圖WEP加密WLAN服務(wù)只能允許使用WEP加密的無(wú)線終端用戶接入；對(duì)于選擇明文方式，WPA方式或者RSN方式的無(wú)線終端用戶，WLAN將拒絕提供接入服務(wù)。如下圖只有用戶2可以成功接入到AP提供的WLAN服務(wù)中，其他三個(gè)用戶都無(wú)法訪問(wèn)該WLAN服務(wù)。對(duì)于WEP加密WLAN服務(wù),和明文WLAN服務(wù)相同，可以選擇是否對(duì)接入的WLAN客戶端進(jìn)行接入認(rèn)證。如果沒(méi)有選擇接入認(rèn)證，當(dāng)WLAN客戶端成功和WLAN設(shè)備端完成鏈路認(rèn)證和鏈路服務(wù)協(xié)商，WLAN客戶端就可以成功的訪問(wèn)WLAN網(wǎng)絡(luò)了。如果使能了接入認(rèn)證，則接入認(rèn)證會(huì)控制只有通過(guò)接入認(rèn)證的WLAN客戶端才允許訪問(wèn)WLAN網(wǎng)絡(luò)，否則所有的WLAN客戶端的數(shù)據(jù)報(bào)文將被丟棄。WPAWLAN服務(wù)WPAWLAN服務(wù)最初在RSN服務(wù)（IEEE802.11i協(xié)議）之前提出，主要使用TKIP加密機(jī)制實(shí)現(xiàn)對(duì)WLAN數(shù)據(jù)報(bào)文的安全保護(hù)，在一定程度上解決了WEP加密機(jī)制的一些弱點(diǎn)。例如，WPA可以通過(guò)密鑰協(xié)商機(jī)制，為每一個(gè)用戶協(xié)商特定的密鑰。隨著技術(shù)的發(fā)展，當(dāng)IEEE802.11i提出了CCMP加密機(jī)制以后，對(duì)于WPA的WLAN服務(wù)在加密機(jī)制上也進(jìn)行了擴(kuò)展，進(jìn)而可以支持CCMP加密機(jī)制。H3C公司的WPAWLAN可以支持TKIP加密機(jī)制和CCMP加密機(jī)制，而且可以兼容WEP加密機(jī)制（組播和廣播可以使用WEP加密機(jī)制進(jìn)行保護(hù)），但是WPAWLAN服務(wù)必須指定TKIP加密機(jī)制或者CCMP加密機(jī)制。TKIP和WEP加密機(jī)制都是使用RC4算法，但是TKIP加密機(jī)制相比WEP加密機(jī)制可以為WLAN服務(wù)提供更加安全的保護(hù)。首先，TKIP通過(guò)增長(zhǎng)了算法的IV長(zhǎng)度提高了WEP加密的安全性；其次，TKIP支持密鑰的動(dòng)態(tài)協(xié)商，解決了WEP加密需要靜態(tài)配置密鑰的限制；另外，TKIP還支持了MIC認(rèn)證和Countermeasure功能。WPAWLAN服務(wù)必須和接入認(rèn)證配合使用，可以和“接入認(rèn)證組合”中的任何一個(gè)配合使用。也就是WLAN可以支持“接入認(rèn)證組合”中描述的三種接入認(rèn)證方式。WPAWLAN可以支持上面兩種加密機(jī)制和四種“接入認(rèn)證組合”的混合使用，WLAN客戶端可以選擇任何一種支持的加密機(jī)制和接入認(rèn)證方式訪問(wèn)WLAN網(wǎng)絡(luò)。WLAN提供WPA用戶接入服務(wù)，需要進(jìn)行如下的設(shè)置：必須使能OSA鏈路認(rèn)證；必須使能WPA功能；必須配置一種“接入認(rèn)證組合”，例如802.1X認(rèn)證（包括EAPOL-Key密鑰協(xié)商）；必須指定數(shù)據(jù)加密機(jī)制，例如TKIP或者CCMP;下圖WPAWLAN服務(wù)只允許WPA的無(wú)線終端用戶接入，對(duì)于選擇明文方式，WEP加密或者RSN方式的無(wú)線終端用戶，WLAN將拒絕提供接入服務(wù)；而WPA客戶端可以選擇TKIP加密機(jī)制或者CCMP加密機(jī)制；另外對(duì)于WPA無(wú)線客戶端，WLAN可以選擇任何一種“接入認(rèn)證方式，對(duì)客戶端進(jìn)行認(rèn)證。用戶3和用戶4都是WPA用戶，分別選擇使用TKIP加密機(jī)制和CCMP加密機(jī)制，兩個(gè)用戶都可以成功的接入WLAN服務(wù)；但是WLAN服務(wù)將拒絕其他的用戶接入。胡戶1■—-選悻0凱認(rèn)證胡戶1■—-選悻0凱認(rèn)證-采抨明丈蹇人師戶4;-伽密機(jī)制準(zhǔn)■,.聞戶責(zé)—選ISSF^Y^lKeTtMSWAj甲"盧-便用百印技加密機(jī)制-采咼Grip血吃軌剤-伽ccmf■加謎機(jī)制用戶亍他堿務(wù)：-衣會(huì)舉毎一OSAUiCi-便誥屜A-恢能TXIP述CCMP加麼機(jī)剽RSNWLAN服務(wù)IEEE802.11i定義了RSNWLAN服務(wù)，該WLAN采用了CCMP加密機(jī)制，使用比RC4更加安全的AES加密算法，首先在算法上解決了前面提到的加密機(jī)制的弱點(diǎn)。CCMP加密機(jī)制需要和密鑰協(xié)商以及接入認(rèn)證配置使用。接入認(rèn)證對(duì)WLAN客戶端進(jìn)行認(rèn)證，計(jì)費(fèi)以及授權(quán)，并且可以為密鑰協(xié)商提供共享的種子密鑰PMK（特別802.1X接入認(rèn)證可以使用非對(duì)稱機(jī)制為WLAN客戶端和設(shè)備端提供PMK，保證種子密鑰的安全性）；密鑰協(xié)商不但完成了對(duì)于輸入種子密鑰的認(rèn)證過(guò)程，而且為后續(xù)的鏈路數(shù)據(jù)報(bào)文的安全保護(hù)提供對(duì)應(yīng)的密鑰；最后WLAN采用CCMP加密機(jī)制對(duì)所有的數(shù)據(jù)報(bào)文進(jìn)行加密保護(hù)。RSNWLAN可以兼容TKIP和WEP加密機(jī)制，例如，RSNWLAN可以采用TKIP加密機(jī)制，對(duì)于廣播和組播報(bào)文也可以采用WEP加密機(jī)制；但是RSNWLAN服務(wù)必須指定TKIP加密機(jī)制或者CCM