概述

    WLAN技术所具有的移动性、便捷性、较高的带宽等特点，以及大规模的产业化和低成本等诸多优势，使WLAN市场短短数年内得到了大规模发展。今天从家庭终端、移动便携、手机终端到企业各种应用，WLAN应用的身影无处不在。据统计，2008年全球销售了3亿8千多万颗WLAN芯片，较2007年增长了26%。巨大的增长让业界在期待着WLAN芯片销售能够在不远的将来达到惊人的每年10亿颗！

    WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。WLAN技术标准主要由IEEE 802.11工作组负责制定。第一个802.11协议标准诞生于1997年并于1999年完成修订。随着WLAN早期协议暴露的安全缺陷，由于用户应用不断地呼唤着更高的吞吐，以及企业等应用对可管理性的要求，IEEE 802.11工作组陆续推出了802.11a、802.11b、802.11ｇ、802.11i、802.11e、802.11n、802.11k等大量标准。此外，IETF的CAPWAP工作组还制定了无线AP的相关管理标准。

    我们可以从无线安全、吞吐提高、可管理等方面对WLAN相关标准的发展进行如下分类：

 无线吞吐提高

    从传统的11a/b/g发展到最新的11n标准，物理层最高吞吐从54Mbps提高到了600Mbps。

 实现无线安全

    为了解决802.11标准中WEP等安全机制的缺陷，IEEE 802.11i工作组提出了802.11i标准。此外，中国制定了WAPI标准，目前正在申请成为国际标准。无论802.11i还是WAPI，都是为了保障用户无线数据的安全。802.11协议报文（管理报文）也是安全的重要环节，IEEE 802.11w工作组负责制定管理报文安全。

 提高无线可管理性

    WLAN大规模部署、Voice over WLAN等需求对无线资源和无线终端管理提出了更高要求，为此IEEE 成立了802.11k和802.11v工作组。此外，为了简化大量AP设备部署时的操作成本，IETF成立了CAPWAP工作组以制定相关标准。

 其它标准

    为了满足Voice over WLAN等业务对QoS、快速漫游的要求,IEEE成立了802.11e、802.11r工作组。为了标准化基于WLAN的mesh网络技术，IEEE成立了802.11s工作组。

    主要关注的是技术标准和协议接口，并没有限制协议的具体实现，所以即使各厂家基于相同协议标准开发，仍然存在互通风险。802.11标准的产品化、产业化需要一个组织来推动，产品互通性需要一个组织来认证，这些需求促进了Wi-Fi联盟的诞生。Wi-Fi联盟参考IEEE　802.11标准制定了大量认证标准。比如，参考802.11i协议，Wi-Fi联盟制定了WPA/WPA2认证标准；参考802.11e协议，制定了WMM认证标准。Wi-Fi联盟的存在极大地推动了WLAN产业化。

标准组简介

    本文将重点介绍IETF CAPWAP工作组、802.11n、802.11i、WAPI等协议标准。

1. IETF CAPWAP工作组

    在企业中大量部署AP时，对这些AP升级软件、设置发射功率等管理工作将给用户带来很高的操作成本。2002年左右，WLAN在企业等应用发展出现了新的趋势：瘦AP（FIT AP）架构。即通过无线控制器（AC）来管理多个AP，AP和AC间采用某种隧道协议进行通讯，无线接入报文的处理在AP和AC间分担实现。而传统的AP由于在一个AP上实现了所有无线接入等功能，所以被称为胖AP(FAT AP)。

图1 瘦AP架构

    为了解决隧道协议不兼容造成的A厂家的AP和B厂家的AC无法进行互通的问题，IETF在2005年成立了CAPWAP工作组以标准化AP和AC间的隧道协议。该协议主要功能包括了：AP自动发现AC，AC对AP进行安全认证，AP从AC获取软件映像，AP从AC获得初始和动态配置等。此外，系统可以支持本地数据转发和集中数据转发。瘦AP架构让AC具有了对整个WLAN网络的完整视图，为无线漫游、无线资源管理等业务功能的实现提供了基础。

    作为隧道协议的一个重要设计目标，它希望能够承载多种无线接入技术，如802.11和802.16。所以工作组协议包括了两部分：CAPWAP协议和无线binding协议。CAPWAP协议（RFC5415，2009年4月发布）作为通用隧道协议，完成了AP发现AC等基本协议功能，和具体的无线接入技术无关。目前工作组只提供了802.11的binding协议（RFC5416，2009年4月发布），以支持802.11网络的配置管理功能。

    目前，包括H3C在内的多个厂家已经将支持CAPWAP相关协议列入产品下一步开发计划。H3C的技术专家作为第一作者起草了CAPWAP协议的MIB草案和802.11 binding协议的MIB草案。创新地提出了虚拟无线口的概念，实现了在瘦AP架构下完全可以重用IEEE 802.11工作组(包括802.16等)已有的面向胖AP架构的MIB标准，很好地促进了IEEE标准在瘦AP架构的演进。目前两篇工作组草案处于WGLC（Working Group Last Call）阶段，预计年内作为RFC发布。

2. IEEE 802.11n工作组

    随着YouTube、无线家庭媒体网关、企业Voice over WLAN等应用的不断涌现，对WLAN技术提出了越来越高的带宽要求，802.11a/b/g这些传统技术已经无法支撑新的业务需求，IEEE 802.11工作组意识到支持高吞吐将是WLAN技术发展历程的关键点。基于IEEE HTSG（High Throughput Study Group）前期的技术工作，于2003年成立了Task Group n（TGn）。N表示Next Generation，核心内容就是通过物理层和MAC层的优化来充分提高WLAN技术的吞吐。由于802.11n涉及了大量的复杂技术，标准过程中又涉及了大量的设备厂家，所以整个标准制定过程历时漫长，预计2009年末才可能成为标准。相关设备厂家早已无法耐心等待这么漫长的标准化周期，纷纷提前发布了各自的11n产品。为了确保这些产品的互通性，Wi-Fi联盟基于IEEE 2007年发布的802.11n草案的2.0版本制定了11n产品认证规范，以帮助11n技术能够快速产业化。

    802.11n首要的任务是提高吞吐，通过结合物理层的多项技术，包括提供多条空间流(SDM)的MIMO技术来实现多条数据流并发、通过绑定两个20MHz带宽（即40MHz）来提高物理频宽、采用了MIMO-OFDM并提供了更多的子载频等，从而将物理层吞吐提高到300Mbps。如果仅仅提高物理层的速率，而没有对空口访问等MAC协议层的优化，802.11n的物理层优化将无从发挥，所以802.11n对MAC采用了Block确认、帧聚合等技术，大大提高了MAC层的效率。

    802.11n对用户应用的另一个重要收益是无线覆盖的改善。由于采用了多天线技术，无线信号（对应同一条空间流）将通过多条路径从发送端到接收端，从而提供了分集效应。在接收端采用一定方法对多个天线收到信号进行处理，就可以明显改善接收端的SNR，即使接受端较远时，也能获得较好的信号质量，从而间接提高了信号的覆盖范围。典型的技术包括MRC等。

    除了吞吐和覆盖的改善，11n技术还有一个重要的功能就是兼容传统的802.11a/b/g，以保护用户已有的投资。

    目前，Cisco、H3C和Aruba公司已经在全球率先发布了面向企业级和运营级市场的802.11n产品。

3. IEEE 802.11i工作组

    802.11标准定义了WEP安全机制，WEP本意是“等同有线的安全”。WEP采用RC4流加密算法，为避免加密key的重复使用，WEP引入了24位的IV。对于24位的IV, 5000个报文后就有50%的机率出现重复的IV。2001年8月，Scott Fluhrer、Itsik Mantin和Adi Shamir公开了对WEP的分析报告，展示了完全可能在1分钟内完成对WEP的破解。除了加密算法的瑕疵，WEP没有提供出有效的密钥管理机制，密钥完全是静态配置，非常不适合企业等大规模部署场景。此外，WEP的共享密钥认证机制也是漏洞百出。总之，WEP机制无论在加密强度、用户认证、数据完整性和密钥管理方面都存在着大量的安全漏洞。

    面对诸多的WEP安全漏洞，IEEE 802.11在2002年迅速成立了802.11i工作组，以解决WEP的上述问题。考虑到企业等规模部署应用需要扩展性很好的安全管理机制，工作组采用了802.1x、Radius体系来完成接入用户的身份认证。无论802.1x还是Radius体系都早已广泛部署并获得了业界的认可，同时支持灵活的扩展，提供了EAP-TLS、EAP-TTLS、EAP-PEAP等大量认证方法来灵活满足各种部署要求。所以，802.11i工作组只需要关注无线空口的安全，包括提高数据报文的加密强度、确保数据报文完整性、实现加密密钥的动态协商。对于数据加解密，802.11i使用了AES-CCM和TKIP算法；完整性校验采用Michael和CBC算法；同时基于4次握手过程实现了密钥的动态协商。

图2 Radius和802.11i认证过程

4. 中国WAPI标准

    针对WLAN安全问题，中国制定了自己的WLAN安全标准：WAPI。

    WAPI基本架构上和802.11i采用的AAA架构类似，也包括了三个实体，即鉴别请求者系统（WLAN终端）、鉴别器系统（WLAN设备）和鉴别服务系统；但与其他WLAN安全机制（如802.11i）相比，具有支持双向身份鉴别、数字证书身份凭证等优势。

图3 WAPI协议基本过程

整个WAPI协议过程主要包括两个阶段：

 WLAN终端和WLAN设备把各自证书发给鉴别服务器，后者负责判断证书的合法性；
 WLAN终端和WLAN设备通过报文交互，完成相互的身份认证和密钥协商。

    WAPI一直致力于标准的国际化，但是遭遇很大的阻力。在搁浅5年之后的2009年，我国提出的无线局域网安全技术标准WAPI有望获国际认可，晋升国际标准。日前，WAPI产业联盟宣布，WAPI已获得国际标准组织ISO/IECJTC1/SC6的提案邀请，将作为独立标准重新进入国际标准流程。此外，工信部已经明确：只要支持WAPI，具有Wi-Fi功能的手机就可以获得入网许可。总的看来，WAPI产业当前已经得到了很好的标准和政策支持。

    为了推动WAPI的实际应用，H3C提出了WAPI over EAP的WAPI部署方案，实现了WAPI和电信现有Radius系统的很好融合，节省了用户单独部署鉴别服务器的成本，简化了管理，实现了802.11i和WAPI用户的统一认证管理。
总结

    WLAN产业蓬勃发展和WLAN技术标准不断完善形成了良好的互动。用户对WLAN安全的关注，以及由应用促使的对更高吞吐的呼唤、对可管理性的更高要求等，推动了WLAN技术的不断创新和技术标准的不断完善。

参考文献
[1] [RFC5415]  Calhoun, P., Montemurro, M., and D.Stanley, "Control And Provisioning of Wireless Access Points (CAPWAP) Protocol Specification", March 2009.
[2] [RFC5416]  Calhoun, P., Montemurro, M., and D.Stanley, "Control and Provisioning of Wireless Access Points (CAPWAP) Protocol Binding for IEEE 802.11", RFC 5416, March 2009.
[3] [IEEE.802-11.2007]  "Information technology - Telecommunications and information exchange between systems - Local and metropolitan area networks – Specific requirements - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications", IEEE Standard 802.11, 2007
[4] [IEEE.802-11.2007]  基于痩AP架构实现WAPI  作者史扬　蔡自彬　蔡贤森
缩略语
CAPWAP Control and Provisioning of Wireless Access Points
SDM   Spatial Division Multiplexing
MIMO   Multiple Input Multiple Output
OFDM   Maximal-Ratio Combining
SNR   Signal Noise Ratio
WEP   Wired Equivalent Privacy
WAPI   Wireless Area Network Authentication and Privacy Infrastructure
WAI   WLAN Authentication Infrastructure
IV   Initialization Vector