文章目录
- 1.1 什么是WiFi?
- 1.2 国际传输协议标准
- 1.3 WAPI标准
- 1.4 数据加密技术
- 1.5 WiFi相关术语
- ① WLAN
- ② AP
- ③ SSID
- ④ RSSI
- ⑤ WPS
- 二、无线发展前景及行业驱动力
- 三、WI-FI 6 关键技术介绍
- 01.OFDMA 频分复用技术
- 02.DL/UL MU-MIMO 技术
- 03.更高阶的调制技术 (1024-QAM)
- 04.空分复用技术(SR)
- 四、802.11ax与802.11ac技术对比
- 五、WI-FI无线网络安全
- 5.1用户接入安全控制
- 1、用户接入认证
- 2、动态控制用户权限
- 3、Hotspot用户隔离
- 5.2网络层安全控制
- 1、端点准入防御
- 2、无线入侵检测系统
- 3、非法AP检测
- 4、白名单功能
- 5、黑名单功能
- 6、无线协议攻击防御
- 7、安全策略统一部署
- 8、无线控制器和AP间下行流量限速
- 六、小结
1.1 什么是WiFi?
Wi-Fi,英文全称为Wireless Fidelity,即无线保真技术。它是一种可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接的技术。
Wi-Fi是一个无线网路通信技术的品牌,由Wi-Fi联盟(Wi-Fi Alliance)所持有,目的是改善基于IEEE 802.11标准的无线网路产品之间的互通性。
在无线局域网的范畴是指"无线相容性认证",实质上是一种商业认证,同时也是一种无线联网的技术。
1.2 国际传输协议标准
目前,WLAN领域主要是IEEE802.11x系列与HiperLAN/x(欧洲无线局域网)系列两种标准,以及我国制定的WAPI标准。
802.11是IEEE在1997年为无线局域网(Wireless LAN)定义的一个无线网络通信的工业标准。此后这一标准又不断得到补充和完善,形成802.11x的标准系列。802.11x标准是现在无限局域网的主流标准,也是Wi-Fi的技术基础。主要的IEEE802.11x标准如下:
1.3 WAPI标准
WAPI,全称Wireless LAN Authentication and Privacy Infrastructure(WLAN鉴别与保密基础架构),是由中国宽带无线IP标准工作组制订的一种安全协议,同时也是中国无线局域网安全强制性标准,由ISO/IEC授权的IEEE Registration Authority审查获得认可。该标准主要是规范IEEE802.11b相关的安全加密标准,但是不能与Wi-Fi联盟制订的主流的WEP及WPA兼容。它与现行的802.11i传输协议比较相近。
1.4 数据加密技术
无线网络由于其物理拓扑结构的特殊性,它无法达到有线网络的安全等级。所以,在无线网络中加密和认证是需要考虑的的安全因素。无线局域网中应用加密技术的最根本目的就是使无线业务能够达到与有线业务同样的安全等级。
针对这个目标,IEEE802.11标准中采用了WEP(Wired Equivalent Privacy: 有线对等保密)协议来设置专门的安全机制,进行业务流的加密和节点的认证。但是由于WEP加密方式存在诸多弊端,很容易被破解,因此WiFi联盟在后来提出了安全强度更高的WPA及WPA2标准。各标准介绍如下:
1.5 WiFi相关术语
① WLAN
全称Wireless Local Area Network (无线局域网),简单地说WLAN就是指不需要网线,可以通过无线方式发送和接收数据的局域网。
② AP
全称Access Point (无线接入器、无线接入点),该设备是无线局域网中的核心设备,主要是用于和有线以太网进行连接,比如Internet,并发射无线信号。在一定的覆盖范围内,通过无线网卡就可以接收来自AP的信号。
③ SSID
全称Service Set Identifier (服务集标识),SSID技术可以将一个无线局域网分为几个需要不同身份验证的子网络,每一个子网络都需要独立的身份验证,只有通过身份验证的用户才可以进入相应的子网络,防止未被授权的用户进入本网络。
通俗地说,SSID便是你给自己的无线网络所取的名字。
④ RSSI
全称 Received Signal Strength Indication (接收信号强度指示),无线发送层的可选部分,用来判定链接质量,以及是否增大广播发送强度。
⑤ WPS
全称Wi-Fi Protected Setup (WiFi保护设置),它是由WiFi联盟组织实施的可选认证项目,它主要致力于简化无线网络设置及无线网络加密等工作。一般情况下,用户在新建一个无线网络时,为了保证无线网络的安全,都会对无线网络名称(SSID)和无线加密方式进行设置,即"隐藏SSID"或设置"无线网络连接密码"。而WPS可以帮助客户端用户自动配置网络名(SSID)及无线加密密钥。
二、无线发展前景及行业驱动力
自1997年IEEE 802.11 无线网络技术标准颁布,为不断适应新的业务应用场景,减小与有线网络带宽的差距,Wi-Fi技术在性能、容量及覆盖效果等方面持续创新以提高人们的使用体验,每一代 802.11 标准都在大幅度提升其传输速率,最新一代Wi-Fi 6 技术将成为未来几年Wi-Fi市场的主流技术。
图1:802.11 技术发展史
随着金融科技不断通过新兴技术实现营销方式、服务体系的创新,将新技术深度融入金融场景、服务场景,突破时间、空间的限制,成为各金融机构共同研究的话题。新技术的应用又引发了金融服务方式从互联网化向智慧化方向转变,而金融企业智慧化的前提是先实现数字化。
当前无人网点、移动银行、智能终端以及智能家居等新兴渠道纷纷涌现,客户的交易方式、交易渠道已从单一化有限模式向不受时间、空间限制的模式发展。Wi-Fi网络在企业数字化转型扮演着重要的角色,为银行机构的业务服务、移动办公和互联网接入等领域数字化应用提供了可能,最新的Wi-Fi 6 技术将成为金融行业提质增效的重要手段。
三、WI-FI 6 关键技术介绍
Wi-Fi 6是由上一代WiFi技术进化,协议名为802.11ax,工作频段采用2.4GHz + 5GHz 的Wi-Fi技术。相较于目前普及的WiFi技术而言,Wi-Fi 6 拥有更大的单流带宽、最高调制、MCS范围以及兼容上下行的MU-MIMO和OFDMA。Wi-Fi 6 (802.11ax)继承了Wi-Fi 5 (802.11ac)的所有先进 MIMO 特性,并新增了许多针对高密部署场景的新特性。
以下是Wi-Fi 6 几个核心新特性:
01.OFDMA 频分复用技术
OFDMA 是从 OFDM 演进过来的,最早应用于通信技术。Wi-Fi 6 标准里也采纳了这种技术来提高频谱的利用效率。在传统方式中,每个用户要发送数据(无论数据包的大小)都会占用整个信道,由于无线网络中传输大量的管理帧与控制帧,这些帧虽然数据包小但还是要占有整个信道,就像一辆大公共汽车只拉了一个乘客,如下图:
图2 :OFDMA拆分子载波效果示意图
OFDMA技术将无线信道划分为多个子信道(子载波),形成一个个频率资源块,用户数据承载在每个资源块上,而不是占用整个信道,从而实现在每个时间段内多个用户同时并行传输,不必排队等待、相互竞争,提升了效率,降低了排队等待时延。
02.DL/UL MU-MIMO 技术
802.11ac wave2的最大亮点就是 Downlink MU-MIMO,其 AP 节点可以同时向多个支持MU-MIMO 的客户端发送数据包,解决了无线AP之前一次只能和一个终端通信的问题。
图3 : 三种技术向MIMO客户端发送数据包演示
Wi-Fi 6 保持了这一技术,并发扬光大,可以同时支持向 8 个终端发送数据。而且在 Wi-Fi 6 里将支持Uplink MU-MIMO,最多支持8个1x1用户的并发上行。
03.更高阶的调制技术 (1024-QAM)
802.11ax 标准的主要目标是增加系统容量,降低时延,提高多用户高密场景下的效率,但更好的效率与更快的速度并不互斥。802.11ac 采用的 256-QAM 正交幅度调制,每个符号传输 8bit 数据(2^8=256),802.11ax将采用 1024-QAM 正交幅度调制,每个符号位传输 10bit 数据(2^10=1024),从 8 到 10 的提升是 25%,也就是相对于 802.11ac 来说,802.11ax 的单条空间流数据吞吐量又提高了25%。
图4 : 三种不同技术的正交幅度调制展示
04.空分复用技术(SR)
图5 :空分复用技术
Wi-Fi 射频的传输原理是在任何指定时间内,一个信道上只允许一个用户传输数据,如果 Wi-Fi AP 和客户端在同一信道上侦听到有其他 802.11 无线电传输,则会自动进行冲突避免,推迟传输,因此每个用户都必须轮流使用。所以说信道是无线网络中非常宝贵的资源,特别在高密场景下,信道的合理划分和利用将对整个无线网络的容量和稳定性带来较大的影响。
802.11ax 可以在 2.4GHz 或 5GHz 频段运行(与 802.11ac 不同,只能在 5GHz 频段运行),高密部署时同样可能会遇到可用信道太少的问题(特别是 2.4GHz 频段),如果能够提升信道的复用能力,将会对提升系统的吞吐容量。
四、802.11ax与802.11ac技术对比
相比802.11ac(Wi-Fi 5),802.11ax(Wi-Fi 6)通过DL/UL OFDMA、UL MU-MIMO以及空间复用等技术,将WLAN网络变得“高效”;同时在没有增加带宽、流数的情况下通过调制方式的增强将速率提升到9.6Gbps。
表1:802.11ax与802.11ac技术对比
五、WI-FI无线网络安全
对于金融企业,安全永远是关注的焦点,特别在Wi-Fi 6技术大规模使用的场景下,无线安全管控就显得尤为重要。据Gartner的统计报告显示,WLAN所面临的安全威胁,在众多的安全风险类型当中属于最高等级,在金融行业前期也已经出台了加强无线网络安全的相关要求。
WLAN安全体系在遵循IEEE 802.11i协议和国家WAPI标准的基础上,应满足分层的安全体系架构,将WLAN的安全从单一的物理层安全延伸到物理层安全、用户接入安全、网络层安全、设备安全、安全管理多个层面上,使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。
5.1用户接入安全控制
对于用户接入安全实际上包含三方面的手段:
1、用户接入认证
用户接入认证实现了对接入用户的身份认证,为网络服务提供了安全保护。无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及有线网络常用的portal认证和PPPOE认证,无线网络还可以支持国家WAPI标准规定的终端接入认证协议。
2、动态控制用户权限
接入认证解决了用户的身份验证问题,但无法对不同身份的用户提供不同等级的服务和访问权限,通过和AAA服务器配合,无线网络支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数,对于不同的用户群和业务可以控制其访问网络的权限,限制网络资源的使用,通过VLAN、优先级以及登录用户特征来标识用户和业务,并做到网络隔离和优先级保障。
3、Hotspot用户隔离
随着无线终端的普及,运营商目前都在大力开展无线热点业务,而其中一个重要需求是希望所有用户的数据流量在AP本地不做交换,而都必需经由BRAS设备交换和控制。Hotspot用户隔离通过限制相同SSID下的接入用户的互访,可以保证未认证用户无法在AP上做互访。
5.2网络层安全控制
为了保证无线用户之间以及其连接的整个网络的安全,仅仅保证接入点的安全性是远远不够的,需要从整体网络安全策略视角考虑,例如互联网Wi-Fi与内部生产网络严格的物理隔离,内网Wi-Fi严格审批控制,同时在以下几方面着手部署网络安全措施:
1、端点准入防御
为了解决现有网络安全管理中存在的不足,可以从网络用户终端准入控制入手,整合网络接入控制与终端安全,通过安全客户端、安全策略服务器、网络设备以及第三方合作机构安全软件的联动,对接入网络的用户终端强制实施企业内在安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。
2、无线入侵检测系统
无线网络应支持部署完善的无线入侵检测系统,能有效地提供无线攻击检测和防范。
3、非法AP检测
WLAN网络可以自动监测非法设备(例如Rouge AP,或者Ad Hoc 无线终端),并适时上报网管中心,同时对非法设备的攻击可以进行自动防护,对在内部重要场所发布的WI-FI SSID进行网络安全压制和管控,最大程度地保护内部无线防范伪冒网络及设备。
4、白名单功能
无线网络支持静态配置白名单功能,该功能一旦启用,只有白名单上的无线用户才被认为是合法用户,其他非法用户的报文全部在AP上被丢弃,从而减少非法报文对无线网络的冲击。
5、黑名单功能
无线网络支持静态配置黑名单和动态黑名单功能,用户可以通过预先配置的方式或者设备实时检测侦听的方式来确定设备是否被加入黑名单,加入到黑名单中的设备发送的报文全部在AP上被丢弃,从而减少攻击报文对无线网络的冲击。
6、无线协议攻击防御
例如DOS攻击,Flood攻击,去认证、去连接报文的仿冒检测,以及无线用户Weak IV检测。 当控制器检测到上述的攻击后,能产生告警或者日志,提醒管理员进行相应的处理。 特别是无线协议攻击防御可以和动态黑名单配合使用,当控制器检测到攻击时,可以将发起攻击的无线客户端添加到动态黑名单中,从而保证WLAN网络不再被该设备攻击。
7、安全策略统一部署
当无线控制器采用集中转发模式时,所有的用户数据流都会经由无线控制器做集中转发的策略处理,因此可以很容易的在无线控制器上进行安全策略的集中部署。这种集中部署安全策略的方式一方面可以充分发挥无线控制器处理性能高,能力强的优势,能够部署一些复杂的安全策略,另外可以避免在大量分散的AP设备上分别部署安全策略,减少了维护和管理的工作量。
8、无线控制器和AP间下行流量限速
AP由于受自身硬件条件的限制和无线控制器相比处理能有限,如果在无线控制器不加控制,外界对无线用户的数据流量攻击很容易造成AP的CPU占用率过高,从而影响无线控制器和AP之间的连通性无线控制器可针对AP的下行流量限速,即使发往AP的流量再大,都会被无线控制器限制在AP的处理能力范围之内,保证AP能够正常工作。
六、小结
Wi-Fi技术发展至今,在标准快速迭代和需求场景爆炸式增长的双重推动下,已经由最初的“有线网络扩展补充”,发展为一个包含无线AP接入点、AC 控制器、无线运维和认证系统的整体网络解决方案,承载在无线网络上的业务,也不再是简单的“访问移动互联网”这样的消费需求。
随着金融科技不断将新技术深度融合到金融场景、服务场景,突破时间、空间的限制,Wi-Fi网络也将在企业数字化转型扮演着重要的角色,成为各金融机构共同研究的话题,为银行机构的业务服务、移动办公和互联网接入等领域数字化应用提供了可能。另外,机器学习与人工智能等新技术也在促使着Wi-Fi网络走向智能化,基于机器学习的动态调频,及基于终端和人员行为的零信任准入控制等都为Wi-Fi注入了新的活力,未来Wi-Fi网络将在企业业务演进的道路上扮演越来越重要的角色。