產(chǎn)品概述
WAPI 是 WLAN Authentication and Privacy Infrastructure(無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu))的簡(jiǎn)稱,是中國(guó)提出的���、以 802.11 無線協(xié)議為基礎(chǔ)的無線安全標(biāo)準(zhǔn)��。
WAPI 協(xié)議由以下兩部分構(gòu)成:
?��。?)WAI:是 WLAN Authentication Infrastructure(無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))的簡(jiǎn)稱,是用于無線局域網(wǎng)中身份鑒別和密鑰管理的安全方案�;
(2)WPI:是 WLAN Privacy Infrastructure(無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu))的簡(jiǎn)稱, 是用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案����,包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能����。
WAPI系統(tǒng)基本概念
(1)AC(Access Controller,接入控制器):用于對(duì)WLAN 中與之關(guān)聯(lián)的FIT AP 進(jìn)行控制和管理的設(shè)備��。
(2)AP(Access Point��,接入點(diǎn)):是指任何一個(gè)能通過無線介質(zhì)為無線終端提供分布式訪問服務(wù)的實(shí)體��。
(3)AS(Authentication Server�,鑒別服務(wù)器):用于對(duì)用戶和設(shè)備證書進(jìn)行身份鑒別等,是基于公鑰密碼技術(shù)的WAI 中重要的組成部分��。
(4)BK(Base Key���,基密鑰):用于導(dǎo)出單播會(huì)話密鑰�����,由證書鑒別過程協(xié)商得到或者由預(yù)共享密鑰導(dǎo)出����。
(5)FAT AP(FAT Access Point,胖 AP):傳統(tǒng) AP����,除了提供基本的無線連接功能外,還能提供安全���、管理和性能增強(qiáng)功能�����。FAT AP 不能與 AC 關(guān)聯(lián)使用。
(5)FIT AP(FIT Access Point���,瘦 AP):區(qū)別于傳統(tǒng)的FAT AP���,只提供可靠、高性能的無線連接功能����,而剝離了其它功能。FIT AP 必須與 AC 關(guān)聯(lián)使用�����,本文中的 AP 均指FIT AP。
(6)MSK(Multicast Session Key��,組播會(huì)話密鑰):用于保護(hù)站點(diǎn)發(fā)送的組播 MPDU 的隨機(jī)值���,由組播主密鑰導(dǎo)出��,包括組播加密密鑰和組播完整性校驗(yàn)密鑰���。
(7)PSK(Preshared Key,預(yù)共享密鑰):是發(fā)布給 STA 的靜態(tài)密鑰���。
(8)STA(Station����,站點(diǎn)):即無線終端�,本文中是指帶有支持WAPI 協(xié)議無線網(wǎng)卡的 PC、便攜式筆記本電腦等無線終端���。
(9)USK(Unicast Session Key����,單播會(huì)話密鑰):是由 BK 通過偽隨機(jī)函數(shù)導(dǎo)出的隨機(jī)值,分為四個(gè)部分:?jiǎn)尾ゼ用苊荑€�、單播完整性校驗(yàn)密鑰、消息鑒別密鑰和密鑰加密密鑰����。
(10)WAPI user(WAPI 用戶):是指使用WAPI 安全模式進(jìn)行認(rèn)證的用戶,系統(tǒng)所支持的最大WAPI 用戶數(shù)量為 1024 個(gè)���。本文中也稱為STA����。
WAPI 的工作過程
在一個(gè)采用了WAPI安全關(guān)聯(lián)機(jī)制的WLAN中���,當(dāng)STA需要訪問該WLAN時(shí),通過被動(dòng)偵聽AP的信標(biāo)(Beacon)幀或主動(dòng)發(fā)送探詢幀(主動(dòng)探詢)以識(shí)別AP所采用的安全策略:
?�。?)若 AP 采用證書鑒別方式���,AP 將發(fā)送鑒別激活分組啟動(dòng)證書鑒別過程�,當(dāng)證書鑒別過程成功結(jié)束后�,AP 和STA 再進(jìn)行單播密鑰協(xié)商和組播密鑰通告;
?。?)若 AP 采用預(yù)共享密鑰鑒別方式����,AP 將與 STA 直接進(jìn)行單播密鑰協(xié)商和組播密鑰通告����。
WAPI系統(tǒng)典型組網(wǎng)
在一個(gè)典型的WAPI系統(tǒng)中, WAPI用戶通過AP接入有線IP網(wǎng)絡(luò)�。首先,WAPI用戶與AP進(jìn)行 802.11 鏈路協(xié)商���,之后AP為該用戶觸發(fā)WAI鑒別過程��,配合AS完成與用戶的雙向認(rèn)證�。當(dāng)認(rèn)證通過后�,AP會(huì)發(fā)起對(duì)該用戶的密鑰協(xié)商,并使用協(xié)商出的密鑰通過WPI向該WAPI用戶提供加��、解密服務(wù)���。
WAPI證書鑒別方式
數(shù)字證書是一種經(jīng) PKI(Public Key Infrastructure����,公鑰基礎(chǔ)設(shè)施)證書授權(quán)中心簽名的��、包含公開密鑰及用戶相關(guān)信息的文件,是網(wǎng)絡(luò)用戶的數(shù)字身份憑證����。WAPI 系統(tǒng)中所使用的用戶證書為數(shù)字證書,通過 AS 對(duì)用戶證書進(jìn)行驗(yàn)證����,可以唯一確定 WAPI 用戶的身份及其合法性。
證書鑒別是基于STA和AP雙方的證書所進(jìn)行的鑒別�����。鑒別前STA和AP必須預(yù)先擁有各自的證書�����,然后通過AS對(duì)雙方的身份進(jìn)行鑒別���,根據(jù)雙方產(chǎn)生的臨時(shí)公鑰和臨時(shí)私鑰生成BK,并為隨后的單播密鑰協(xié)商和組播密鑰通告做好準(zhǔn)備��。
WAPI預(yù)共享密鑰鑒別方式
預(yù)共享密鑰鑒別是基于 STA 和AP 雙方的密鑰所進(jìn)行的鑒別�����。鑒別前 STA 和 AP 必須預(yù)先配置有相同的密鑰,即預(yù)共享密鑰�����。鑒別時(shí)直接將預(yù)共享密鑰轉(zhuǎn)換為 BK���,然后進(jìn)行單播密鑰協(xié)商和組播密鑰通告�����。
WAPI 的密鑰管理
STA 與 AP 之間交互的單播數(shù)據(jù)利用單播密鑰協(xié)商過程所協(xié)商出的單播加密密鑰和單播完整性校驗(yàn)密鑰進(jìn)行保護(hù)�;AP 利用自己通告的��、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)密鑰對(duì)其發(fā)送的廣播/組播數(shù)據(jù)進(jìn)行保護(hù)���,而 STA 則采用 AP 通告的�、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)密鑰對(duì)收到的廣播/組播數(shù)據(jù)進(jìn)行解密�����。
