產(chǎn)品概述
WAPI 是 WLAN Authentication and Privacy Infrastructure(無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu))的簡稱����,是中國提出的�、以 802.11 無線協(xié)議為基礎(chǔ)的無線安全標準。
WAPI 協(xié)議由以下兩部分構(gòu)成:
?���。?)WAI:是 WLAN Authentication Infrastructure(無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))的簡稱,是用于無線局域網(wǎng)中身份鑒別和密鑰管理的安全方案�;
?���。?)WPI:是 WLAN Privacy Infrastructure(無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu))的簡稱, 是用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護的安全方案����,包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護等功能�����。
WAPI系統(tǒng)基本概念
(1)AC(Access Controller,接入控制器):用于對WLAN 中與之關(guān)聯(lián)的FIT AP 進行控制和管理的設備�����。
(2)AP(Access Point����,接入點):是指任何一個能通過無線介質(zhì)為無線終端提供分布式訪問服務的實體。
(3)AS(Authentication Server�����,鑒別服務器):用于對用戶和設備證書進行身份鑒別等����,是基于公鑰密碼技術(shù)的WAI 中重要的組成部分。
(4)BK(Base Key����,基密鑰):用于導出單播會話密鑰,由證書鑒別過程協(xié)商得到或者由預共享密鑰導出�����。
(5)FAT AP(FAT Access Point����,胖 AP):傳統(tǒng) AP�����,除了提供基本的無線連接功能外����,還能提供安全�、管理和性能增強功能。FAT AP 不能與 AC 關(guān)聯(lián)使用��。
(5)FIT AP(FIT Access Point�����,瘦 AP):區(qū)別于傳統(tǒng)的FAT AP����,只提供可靠����、高性能的無線連接功能,而剝離了其它功能�����。FIT AP 必須與 AC 關(guān)聯(lián)使用,本文中的 AP 均指FIT AP��。
(6)MSK(Multicast Session Key��,組播會話密鑰):用于保護站點發(fā)送的組播 MPDU 的隨機值��,由組播主密鑰導出�����,包括組播加密密鑰和組播完整性校驗密鑰����。
(7)PSK(Preshared Key,預共享密鑰):是發(fā)布給 STA 的靜態(tài)密鑰���。
(8)STA(Station�����,站點):即無線終端�,本文中是指帶有支持WAPI 協(xié)議無線網(wǎng)卡的 PC、便攜式筆記本電腦等無線終端�����。
(9)USK(Unicast Session Key����,單播會話密鑰):是由 BK 通過偽隨機函數(shù)導出的隨機值,分為四個部分:單播加密密鑰����、單播完整性校驗密鑰、消息鑒別密鑰和密鑰加密密鑰�����。
(10)WAPI user(WAPI 用戶):是指使用WAPI 安全模式進行認證的用戶����,系統(tǒng)所支持的最大WAPI 用戶數(shù)量為 1024 個。本文中也稱為STA�����。
WAPI 的工作過程
在一個采用了WAPI安全關(guān)聯(lián)機制的WLAN中�,當STA需要訪問該WLAN時,通過被動偵聽AP的信標(Beacon)幀或主動發(fā)送探詢幀(主動探詢)以識別AP所采用的安全策略:
?��。?)若 AP 采用證書鑒別方式�,AP 將發(fā)送鑒別激活分組啟動證書鑒別過程�����,當證書鑒別過程成功結(jié)束后���,AP 和STA 再進行單播密鑰協(xié)商和組播密鑰通告���;
(2)若 AP 采用預共享密鑰鑒別方式�,AP 將與 STA 直接進行單播密鑰協(xié)商和組播密鑰通告。
WAPI系統(tǒng)典型組網(wǎng)
在一個典型的WAPI系統(tǒng)中�, WAPI用戶通過AP接入有線IP網(wǎng)絡。首先���,WAPI用戶與AP進行 802.11 鏈路協(xié)商�����,之后AP為該用戶觸發(fā)WAI鑒別過程���,配合AS完成與用戶的雙向認證�����。當認證通過后��,AP會發(fā)起對該用戶的密鑰協(xié)商�����,并使用協(xié)商出的密鑰通過WPI向該WAPI用戶提供加�、解密服務��。
WAPI證書鑒別方式
數(shù)字證書是一種經(jīng) PKI(Public Key Infrastructure�����,公鑰基礎(chǔ)設施)證書授權(quán)中心簽名的����、包含公開密鑰及用戶相關(guān)信息的文件,是網(wǎng)絡用戶的數(shù)字身份憑證�����。WAPI 系統(tǒng)中所使用的用戶證書為數(shù)字證書,通過 AS 對用戶證書進行驗證��,可以唯一確定 WAPI 用戶的身份及其合法性�。
證書鑒別是基于STA和AP雙方的證書所進行的鑒別��。鑒別前STA和AP必須預先擁有各自的證書�����,然后通過AS對雙方的身份進行鑒別�,根據(jù)雙方產(chǎn)生的臨時公鑰和臨時私鑰生成BK,并為隨后的單播密鑰協(xié)商和組播密鑰通告做好準備�。
WAPI預共享密鑰鑒別方式
預共享密鑰鑒別是基于 STA 和AP 雙方的密鑰所進行的鑒別。鑒別前 STA 和 AP 必須預先配置有相同的密鑰����,即預共享密鑰。鑒別時直接將預共享密鑰轉(zhuǎn)換為 BK�,然后進行單播密鑰協(xié)商和組播密鑰通告。
WAPI 的密鑰管理
STA 與 AP 之間交互的單播數(shù)據(jù)利用單播密鑰協(xié)商過程所協(xié)商出的單播加密密鑰和單播完整性校驗密鑰進行保護�����;AP 利用自己通告的��、由組播主密鑰導出的組播加密密鑰和組播完整性校驗密鑰對其發(fā)送的廣播/組播數(shù)據(jù)進行保護,而 STA 則采用 AP 通告的�����、由組播主密鑰導出的組播加密密鑰和組播完整性校驗密鑰對收到的廣播/組播數(shù)據(jù)進行解密�。
