WAPI
出自 MBA智库百科(https://wiki.mbalib.com/)
- WAPI(WLAN Authentication and Privacy Infrastructure,即無線區域網鑒別與保密基礎結構)
目錄 |
WAPI是針對IEEE 802.11中WEP協議安全問題,經多方參加,反覆論證,充分考慮各種應用模式,在中國無線區域網國家標準GBl5629.11中提出的WLAN安全解決方案。同時,本方案已由ISO/IEC授權的機構IEEE Registration Authority(IEEE註冊權威機構)審查並獲得認可,分配了用於WAPI協議的以太類型欄位,這也是我國目前在該領域唯一獲得批准的協議。
WAPI的產生背景[1]
WAPI標準,是我國企業自主設計、擁有自主知識產權的普適性安全接入技術基礎架構。它是在客觀承認當前和下一代主流的接入網路C-A-S(客戶端-承載節點-伺服器)架構的基礎上,在鏈路層提出的新的安全體系架構。WAPI包含兩個部分,一是WLAN鑒別基礎架構(WLAN Authentication Infrastructure),一是WLAN保密基礎架構(WLAN Privacy Infrastructure),二者分別針對用戶的身份鑒別及傳輸數據加密加以規範。它們既可適用於有線網路,也可適用於無線網路(WLAN),其中鑒別基礎架構和保密基礎架構是兩個有機的獨立構件。在有線網路中應用時,可以根據業務需求情況,選擇只啟用鑒別基礎架構,也可選擇同時啟用鑒別基礎架構和保密基礎架構,以保障用戶和網路之間相互的身份鑒別。但是,應用在無線網路中則通常同時啟用鑒別基礎架構和保密基礎架構。WAPI標準實現了終端和網路承接點之間的雙向鑒別和保密,在該架構中,接入設備作為獨立的實體,參與了身份鑒別過程,在鑒別過程中不僅終端需要證明自己身份的合法性,接入設備也需要證明自己身份的合法性,從而充分保證了只有合法的終端才可以接入合法的網路。
WAPI標準的推出是為了保障網路信息安全的需要。當今的通信網路從總體上可分為有線網路和無線網路,它們的網路結構在本質上是一致的,均包含終端、承載節點和鑒別伺服器3個要件。有線區域網是目前網路通信的主體,但據專家預測,無線網路因其無需線纜、無空間限制將是今後5~10年網路發展的趨勢。發展無線區域網,讓網路動起來是世界各大網路開發商的共同目標。從目前來看,日趨強烈的移動需求、不斷增加的用戶群規模、不斷降低的PC價格,以及無線區域網硬體價格的下跌,強勁激勵著無線區域網市場的迅猛增長。隨著無線網路用戶群的不斷擴大,對無線區域網的安全性就有了更高的要求。WAPI標準的誕生,正是滿足了當前對無線網路安全更高的要求,它不僅剋服了當今國際流行的無線區域網WEP標準國際公認的安全缺陷,而且突破了發達國家及其跨國公司在該領域的技術壟斷,使我國在關鍵技術領域的創新和標準制定上第一次與歐洲、日本等國站在了同一個起跑線上。
目前國際上通行的主流無線區域網安全體制仍採用美國的WEP機制。這個機制是由有線網路的安全機制移植到無線網路中來的,因此存在很多致命的缺陷:如密鑰流的重用、數據包的可被修改和插入以及認證協議存在的嚴重缺陷。對於網路攻擊者來說可以採用諸如統計攻擊、完整性攻擊、假冒無線站攻擊以及虛假接入點(AP)攻擊等方法破壞網路的安全性。由此可見,WEP體制的缺陷加上成熟的網路攻擊手段是目前國際上無線區域網的安全現狀,且安全性已成為制約WLAN進一步發展的瓶頸。世界上一些國家已經意識到問題的嚴重性,並開始著手制定更安全的國家或專屬行業的標準。早在2000年,歐洲電信標準機構(ETSI)就制定了HiperLAN標準;2003年,包WLAN日本標準,目前已經制定完成HiSWANa和HiSWANb標準;包括致力於WLAN安全研究的Wi-Fi聯盟也在想盡種種辦法來攻剋安全難關。
我國的WAPI標準的推出,適應了我國發展無線區域網的要求,並對網路接入的安全性提供了比目前國際上更為安全的模式。它的主要特點是:①定義了一種包容性強的安全架構,在該架構內可根據不同的網路設計具體的安全協議;②提供了良好的擴展性和適應性,適合有線和無線應用;③實現了終端和網路承接點之間的雙向鑒別;④兩個組成部分鑒別和保密基礎架構是有機的獨立整體,可根據需要選用;⑤可內置在網路中,也可集成在設備中。
WAPI的工作原理[2]
WAPI的工作原理如圖所示,整個系統由移動終端(mobile terminal,MT)、接入點(access point,AP)和認證伺服器(authentication serrer,AS)組成。其中,認證伺服器的主要功能是負責證書的發放、認證與吊銷等;移動終端與AP上都安裝有認證伺服器發放的公鑰證書,作為自己的數字身份憑證。當移動終端登錄至無線接入點時,在訪問網路資源之前必須通過AS進行雙向身份認證。即持有合法證書的移動終端能且只能接人持有合法證書的無線接入點。這樣,一方面可以防止非法移動終端接入AP未經授權就使用網路資源,另一方面還可以防止移動終端登錄至非法AP而造成信息泄露。
上圖顯示的是WAPI的完整交互過程,下麵結合該圖來分析WAPI的工作流程。
①認證發起過程。認證開始之前,移動終端首先要登錄到AP,建立鏈路連接。移動終端通過無線通道的鏈路連接建立成功接人到AP後,AP向移動終端發送認證激活信息,以啟動整個認證過程。
②移動終端發送接入認證請求。移動終端向AP發出接入認證請求信息,接入認證請求信息的內容包括移動終端的證書、移動終端的當前系統時間。其中系統時間稱為接人認證請求時間。
③接人點發送證書認證請求。AP收到移動終端接人認證請求後,向認證伺服器發出證書認證請求信息。證書認證請求信息的內容包括移動終端的證書、接入認證請求時間和AP證書,並利用AP的私鑰對它們簽名生成證書認證請求報文發送給認證伺服器。
④認證伺服器發送證書認證響應。當認證伺服器收到AP的證書認證請求後,它將驗證AP的簽名及AP和移動終端證書的合法性。驗證完畢後,認證伺服器將移動終端證書認證結果信息(包括移動終端證書、認證結果及認證伺服器對它們的簽名)、AP證書認證結果信息(包括AP證書、認證結果、接入認證請求時間及認證伺服器對它們的簽名)構成證書認證響應報文發回給AP。
⑤接人點發送接入認證響應。AP收到認證伺服器的證書認證結果之後,AP對認證伺服器返回的證書認證響應進行簽名驗證,得到移動終端證書的認證結果。AP將移動終端證書認證結果信息、AP證書認證結果信息及AP對它們的簽名組成接入認證響應報文回送至移動終端。移動終端驗證認證伺服器的簽名後,得到AP證書的認證結果。移動終端根據該認證結果決定是否接人該AP。
⑥私鑰驗證請求。這是一次雙向的認證,AP和移動終端都需要確認對方是否是證書的合法持有者。私鑰驗證請求包含實時產生的隨機數,請求對方對其簽名,以驗證對方是否擁有該證書的私鑰。該請求可由AP或移動終端發起。
⑦私鑰驗證響應。包含對私鑰驗證請求中隨機數據的簽名,提供自己是證書合法持有者的證明。
⑧至此移動終端與AP之間完成了證書認證過程。若認證成功,則AP允許移動終端接入,否則解除其登錄。
在證書雙向認證結束後,若AP和移動終端可以利用合法證書的公鑰進行會話密鑰的協商,上述的私鑰驗證過程也可省略,實現密鑰的集中、安全管理。
WAPI的特點[2]
①採用基於公鑰密碼體系的證書機制,實現了移動終端與無線接人點間的雙向認證。
②用戶只需安裝一張證書就可在覆蓋WLAN的不同地區漫游,方便用戶使用。AP設置好證書後,無須再對後臺的AAA伺服器進行設置,安裝、組網便捷,易於擴展。
WAPI具有幾個重要特點:全新的高可靠性安全認證與保密體制,更可靠的二層(鏈路層)以下安全系統,完整的“用戶-接入點”雙向認證,集中式或分佈集中式認證管理,靈活多樣的證書管理與分發體制,可控的會話協商動態密鑰,高強度的加密演算法,可擴展或升級的全嵌入式認證與演算法模塊,支持帶安全的越區切換;支持SNMP網路管理,完全符合國家標準,通過國家商用密碼管理部門安全審查,符合“國家商用密碼管理條例”。
由於會話密鑰並沒有在通道上進行傳輸,因此就增強了其安全性。為了進一步提高通信的保密性,WAPI還規定,在通信一段時間或者交換一定數量的數據之後,STA和AP之間可以重新協商會話密鑰。WAPI採用對稱密碼演算法實現對MAC層MSDU進行的加、解密操作。
WAPI充分考慮了市場應用,從應用模式上可分為單點式和集中式兩種。單點式主要用於家庭和小型公司的小範圍應用;集中式主要用於熱點地區和大型企業,可以和運營商的管理系統結合起來,共同搭建安全的無線應用平臺。因此,採用WAPI可以徹底扭轉目前WLAN多種安全機制並存且互不兼容的現狀,從而在根本上解決安全問題和兼容性問題。
中國的WAPI標準[3]
2003年5月12日,中國寬頻無線IP標準工作組,負責起草的無線區域網兩項國家標準(即WAPI),由信息產業部報送國家標準化管理委員會正式頒佈。WAPI標準原則上採用了WiFi聯盟的IEEE 802.11國際標準,並對現行國際標準中的安全缺陷用自主創新的關鍵技術進行了修正。但在安全機制上有本質的區別,最關鍵的是問題是密鑰技術,也就是加密演算法的改善。
WAPI包含兩個部分,一部分為WLAN鑒別基礎架構(WLAN Authentication Infrastructure,WAI);另一部分為WLAN保密基礎架構(WLAN Privacy Infrastructure)。分別對用戶的身份鑒別及傳輸數據加密加以規範。其中,WAI採用基於橢圓曲線的公鑰證書體制,無線客戶端STA和接入點(AP)通過鑒別伺服器(AS)進行雙向身份鑒別。而在對傳輸數據的保密方面,WPI採用了國家商用密碼管理委員會辦公室提供的對稱密碼演算法進行加密和解密,充分保障了數據傳輸的安全。
WAPI充分考慮了市場應用,根據無線區域網應用的不同情況,可以以單點式和集中式等不同的模式工作;同時也可以和現有的數據通信公司的系統結合起來,支持大規模的無線接入服務。此外,用戶使用場景不同,WAPI的實現和工作方式也略有差異。WAPI用戶使用場景主要有以下幾種。
(1)企業級用戶應用場景。有AP和獨立的AS(鑒別伺服器),內部駐留ASU(鑒別服務單元),實現多個AP和STA證書的管理和用戶身份的鑒別;
(2)小公司和家庭用戶應用場景。有AP,ASU可駐留在AP中;
(3)公共熱點用戶應用場景。有AP,ASU駐留在接入控制伺服器中;
(4)自組網用戶應用場景。無AP,各STA在應用上是對等的,採用共用密鑰來實現鑒別和保密。
2006年3月7日,WAPI產業聯盟正式成立。聯盟由聯想、方正、中國移動、中國電信、中國網通、中國聯通等20多家發起。國家發改委和信息產業部等領導出席,並對WAPI聯盟的成立表示支持。WAPI產業聯盟是由積極投身於無線區域網產品的研究、開發、製造的廠商和數據通信公司組成合作平臺,聯盟宗旨是整合及協調產業和社會資源,提升聯盟成員在無線區域網相關領域的研究、開發、製造和服務水平,進無線區域網產業的快速健康發展,實現WAPI標準的推廣和應用,保護信息安全,維護消費者利益。
