西電捷通：WAPI技術(shù)如何在Windows上實現(xiàn)（一）

1、西電捷通：wapi技術(shù)如何在windows上實現(xiàn)（一）西電捷通技術(shù)研究自windows vista系統(tǒng)以來，微軟對其無線網(wǎng)絡架構(gòu)進行了重犬調(diào)整，尤其 是在網(wǎng)絡安全方面，越來越重視與不同安全協(xié)議間的結(jié)合，通過開放接口的形式, 試圖增強自身產(chǎn)品與外部技術(shù)間的融合度，提高其網(wǎng)絡安全兼容性及適用性。微 軟對網(wǎng)絡i辦議接口的開放，似乎也從側(cè)而佐證了其現(xiàn)冇操作系統(tǒng)，在無線網(wǎng)絡安 全方面，確實存在需要加強和完善的地方。xp時代的缺憾在windows xp時代，系統(tǒng)未對無線網(wǎng)絡安全提供擴展接口，所有的無線網(wǎng)絡 軟件，皆以獨立的應用程序運行，大家都是遵循windows的體系架構(gòu)，通過調(diào)用 系統(tǒng)網(wǎng)絡api函數(shù)來實

2、現(xiàn)對網(wǎng)絡的連接和控制，但只能局限于系統(tǒng)已有的安全和 網(wǎng)絡配置方式，無法對系統(tǒng)無線網(wǎng)絡的安全協(xié)議進行擴展，更無法根據(jù)新的安全 協(xié)議，定制用戶接口（包括界面和操作方法）。新的無線網(wǎng)絡架構(gòu)，針對第三方安全協(xié)議及網(wǎng)絡配置，提供了一整套的適配 接口；從而解決了從用戶輸入、網(wǎng)絡配置，直到協(xié)議傳輸?shù)雀鲗哟喂δ軘U展的問 題，使第三方安全協(xié)議能與系統(tǒng)的無線網(wǎng)絡管理很好結(jié)合，從而達到無縫銜接。 用戶在應用外部安全協(xié)議吋，不再需要單獨開啟其它網(wǎng)絡應用程序，完全可在系 統(tǒng)的無線網(wǎng)絡管理屮，完成所有的安全配置和管理操作。美國business insider這樣評價微軟的這種轉(zhuǎn)變，微軟前ceo史蒂夫鮑爾 默已吸取了教訓，

3、開發(fā)者是微軟生態(tài)系統(tǒng)屮最重要的一員。在微軟的鼎盛時期， 他們?yōu)閣indows開發(fā)的各種應用為其賦予了極大的實用性。在微軟邊入新時代z 際，他們開發(fā)的應用也將對微軟的各種設備和服務起到同樣的作用。就安全木身而言，不同吋期的安全協(xié)議和標準，有著不同的背景和要求，隨 著技術(shù)的不斷發(fā)展和演進，促使人們對于安全的考慮越來越深入，由于無線網(wǎng)絡 在通信的過程屮，難免會存在這樣或那樣的安全問題，早期的windows依據(jù)wi-fi 標準，在其系統(tǒng)先后實現(xiàn)了 wep、wpa、wpa2和802.1x安全協(xié)議，但事實上，從 安全角度講，目前的系統(tǒng)安全管理雖然可以滿足一定程度的用戶需求，但仍然無 法從根木上解決接入各方

4、的身份鑒別問題，導致系統(tǒng)架構(gòu)上存在明顯的安全隱患。 也正是鑒于這一原因，在window vista之后，微軟開放了系統(tǒng)在無線網(wǎng)絡安全方 而的接口，使得其他第三方安全協(xié)議可以通過此種形式，對無線安全進行擴展和 補充，試圖借此完善系統(tǒng)在無線安全方面的缺陷。wapi和未開放的xpwapi在windows上的實現(xiàn)，恰好彌補了這方面的缺陷。wapi全稱無線局域網(wǎng) 鑒別與保密基礎結(jié)構(gòu)，該安全協(xié)議可分為：wai和wpi兩大過程。其中，wai主要 負責無線數(shù)據(jù)通信前的安全鑒別，工作在系統(tǒng)的應用層或內(nèi)核層；wp1主要完成 無線數(shù)據(jù)通信過程中的安全傳輸，其一般工作在系統(tǒng)的內(nèi)核層或硬件物理層。二 者緊密結(jié)合，使系統(tǒng)

5、的無線通信達到安全可信。從通信各方的角色承擔來說，wapi 實現(xiàn)了參與各方的身份鑒別和認證，并由此進行密鑰推導和管理，從而真正達到 了互信互通的目的。在無線安全架構(gòu)演進過程屮，windows系統(tǒng)先后經(jīng)丿力了封閉對外接口和開放 接口的兩個階段，而在這兩個時期，根據(jù)系統(tǒng)的不同特點，wapi安全協(xié)議的部署 和設計也略冇不同，下面我們就來介紹一下windows xp時代，wapi與系統(tǒng)的無 線網(wǎng)絡結(jié)合的方式（方案有多刑，木文只闡述其屮之一，即通過協(xié)議驅(qū)動完成wai 鑒別過程）。女卜是 wapi 安全機制在 ndis 5. x （ network driver interfacespecificatio

6、n,網(wǎng)絡驅(qū)動接口規(guī)范）中的結(jié)構(gòu)示意。上述結(jié)構(gòu)示意圖中，主要體現(xiàn)了 3個層次：系統(tǒng)應用層，系統(tǒng)協(xié)議/內(nèi)核層， 網(wǎng)絡的物理層；其中，各層次之間的功能作用和層次關(guān)系如下：系統(tǒng)應用層：涉a wapi相關(guān)設置/配置等，來源于用戶操作，以及需要體現(xiàn) 給用戶wapi網(wǎng)絡通信的狀態(tài)等信息，均由wapi應用層軟件來實現(xiàn)。這里可收集 來自于用戶對網(wǎng)絡連接的要求，并進一步將用戶配置傳遞至下層的wapi |辦議層, 用于wapi的連接控制，并等待網(wǎng)絡連接結(jié)果；系統(tǒng)協(xié)議/內(nèi)核層：這里主要完成對協(xié)議的處理，并完成對密鑰的協(xié)商和 設置。當協(xié)議層接收到來自上層的wapi用戶設置后，會根據(jù)用戶設置，進行相應 的wapi連接和鑒

7、別過程。協(xié)議層將根拯用戶的設置，進行預共享密鑰或證書模式 的安全連接，并對具冇0x88b4的以太網(wǎng)類型字段的i辦議幀，進行wai鑒別處理。 待完成鑒別過程，以及協(xié)商出密鑰后，協(xié)議層將會將該密鑰以及相關(guān)信息下設至 mini port驅(qū)動層。（若網(wǎng)卡硬件具有sm4的加/解密算法,貝u會由miniport進一 步將wapi密鑰傳遞至網(wǎng)卡硬件）網(wǎng)絡的物理層：當miniport接收到來口協(xié)議層的密鑰，以及其他相關(guān)控制信 息后，將由miniport完成wpi力口/解密過程，并進入wapi實際的無線數(shù)據(jù)通信過 程。若網(wǎng)卡硬件具有sm4的加/解密算法，則會由miniport將wapi密鑰進一步傳 遞至網(wǎng)卡硬件，出網(wǎng)卡完成數(shù)據(jù)的加解密，以及數(shù)據(jù)完整性的校驗。由于windows xp的無線網(wǎng)絡架構(gòu)，并沒有對第三方安全協(xié)議提供相應的擴 展接口，故無法直接通過調(diào)用標準的ndis api來實現(xiàn)wapi網(wǎng)絡的安全控制，而 是需要通過其他途徑與miniport驅(qū)動進行通信，才能完成相關(guān)的安全設置，以及 協(xié)議的處理。因此，在windows xp系統(tǒng)下，進行wapi網(wǎng)絡連接時，首先，需要 禁用系統(tǒng)的無線零配置(wireless zero configuration)服務。wapi客戶端在xp上的展示如下是某款wap1客戶端軟件的主要界而示意:圖1 wapt客戶端軟件主界面圖2 wap1