西電捷通：WAPI技術(shù)如何在Windows上實(shí)現(xiàn)（一）

1、西電捷通：wapi技術(shù)如何在windows上實(shí)現(xiàn)（一）西電捷通技術(shù)研究自windows vista系統(tǒng)以來，微軟對其無線網(wǎng)絡(luò)架構(gòu)進(jìn)行了重犬調(diào)整，尤其 是在網(wǎng)絡(luò)安全方面，越來越重視與不同安全協(xié)議間的結(jié)合，通過開放接口的形式, 試圖增強(qiáng)自身產(chǎn)品與外部技術(shù)間的融合度，提高其網(wǎng)絡(luò)安全兼容性及適用性。微 軟對網(wǎng)絡(luò)i辦議接口的開放，似乎也從側(cè)而佐證了其現(xiàn)冇操作系統(tǒng)，在無線網(wǎng)絡(luò)安 全方面，確實(shí)存在需要加強(qiáng)和完善的地方。xp時(shí)代的缺憾在windows xp時(shí)代，系統(tǒng)未對無線網(wǎng)絡(luò)安全提供擴(kuò)展接口，所有的無線網(wǎng)絡(luò) 軟件，皆以獨(dú)立的應(yīng)用程序運(yùn)行，大家都是遵循windows的體系架構(gòu)，通過調(diào)用 系統(tǒng)網(wǎng)絡(luò)api函數(shù)來實(shí)

2、現(xiàn)對網(wǎng)絡(luò)的連接和控制，但只能局限于系統(tǒng)已有的安全和 網(wǎng)絡(luò)配置方式，無法對系統(tǒng)無線網(wǎng)絡(luò)的安全協(xié)議進(jìn)行擴(kuò)展，更無法根據(jù)新的安全 協(xié)議，定制用戶接口（包括界面和操作方法）。新的無線網(wǎng)絡(luò)架構(gòu)，針對第三方安全協(xié)議及網(wǎng)絡(luò)配置，提供了一整套的適配 接口；從而解決了從用戶輸入、網(wǎng)絡(luò)配置，直到協(xié)議傳輸?shù)雀鲗哟喂δ軘U(kuò)展的問 題，使第三方安全協(xié)議能與系統(tǒng)的無線網(wǎng)絡(luò)管理很好結(jié)合，從而達(dá)到無縫銜接。 用戶在應(yīng)用外部安全協(xié)議吋，不再需要單獨(dú)開啟其它網(wǎng)絡(luò)應(yīng)用程序，完全可在系 統(tǒng)的無線網(wǎng)絡(luò)管理屮，完成所有的安全配置和管理操作。美國business insider這樣評價(jià)微軟的這種轉(zhuǎn)變，微軟前ceo史蒂夫鮑爾 默已吸取了教訓(xùn)，

3、開發(fā)者是微軟生態(tài)系統(tǒng)屮最重要的一員。在微軟的鼎盛時(shí)期， 他們?yōu)閣indows開發(fā)的各種應(yīng)用為其賦予了極大的實(shí)用性。在微軟邊入新時(shí)代z 際，他們開發(fā)的應(yīng)用也將對微軟的各種設(shè)備和服務(wù)起到同樣的作用。就安全木身而言，不同吋期的安全協(xié)議和標(biāo)準(zhǔn)，有著不同的背景和要求，隨 著技術(shù)的不斷發(fā)展和演進(jìn)，促使人們對于安全的考慮越來越深入，由于無線網(wǎng)絡(luò) 在通信的過程屮，難免會存在這樣或那樣的安全問題，早期的windows依據(jù)wi-fi 標(biāo)準(zhǔn)，在其系統(tǒng)先后實(shí)現(xiàn)了 wep、wpa、wpa2和802.1x安全協(xié)議，但事實(shí)上，從 安全角度講，目前的系統(tǒng)安全管理雖然可以滿足一定程度的用戶需求，但仍然無 法從根木上解決接入各方

4、的身份鑒別問題，導(dǎo)致系統(tǒng)架構(gòu)上存在明顯的安全隱患。 也正是鑒于這一原因，在window vista之后，微軟開放了系統(tǒng)在無線網(wǎng)絡(luò)安全方 而的接口，使得其他第三方安全協(xié)議可以通過此種形式，對無線安全進(jìn)行擴(kuò)展和 補(bǔ)充，試圖借此完善系統(tǒng)在無線安全方面的缺陷。wapi和未開放的xpwapi在windows上的實(shí)現(xiàn)，恰好彌補(bǔ)了這方面的缺陷。wapi全稱無線局域網(wǎng) 鑒別與保密基礎(chǔ)結(jié)構(gòu)，該安全協(xié)議可分為：wai和wpi兩大過程。其中，wai主要 負(fù)責(zé)無線數(shù)據(jù)通信前的安全鑒別，工作在系統(tǒng)的應(yīng)用層或內(nèi)核層；wp1主要完成 無線數(shù)據(jù)通信過程中的安全傳輸，其一般工作在系統(tǒng)的內(nèi)核層或硬件物理層。二 者緊密結(jié)合，使系統(tǒng)

5、的無線通信達(dá)到安全可信。從通信各方的角色承擔(dān)來說，wapi 實(shí)現(xiàn)了參與各方的身份鑒別和認(rèn)證，并由此進(jìn)行密鑰推導(dǎo)和管理，從而真正達(dá)到 了互信互通的目的。在無線安全架構(gòu)演進(jìn)過程屮，windows系統(tǒng)先后經(jīng)丿力了封閉對外接口和開放 接口的兩個(gè)階段，而在這兩個(gè)時(shí)期，根據(jù)系統(tǒng)的不同特點(diǎn)，wapi安全協(xié)議的部署 和設(shè)計(jì)也略冇不同，下面我們就來介紹一下windows xp時(shí)代，wapi與系統(tǒng)的無 線網(wǎng)絡(luò)結(jié)合的方式（方案有多刑，木文只闡述其屮之一，即通過協(xié)議驅(qū)動(dòng)完成wai 鑒別過程）。女卜是 wapi 安全機(jī)制在 ndis 5. x （ network driver interfacespecificatio

6、n,網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范）中的結(jié)構(gòu)示意。上述結(jié)構(gòu)示意圖中，主要體現(xiàn)了 3個(gè)層次：系統(tǒng)應(yīng)用層，系統(tǒng)協(xié)議/內(nèi)核層， 網(wǎng)絡(luò)的物理層；其中，各層次之間的功能作用和層次關(guān)系如下：系統(tǒng)應(yīng)用層：涉a wapi相關(guān)設(shè)置/配置等，來源于用戶操作，以及需要體現(xiàn) 給用戶wapi網(wǎng)絡(luò)通信的狀態(tài)等信息，均由wapi應(yīng)用層軟件來實(shí)現(xiàn)。這里可收集 來自于用戶對網(wǎng)絡(luò)連接的要求，并進(jìn)一步將用戶配置傳遞至下層的wapi |辦議層, 用于wapi的連接控制，并等待網(wǎng)絡(luò)連接結(jié)果；系統(tǒng)協(xié)議/內(nèi)核層：這里主要完成對協(xié)議的處理，并完成對密鑰的協(xié)商和 設(shè)置。當(dāng)協(xié)議層接收到來自上層的wapi用戶設(shè)置后，會根據(jù)用戶設(shè)置，進(jìn)行相應(yīng) 的wapi連接和鑒

7、別過程。協(xié)議層將根拯用戶的設(shè)置，進(jìn)行預(yù)共享密鑰或證書模式 的安全連接，并對具冇0x88b4的以太網(wǎng)類型字段的i辦議幀，進(jìn)行wai鑒別處理。 待完成鑒別過程，以及協(xié)商出密鑰后，協(xié)議層將會將該密鑰以及相關(guān)信息下設(shè)至 mini port驅(qū)動(dòng)層。（若網(wǎng)卡硬件具有sm4的加/解密算法,貝u會由miniport進(jìn)一 步將wapi密鑰傳遞至網(wǎng)卡硬件）網(wǎng)絡(luò)的物理層：當(dāng)miniport接收到來口協(xié)議層的密鑰，以及其他相關(guān)控制信 息后，將由miniport完成wpi力口/解密過程，并進(jìn)入wapi實(shí)際的無線數(shù)據(jù)通信過 程。若網(wǎng)卡硬件具有sm4的加/解密算法，則會由miniport將wapi密鑰進(jìn)一步傳 遞至網(wǎng)卡硬件，出網(wǎng)卡完成數(shù)據(jù)的加解密，以及數(shù)據(jù)完整性的校驗(yàn)。由于windows xp的無線網(wǎng)絡(luò)架構(gòu)，并沒有對第三方安全協(xié)議提供相應(yīng)的擴(kuò) 展接口，故無法直接通過調(diào)用標(biāo)準(zhǔn)的ndis api來實(shí)現(xiàn)wapi網(wǎng)絡(luò)的安全控制，而 是需要通過其他途徑與miniport驅(qū)動(dòng)進(jìn)行通信，才能完成相關(guān)的安全設(shè)置，以及 協(xié)議的處理。因此，在windows xp系統(tǒng)下，進(jìn)行wapi網(wǎng)絡(luò)連接時(shí)，首先，需要 禁用系統(tǒng)的無線零配置(wireless zero configuration)服務(wù)。wapi客戶端在xp上的展示如下是某款wap1客戶端軟件的主要界而示意:圖1 wapt客戶端軟件主界面圖2 wap1