安全與VPN-WAPI技術(shù)介紹-D

1、，安全與VPN-WAPI技術(shù)介紹技術(shù)介紹 安全和 VPN目 錄i目 錄 HYPERLINK l _bookmark0 WAPI HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 WAPI簡介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 WAPI系統(tǒng)概述 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 WAPI的工作過程 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 WAPI的鑒別方式 HYPERLIN

2、K l _bookmark2 3 HYPERLINK l _bookmark3 WAPI的密鑰管理 HYPERLINK l _bookmark3 4技術(shù)介紹 安全和 VPNWAPI PAGE 5WAPIWAPI 簡介WAPI 是 WLAN Authentication and Privacy Infrastructure（無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）的簡稱，是中國提出的、以 802.11 無線協(xié)議為基礎(chǔ)的無線安全標(biāo)準(zhǔn)。WAPI 協(xié)議由以下兩部分構(gòu)成：WAI：是 WLAN Authentication Infrastructure（無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)）的簡稱，是用于無線局域網(wǎng)中身份鑒別和密

3、鑰管理的安全方案；WPI：是 WLAN Privacy Infrastructure（無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)）的簡稱， 是用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護等功能。WAPI 系統(tǒng)概述基本概念WAPI系統(tǒng)中所涉及到的基本概念如 HYPERLINK l _bookmark0 表 1所示。表1 WAPI 系統(tǒng)中的基本概念概念全稱及中文解釋說明ACAccess Controller，接入控制器用于對WLAN 中與之關(guān)聯(lián)的FIT AP 進行控制和管理的設(shè)備APAccess Point，接入點是指任何一個能通過無線介質(zhì)為無線終端提供分布式訪問服務(wù)的實體ASAuthen

4、tication Server，鑒別服務(wù)器用于對用戶和設(shè)備證書進行身份鑒別等，是基于公鑰密碼技術(shù)的WAI 中重要的組成部分BKBase Key，基密鑰用于導(dǎo)出單播會話密鑰，由證書鑒別過程協(xié)商得到或者由預(yù)共享密鑰導(dǎo)出FAT APFAT Access Point，胖 AP傳統(tǒng) AP，除了提供基本的無線連接功能外，還能提供安全、管理和性能增強功能。FAT AP 不能與 AC 關(guān)聯(lián)使用FIT APFIT Access Point，瘦 AP區(qū)別于傳統(tǒng)的FAT AP，只提供可靠、高性能的無線連接功能，而剝離了其它功能。FIT AP 必須與 AC 關(guān)聯(lián)使用，本文中的 AP 均指FIT APMSKMultic

5、ast Session Key，組播會話密鑰用于保護站點發(fā)送的組播 MPDU 的隨機值，由組播主密鑰導(dǎo)出，包括組播加密密鑰和組播完整性校驗密鑰概念全稱及中文解釋說明PSKPreshared Key，預(yù)共享密鑰是發(fā)布給 STA 的靜態(tài)密鑰STAStation，站點即無線終端，本文中是指帶有支持WAPI 協(xié)議無線網(wǎng)卡的 PC、便攜式筆記本電腦等無線終端USKUnicast Session Key，單播會話密鑰是由 BK 通過偽隨機函數(shù)導(dǎo)出的隨機值，分為四個部分：單播加密密鑰、單播完整性校驗密鑰、消息鑒別密鑰和密鑰加密密鑰WAPI userWAPI 用戶是指使用WAPI 安全模式進行認(rèn)證的用戶，系統(tǒng)

6、所支持的最大WAPI 用戶數(shù)量為 1024 個。本文中也稱為STA系統(tǒng)組成在一個典型的WAPI系統(tǒng)中，如 HYPERLINK l _bookmark1 圖 1所示，WAPI用戶通過AP接入有線IP網(wǎng)絡(luò)。首先， WAPI用戶與AP進行 802.11 鏈路協(xié)商，之后AP為該用戶觸發(fā)WAI鑒別過程，配合AS完成與用戶的雙向認(rèn)證。當(dāng)認(rèn)證通過后，AP會發(fā)起對該用戶的密鑰協(xié)商，并使用協(xié)商出的密鑰通過WPI向該WAPI用戶提供加、解密服務(wù)。IP networkACSwitchFIT APSwitchWireless network managementFIT APSoftware serverASIPSWA

7、PI userWAPI userFIT AP圖1 WAPI 系統(tǒng)典型組網(wǎng)圖WAPI userWAPI 的工作過程在一個采用了WAPI安全關(guān)聯(lián)機制的WLAN中，當(dāng)STA需要訪問該WLAN時，通過被動偵聽AP的信標(biāo)（Beacon）幀或主動發(fā)送探詢幀（主動探詢過程如 HYPERLINK l _bookmark2 圖 2所示）以識別AP所采用的安全策略：若 AP 采用證書鑒別方式，AP 將發(fā)送鑒別激活分組啟動證書鑒別過程，當(dāng)證書鑒別過程成功結(jié)束后，AP 和STA 再進行單播密鑰協(xié)商和組播密鑰通告；若 AP 采用預(yù)共享密鑰鑒別方式，AP 將與 STA 直接進行單播密鑰協(xié)商和組播密鑰通告。探詢請求探詢響應(yīng)

8、（WAPI信息元素）鏈路驗證請求鏈路驗證響應(yīng)關(guān)聯(lián)請求（WAPI信息元素）關(guān)聯(lián)響應(yīng)STAAP圖2 主動探詢過程WAPI 的鑒別方式WAPI 支持如下兩種鑒別方式：證書鑒別方式和預(yù)共享密鑰鑒別方式。證書鑒別方式數(shù)字證書是一種經(jīng) PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）證書授權(quán)中心簽名的、包含公開密鑰及用戶相關(guān)信息的文件，是網(wǎng)絡(luò)用戶的數(shù)字身份憑證。WAPI 系統(tǒng)中所使用的用戶證書為數(shù)字證書，通過 AS 對用戶證書進行驗證，可以唯一確定 WAPI 用戶的身份及其合法性。證書鑒別是基于STA和AP雙方的證書所進行的鑒別。鑒別前STA和AP必須預(yù)先擁有各自的證書，然后通過

9、AS對雙方的身份進行鑒別，根據(jù)雙方產(chǎn)生的臨時公鑰和臨時私鑰生成BK，并為隨后的單播密鑰協(xié)商和組播密鑰通告做好準(zhǔn)備。證書鑒別的過程如 HYPERLINK l _bookmark2 圖 3所示。鑒別激活分組接入鑒別請求分組證書鑒別請求分組證書鑒別響應(yīng)分組(5) 接入鑒別響應(yīng)分組STAAPAS圖3 證書鑒別過程在進行證書鑒別時，有如下兩種證書鑒別模式可供選擇：標(biāo)準(zhǔn)鑒別模式：即基于 WAPI 標(biāo)準(zhǔn)協(xié)議的 UDP 模式。在該模式下，AP 與 AS 之間的 WAI 協(xié)議報文將通過普通的 UDP 方式進行傳輸，最終完成證書鑒別。該模式不支持對用戶的計費功能。AAA 鑒別模式：是 H3C 私有的一種鑒別模式。

10、在該模式下，AP 與 AS 之間通過 RADIUS 報文完成證書鑒別，WAI 協(xié)議報文將承載于 RADIUS 協(xié)議報文之上（要求 RADIUS 服務(wù)器支持 WAPI 功能），作為 RADIUS 報文的一個私有屬性。此外，該模式還能夠提供對用戶的授權(quán)和計費功能（需要 RADIUS 服務(wù)器配合）。預(yù)共享密鑰鑒別方式預(yù)共享密鑰鑒別是基于 STA 和AP 雙方的密鑰所進行的鑒別。鑒別前 STA 和 AP 必須預(yù)先配置有相同的密鑰，即預(yù)共享密鑰。鑒別時直接將預(yù)共享密鑰轉(zhuǎn)換為 BK，然后進行單播密鑰協(xié)商和組播密鑰通告。WAPI 的密鑰管理STA 與 AP 之間交互的單播數(shù)據(jù)利用單播密鑰協(xié)商過程所協(xié)商出的單播加密密鑰和單播完整性校驗密鑰進行保護；AP 利用自己通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗密鑰對其發(fā)送的廣播/組播數(shù)據(jù)進行保護，而 STA 則采用 AP 通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗