WAPI技術(shù)原理介紹

什么是WAPI導(dǎo)讀：無線局域網(wǎng)（又稱為WLAN，WirelessLocalAreaNetwork），其應(yīng)用領(lǐng)域不斷拓展，無線接入所具有的前所未有的連接性和自動(dòng)化能夠?yàn)槿藗儙砭薮蟮谋憷蜕虣C(jī)。與此同時(shí)，在信息安全形勢(shì)日益嚴(yán)峻的移動(dòng)互聯(lián)時(shí)代，WLAN安全問題始終是導(dǎo)致無線局域網(wǎng)市場(chǎng)無法拓展企業(yè)、行業(yè)高端客戶的第一道屏障。隨著下一代威脅和攻擊手段不斷升級(jí),將給無線局域網(wǎng)安全持續(xù)帶來巨大威脅和挑戰(zhàn)。本文將接著上一篇關(guān)于電信詐騙的關(guān)鍵問題“無線局域網(wǎng)安全”的分析，進(jìn)一步針對(duì)中國自主的WAPI（WLANAuthenticationandPrivacyInfrastructure，無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）技術(shù)進(jìn)行分析與探究。WAPI技術(shù)概述WAPI技術(shù)在無線局域網(wǎng)GB15629.11系列國家標(biāo)準(zhǔn)中進(jìn)行規(guī)范，其作用在無線局域網(wǎng)的數(shù)據(jù)鏈路層，提供身份強(qiáng)鑒別、端口訪問控制以及數(shù)據(jù)的機(jī)密性、完整性和抗抵賴等安全服務(wù)。WAPI實(shí)現(xiàn)了STA（客戶端）之間或者STA（客戶端）和AP(接入點(diǎn))之間的雙向身份鑒別和密鑰管理，保障合法用戶訪問合法網(wǎng)絡(luò)；實(shí)現(xiàn)了通信數(shù)據(jù)的機(jī)密性、完整性、重放保護(hù)、數(shù)據(jù)源鑒別等功能。WAPI的工作機(jī)制如下圖所示：圖1WAPI工作機(jī)制與運(yùn)行過程WAPI技術(shù)框架和關(guān)鍵構(gòu)成WAPI是WLANAuthenticationandPrivacyInfrastructure（無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）的簡稱，是中國提出的、以802.11無線協(xié)議為基礎(chǔ)的無線安全標(biāo)準(zhǔn)。WAPI協(xié)議由以下兩部分構(gòu)成：l

WAI：是WLANAuthenticationInfrastructure（無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)）的簡稱，是用于無線局域網(wǎng)中身份鑒別和密鑰管理的安全方案；l

WPI：是WLANPrivacyInfrastructure（無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)）的簡稱，是用于無線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能。WAPI的技術(shù)框架如下圖所示：圖2WAPI技術(shù)框架圖1、WAI(WLANAuthenticationInfrastructure，無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))WAI主要包含兩個(gè)部分：安全策略的發(fā)現(xiàn)與協(xié)商、鑒別和密鑰協(xié)商協(xié)議。WAI不僅具有更加安全的鑒別機(jī)制、較為靈活的密鑰管理技術(shù)，而且實(shí)現(xiàn)了整個(gè)基礎(chǔ)網(wǎng)絡(luò)的集中用戶管理，從而滿足更多用戶和更復(fù)雜的安全性要求。（1）安全策略的發(fā)現(xiàn)與協(xié)商移動(dòng)終端和網(wǎng)絡(luò)接入點(diǎn)通過信標(biāo)和探詢響應(yīng)幀來發(fā)現(xiàn)安全策略，移動(dòng)終端和網(wǎng)絡(luò)接入點(diǎn)在其發(fā)出的信標(biāo)和探詢響應(yīng)幀中包含WAPI參數(shù)集合來通告安全策略，如下圖所示：圖3安全策略的發(fā)現(xiàn)與協(xié)商在發(fā)現(xiàn)了安全策略后，移動(dòng)終端和網(wǎng)絡(luò)接入點(diǎn)將進(jìn)行安全策略的協(xié)商。在BSS模式下，它們通過關(guān)聯(lián)過程協(xié)商安全策略，在單播密鑰協(xié)商過程中進(jìn)行確認(rèn)；在IBSS模式下，關(guān)聯(lián)過程不一定存在，因此在單播密鑰協(xié)商過程中進(jìn)行協(xié)商和確認(rèn)。（2）鑒別及密鑰協(xié)商協(xié)議鑒別及密鑰協(xié)商協(xié)議包含兩種類型：基于證書的鑒別和密鑰管理、基于預(yù)共享密鑰的鑒別和密鑰管理。通過三個(gè)過程來實(shí)現(xiàn)：證書鑒別、單播密鑰協(xié)商和組播密鑰通告。它們的關(guān)系如下圖所示。圖4證書與預(yù)共享密鑰的關(guān)系三個(gè)子過程詳細(xì)工作流程如下圖所示。圖5子過程詳細(xì)工作流程圖三個(gè)子過程成功完成后，雙方均打開受控端口，允許通信數(shù)據(jù)利用協(xié)商或通告的單播或組播密鑰進(jìn)行保護(hù)傳輸。2、WPI(WLANPrivacyInfrastructure，無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu))WPI主要包含兩個(gè)部分：WPI密碼封裝協(xié)議、密碼算法。WPI用于保護(hù)通信數(shù)據(jù)，保密采用成熟的密碼算法封裝模式OFB，完整性校驗(yàn)采用CBC-MAC模式，分組算法使用128位的分組算法SM4，為我國國家密碼管理局配給的算法。WPI對(duì)MAC子層的MPDU進(jìn)行加、解密處理，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。WAPI的鑒別方式WAPI支持如下兩種鑒別方式：證書鑒別方式和預(yù)共享密鑰鑒別方式。1.證書鑒別方式數(shù)字證書是一種經(jīng)PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施）證書授權(quán)中心簽名的、包含公開密鑰及用戶相關(guān)信息的文件，是網(wǎng)絡(luò)用戶的數(shù)字身份憑證。WAPI系統(tǒng)中所使用的用戶證書為數(shù)字證書，通過AS對(duì)用戶證書進(jìn)行驗(yàn)證，可以唯一確定WAPI用戶的身份及其合法性。證書鑒別是基于STA和AP雙方的證書所進(jìn)行的鑒別。鑒別前STA和AP必須預(yù)先擁有各自的證書，然后通過AS對(duì)雙方的身份進(jìn)行鑒別，根據(jù)雙方產(chǎn)生的臨時(shí)公鑰和臨時(shí)私鑰生成BK，并為隨后的單播密鑰協(xié)商和組播密鑰通告做好準(zhǔn)備。證書鑒別的過程如圖3所示。圖3證書鑒別過程在進(jìn)行證書鑒別時(shí)，有如下兩種證書鑒別模式可供選擇：l

標(biāo)準(zhǔn)鑒別模式：即基于WAPI標(biāo)準(zhǔn)協(xié)議的UDP模式。在該模式下，AP與AS之間的WAI協(xié)議報(bào)文將通過普通的UDP方式進(jìn)行傳輸，最終完成證書鑒別。該模式不支持對(duì)用戶的計(jì)費(fèi)功能。l

AAA鑒別模式：是H3C私有的一種鑒別模式。在該模式下，AP與AS之間通過RADIUS報(bào)文完成證書鑒別，WAI協(xié)議報(bào)文將承載于RADIUS協(xié)議報(bào)文之上（要求RADIUS服務(wù)器支持WAPI功能），作為RADIUS報(bào)文的一個(gè)私有屬性。此外，該模式還能夠提供對(duì)用戶的授權(quán)和計(jì)費(fèi)功能（需要RADIUS服務(wù)器配合）。2.預(yù)共享密鑰鑒別方式預(yù)共享密鑰鑒別是基于STA和AP雙方的密鑰所進(jìn)行的鑒別。鑒別前STA和AP必須預(yù)先配置有相同的密鑰，即預(yù)共享密鑰。鑒別時(shí)直接將預(yù)共享密鑰轉(zhuǎn)換為BK，然后進(jìn)行單播密鑰協(xié)商和組播密鑰通告。為什么要用WAPI無線局域網(wǎng)產(chǎn)業(yè)是當(dāng)前整個(gè)數(shù)據(jù)通信領(lǐng)域發(fā)展最快的產(chǎn)業(yè)之一，因其具有靈活性、可移動(dòng)性及較低的投資成本等優(yōu)勢(shì)，獲得了家庭網(wǎng)絡(luò)用戶、中小型辦公室用戶、廣大企業(yè)用戶及電信運(yùn)營商的青睞，并將引領(lǐng)市場(chǎng)走向更為廣泛的應(yīng)用。然而，原有無線局域網(wǎng)標(biāo)準(zhǔn)因其安全機(jī)制IEEE802.11i存在漏洞，一直以來都為全球用戶所詬病，采用其標(biāo)準(zhǔn)建設(shè)將使國家公共基礎(chǔ)設(shè)施網(wǎng)絡(luò)存在極大的安全隱患和公共信息安全問題。隨著下一代威脅和攻擊手段不斷升級(jí),將給無線局域網(wǎng)安全持續(xù)帶來巨大威脅和挑戰(zhàn)。為了贏得用戶的信賴并展示無線局域網(wǎng)生態(tài)系統(tǒng)的可靠性，我們亟需完善和發(fā)展現(xiàn)有的無線局域網(wǎng)安全技術(shù)以滿足更高的安全防御要求。WAPI技術(shù)優(yōu)勢(shì)與特點(diǎn)WAPI鑒別機(jī)制是完整的無線用戶和無線接入點(diǎn)的雙向認(rèn)證，身份憑證為基于公鑰密碼體系的公鑰數(shù)字證書；其加密機(jī)制是高強(qiáng)度分組加密算法，采用可控的會(huì)話協(xié)商動(dòng)態(tài)密鑰，可基于用戶、基于認(rèn)證、通信過程中動(dòng)態(tài)更新，安全強(qiáng)度高。與現(xiàn)有無線局域網(wǎng)安全體制相比，WAPI的技術(shù)能力與特點(diǎn)的優(yōu)越性集中體現(xiàn)在以下幾個(gè)方面：（1）拒絕非授權(quán)終端接入；（2）防止合法終端接入非法網(wǎng)絡(luò)；（3）提供終端與網(wǎng)絡(luò)接入設(shè)備之間的雙向身份鑒別；（4）提供無線局域網(wǎng)數(shù)據(jù)鏈路層的安全防護(hù)密鑰動(dòng)態(tài)協(xié)商；（5）有效保障無線局域網(wǎng)鏈路層數(shù)據(jù)通信的機(jī)密性、完整性以及抗抵賴性；（6）提供身份集中管理能力，確保無線局域網(wǎng)可管可控。更進(jìn)一步地，WAPI作為TePA技術(shù)體系的一個(gè)有機(jī)組成，可以與TePA在其他領(lǐng)域應(yīng)用的安全技術(shù)進(jìn)行深度無縫地整合，使身份系統(tǒng)和信息安全系統(tǒng)趨向統(tǒng)一，讓未來網(wǎng)絡(luò)從鏈路層到應(yīng)用層構(gòu)建起一個(gè)高安全、高可靠、可防御的架構(gòu)。WAPI與WIFI的區(qū)別WIFI是Wi-Fi聯(lián)盟制造商的商標(biāo)做為產(chǎn)品的品牌認(rèn)證，是一個(gè)創(chuàng)建于IEEE802.11標(biāo)準(zhǔn)的無線局域網(wǎng)技術(shù)。WAPI是無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)，是一種安全協(xié)議。WAPI采用雙向認(rèn)證，WIFI單向認(rèn)證，理論上WAPI比WIFI更安全。WIFI是一般路由設(shè)備普遍支持的，最常用的協(xié)議，而WAPI只有高端的設(shè)備才支持，對(duì)于民用基本上是個(gè)擺設(shè)，還沒普及。目前的局域網(wǎng)都是WiFi標(biāo)準(zhǔn)（國際標(biāo)準(zhǔn)），但是WAPI跟WiFi在硬件上是兼容的，只是協(xié)議不一樣（物理層一樣，MAC層不一樣），所以WAPI和WIFI之間不能互聯(lián)互通，可以通過軟件（固件、驅(qū)動(dòng)）升級(jí)的方式在WiFi芯片和WAPI芯片之間切換WAPI與WIFI的對(duì)比IEEE802.11IEEE802.11iWAPI認(rèn)證特征＊對(duì)客戶機(jī)硬件認(rèn)證

＊單向認(rèn)證＊無線用戶和RADIUS服務(wù)器的認(rèn)證

＊雙向認(rèn)證

＊無線用戶身份通常為用戶名和口令＊無線用戶和無線接入點(diǎn)的認(rèn)證

＊雙向認(rèn)證

＊身份憑證為公鑰數(shù)字證書性能＊認(rèn)證簡單＊認(rèn)證過程復(fù)雜

＊RADIUS服務(wù)器不易擴(kuò)充＊認(rèn)證過程簡單

＊客戶端可以支持多證書，方便用戶多處使用，充分保證其漫游功能

＊認(rèn)證服務(wù)器單元易于擴(kuò)充，支持用戶的異地接入安全漏洞＊認(rèn)證易于偽造

＊降低了總安全性＊用戶身份憑證簡單，易被盜取，且被盜取后可任意使用

＊共享密鑰管理存在安全隱患無算法＊開入式系統(tǒng)認(rèn)證

＊共享密鑰認(rèn)證未確定192/224/256/位的橢圓曲線簽名算法安全強(qiáng)度低較高最高擴(kuò)展性低低高加密算法64位的WEP流加密＊128位的WEP流加密

＊128位的AES流加密認(rèn)證的分組加密密鑰靜態(tài)動(dòng)態(tài)（基于用戶、基于認(rèn)證、通信過程中動(dòng)態(tài)更新）動(dòng)態(tài)（基于用戶、基于認(rèn)證、通信過程中動(dòng)態(tài)更新）安全強(qiáng)度低高最高中國法規(guī)不符合不符合符合附錄：IEEE802.11系列標(biāo)準(zhǔn)列表IEEE802.11，1997年，原始標(biāo)準(zhǔn)（2Mbps，播在2.4GHz）。IEEE802.11a，1999年，物理層補(bǔ)充（54Mbps，播在5GHz）。IEEE802.11b，1999年，物理層補(bǔ)充（11Mbps，播在2.4GHz）。IEEE802.11c，匹配802.1D的媒體接入控制層橋接（MACLayerBridging）。IEEE802.11d，根據(jù)各國無線電規(guī)定做的調(diào)整。IEEE802.11e，對(duì)服務(wù)等級(jí)（QualityofService,QoS）的支持。IEEE802.11f，基站的互連性（IAPP，Inter-AccessPointProtocol），2006年2月被IEEE批準(zhǔn)撤銷。IEEE802.11g，2003年，物理層補(bǔ)充（54Mbit/s，播在2.4GHz）。IEEE802.11h，2004年，無線覆蓋半徑的調(diào)整，室內(nèi)（indoor）和室外（outdoor）信道（5GHz頻段）。IEEE802.11i，2004年，無線網(wǎng)絡(luò)的安全方面的補(bǔ)充。IEEE802.11j，2004年，根據(jù)日本規(guī)定做的升級(jí)。IEEE802.11k，該協(xié)議規(guī)范規(guī)定了無線局域網(wǎng)絡(luò)頻譜測(cè)量規(guī)范。該規(guī)范的制訂體現(xiàn)了無線局域網(wǎng)絡(luò)對(duì)頻譜資源智能化使用的需求。IEEE802.11l，預(yù)留及準(zhǔn)備不使用。IEEE802.11m，維護(hù)標(biāo)準(zhǔn)；互斥及極限。IEEE802.11n，更高傳輸速率的改善，基礎(chǔ)速率提升到72.2Mbps，可以使用雙倍帶寬40MHz，此時(shí)速率提升到150Mbps。支持多輸入多輸出技術(shù)（Multi-InputMulti-Output，MIMO）。IEEE802.11o，針對(duì)VOWLAN（VoiceoverWLAN）而制訂，更快速的無限跨區(qū)切換，以及讀取語音（voice）比數(shù)據(jù)（Data）有更高的傳輸優(yōu)先權(quán)。IEEE802.11p，這個(gè)通信協(xié)議主要用在車用電子的無線通信上。它設(shè)置上是從IEEE802.11來擴(kuò)展延伸，來匹配智能運(yùn)輸系統(tǒng)（IntelligentTransportationSystems，ITS）的相關(guān)應(yīng)用。IEEE802.11qIEEE802.11r：快速BSS切換（FT）（2008）IEEE802.11s：MeshNetworking,ExtendedServiceSet（ESS）（July2011）IEEE802.11t：WirelessPerformancePrediction(WPP)—testmethodsandmetricsRecommendationcancelledIEEE802.11u：ImprovementsrelatedtoHotSpotsand3rdpartyauthorizationofclients,e.g.cellularnetworkoffload(February2011)IEEE802.11v：Wirelessnetworkmanagement（February2011）IEEE802.11w：ProtectedManagementFrames(September2009)IEEE802.11xIEEE802.11y：3650–3700MHzOperationintheU.S.（2008）IEEE802.11z：ExtensionstoDirectLinkSetup(DLS)（September2010）IEEE802.11-2012：Anewreleaseofthestandardthatincludesamendmentsk,n,p,r,s,u,v,w,yandz(March2012)IEEE802.11aa：RobuststreamingofAudioVideoTransportStreams(June2012)IEEE802.11abIEEE802.11ac，802.11n的潛在繼承者，更高傳輸速率的改善，當(dāng)使用多基站時(shí)將無線速率提高到至少1Gbps，將單信道速率提高到至少500Mbps。使用更高的無線帶寬（80MHz-160MHz，802.11n只有40MHz），更多的MIMO流（最多8條流），更好的調(diào)制方式（QAM256）。正式標(biāo)準(zhǔn)于2012年2月18日推出。Quantenna公司在2011年11月15日推出了世界上第一只采用802.11ac的無線路由器。Broadcom公司于2012年1月5日也發(fā)布了它的第一支支持802.11ac的芯片。IEEE802.11ad：VeryHighThroughput60GHz(December2012)-seeWiGigIEEE802.11ae：PrioritizationofManagementFrames（2012年3月）IEEE802.11af：運(yùn)用過往電視白區(qū)（TVWhiteSpace，TVWS）的頻段所訂立標(biāo)準(zhǔn)，由于使用白區(qū)頻段（VHS的54MHz～216MHz及UHF的470MHz～698MHz），有時(shí)IEEE802.11af也稱為White-Fi（取Wi-Fi一詞的派生變化）。IEEE802.11ah：用來支持無線感測(cè)器網(wǎng)上（WirelessSensorNetwork，WSN），以及支持物聯(lián)網(wǎng)（InternetofThing，IoT）、智能電網(wǎng)（Sm