• 文章搜索:
  • WLAN技术专栏

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    本期话题:WAPI技术简介

    技术背景

    目前,WLAN技术已经广泛地应用于企业网和各个运营商网络。而由于无线通信使用开放性的无线信道资源作为传输介质,导致非法用户很容易对WLAN网络进行攻击或窃取其他用户的机密信息。

    WLAN网络的数据安全性一直是WLAN技术发展过程中所面临的挑战之一。因此,WLAN网络相关的安全协议也在不断地提升与发展,例如由IEEE标准组织及Wi-Fi联盟先后推出的WEP、802.11i(WPA、WPA2)等安全标准。这些协议的推出使得无线网络的安全性不断地加强,但却始终缺少对WLAN设备身份的安全认证。针对这种情况,中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的WAPI(WLAN authentication and privacy infrastructure)安全机制来保证无线局域网的安全。

    WAPI协议鉴别过程

    WAPI协议由两部分组成:WAI(WLAN authentication infrastructure)和WPI(WLAN privacy infrastructure)。WAPI的主要鉴别过程如下:

    注明:图中AP泛指提供WLAN接入服务的设备,既可以是独立应用的FAT AP,也可以是无线控制器与FIT AP的组合实体。

    1、无线客户端(STA)首先和WLAN设备(AP)进行802.11链路协商

    该过程按照802.11标准定义的过程进行。无线客户端主动发生探测请求probe request或者侦听AP发送的Beacon帧,发现可用的无线网络。此时,支持WAPI安全机制的AP将会回应或者发送携带WAPI信息的探测应答probe response或Beacon帧。在发现可用的无线网络之后,无线客户端继续发起链路认证交互(authentication)和关联交互(association)。

    2、WLAN设备触发对无线客户端的鉴别处理

    无线客户端成功关联WLAN设备后,设备在判定此客户端为WAPI用户时,将会激活对此用户的身份验证过程。设备会向无线客户端发送鉴别激活触发消息,触发无线客户端发起WAPI鉴别交互过程。

    3、鉴别服务器进行证书鉴别完成身份认证

    无线客户端发起接入鉴别请求后,WLAN设备会向远端的鉴别服务器发起证书鉴别请求,鉴别请求消息中同时包含有无线客户端和WLAN设备的证书信息。鉴别服务器根据证书对二者的身份进行鉴别,并将验证结果发给WLAN设备。WLAN设备和无线客户端任何一方如果发现对方的身份非法,都将会主动终止无线连接。

    4、无线客户端和WLAN设备进行密钥协商

    WLAN设备经鉴别服务器认证成功后,设备会发起与无线客户端的密钥协商过程,先协商出用于加密单播报文的单播密钥,然后再协商出用于加密组播报文的组播密钥。

    5、WLAN设备根据鉴别结果允许无线客户端访问网络。

    完整的WAPI鉴别协议交互过程如下图所示:

    WAI鉴别的两种实现方式

    WAPI系统中,支持WAI鉴别及密钥管理的STA通过以下两种方式实现:

    n 基于证书的方式 (WAPI-CERT

    1)STA通过AP的信标帧或探询响应帧识别AP支持WAI鉴别及密钥管理套件;

    2)STA和AP之间进行链路验证;

    3)在关联过程中,STA在关联请求中包含WAPI信息元素确定选择的密码套件;

    4)STA和AP进行证书鉴别过程,协商出BK;

    5)STA和AP进行单播密钥协商过程、组播密钥通告过程;

    6)把协商出来的密钥和密码套件通知WPI模块,进行数据传输保护。

    n 基于共享密钥的方式(WAPI-PSK

    1)STA通过AP的信标帧或探询响应帧识别AP支持WAI鉴别及密钥管理套件;

    2)STA和AP之间进行链路验证;

    3)在关联过程中,STA在关联请求中包含WAPI信息元素确定选择的密码套件;

    4)预共享密钥导出BK后,STA和AP进行单播密钥协商过程、组播密钥通告过程;

    5)把协商出来的密钥和密码套件通知WPI模块,进行数据传输保护。

    WAPI技术特点

    通过对WAPI协议鉴别过程的认证可以看到,与其他无线局域网的安全协议相比,WAPI具有以下特点和优势:

    l 双向身份鉴别

    在WAPI安全体制下,无线客户端和WLAN设备二者处于对等的地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可以防止假冒的无线客户端接入WLAN网络,又可以杜绝假冒的WLAN设备伪装成合法的设备。而且其他的安全机制下,只能够实现WLAN设备对无线客户端的单向鉴别,缺乏有效的WLAN设备身份的鉴别手段。

    l 数字证书身份凭证

    WAPI协议强制使用数字证书作为WLAN设备和无线客户端的身份凭证,既方便了安全管理,有可以提升安全性。对于无线客户端申请或者取消入网,管理员只需要颁发新的证书或者取消当前证书即可。这些操作均可以在证书服务器上完成,管理非常方便。其他安全机制没有强制要求用户使用数字证书,当使用用户名和密码作为用户的身份凭证时,用于用户身份凭证简单,容易被盗取或冒用。

    l 完善的鉴别协议

    在WAPI中使用数字证书作为用户身份凭证,在鉴别过程中采用椭圆曲线签名算法,并使用安全的消息杂凑算法保障消息的完整性,攻击者难以对进行鉴别的信息进行修改和伪造,所以安全等级高。在其他安全体制中鉴别协议本身存在一定缺陷,鉴别成功信息的完整性娇艳不够安全,鉴别消息容易被篡改或伪造。

    H3C WAPI技术实现

    l 支持基于RADIUS扩展的证书鉴别方式

    H3C WLAN接入设备同时支持自定义的、基于RADIUS扩展的证书鉴别方式,即将WAI协议报文承载在RADIUS报文上进行传输,作为RADIUS报文的一个私有属性,WLAN接入设备与AS间通过RADIUS报文完成证书认证。支持这种方式,一方面可以重用有线网络中已部署的H3C AS,保护用户投资,另一方面则可以扩展实现对用户的授权和计费等功能。

    l 支持WAPI与802.11i混合组网

    WAPI与802.11i混合组网时,单个AP可以只采用WAPI技术或802.11i技术二者之一,如图中的AP1和AP3;也可以是单个AP同时采用这两种技术,如图中的AP2。具体采用哪种技术,可以通过配置不同类型的SSID来实现。

    l 支持WAPI快速漫游

    在WAPI鉴别过程中,由于证书认证过程时间较长,而用户漫游过程要求通信不中断,因此提出了快速漫游,在快速漫游过程中直接进行单播密钥协商,不再需要证书认证过程。

    H3C 可实现WAPI快速漫游机制

    1) STA和AP均缓存证书鉴别生成的BKID和BK

    2) STA漫游到一个AP时,将缓存的BKID放到关联请求报文的WAPI信息元素内

    3) AP查找到相同的BKID后直接发起单播密钥协商

    l WAPI密钥更新机制

    1) 支持基于时间的单播密钥更新

    2) 支持基于时间的组播密钥更新

    3) 支持基于流量的组播密钥更新

    4) 支持用户下线触发组播密钥更新

    5) 支持BK(基密钥)更新

    顶端