我們為什麼需要wapi?
無線區域網產業是當前整個資料通訊領域發展最快的產業之一,因其具有靈活性、可移動性及較低的投資成本等優勢,獲得了家庭網路使用者、中小型辦公室使用者、廣大企業使用者及電信運營商的青睞,並將引領市場走向更為廣泛的應用。
然而,原有無線區域網標準因其安全機制ieee 802.11i存在漏洞,一直以來都為全球使用者所詬病,採用其標準建設將使國家公共基礎設施網路存在極大的安全隱患和公共資訊保安問題。隨著下一代威脅和攻擊手段不斷公升級, 將給無線區域網安全持續帶來巨大威脅和挑戰。
為了贏得使用者的信賴並展示無線區域網生態系統的可靠性,我們亟需完善和發展現有的無線區域網安全技術以滿足更高的安全防禦要求。
wapi技術概述
wapi技術在無線區域網gb 15629.11系列國家標準中進行規範,其作用在無線區域網的資料鏈路層,提供身份強鑑別、埠訪問控制以及資料的機密性、完整性和抗抵賴等安全服務,也是tepa (三元對等架構)被應用在無線通訊領域的第乙個例項。
wapi實現了sta(客戶端)之間或者sta(客戶端)和ap (接入點)之間的雙向身份鑑別和金鑰管理,保障合法使用者訪問合法網路;實現了通訊資料的機密性、完整性、重放保護、資料來源鑑別等功能。wapi的工作機制如下圖所示:
圖1 wapi工作機制與執行過程
wapi技術框架和關鍵構成
wapi由wai(wlan authentication infrastructure,無線區域網鑑別基礎結構)和wpi(wlan privacy infrastructure,無線區域網保密基礎結構)兩部分組成。wai提供安全策略協商、使用者身份鑑別、接入控制的功能,而wpi則提供使用者通訊資料的保密性、完整性。wapi的技術框架如下圖所示:
圖2 wapi技術框架圖
1、wai (wlan authentication infrastructure,無線區域網鑑別基礎結構)
wai主要包含兩個部分:安全策略的發現與協商、鑑別和金鑰協商協議。wai不僅具有更加安全的鑑別機制、較為靈活的金鑰管理技術,而且實現了整個基礎網路的集中使用者管理,從而滿足更多使用者和更複雜的安全性要求。
(1)安全策略的發現與協商
移動終端和網路接入點通過信標和探詢響應幀來發現安全策略,移動終端和網路接入點在其發出的信標和探詢響應幀中包含wapi引數集合來通告安全策略,如下圖所示:
圖3 安全策略的發現與協商
在發現了安全策略後,移動終端和網路接入點將進行安全策略的協商。在bss模式下,它們通過關聯過程協商安全策略,在單播金鑰協商過程中進行確認;在ibss模式下,關聯過程不一定存在,因此在單播金鑰協商過程中進行協商和確認。
(2)鑑別及金鑰協商協議
鑑別及金鑰協商協議包含兩種型別:基於證書的鑑別和金鑰管理、基於預共享金鑰的鑑別和金鑰管理。通過三個過程來實現:證書鑑別、單播金鑰協商和組播金鑰通告。它們的關係如下圖所示。
圖4 證書與預共享金鑰的關係
三個子過程詳細工作流程如下圖所示。
圖5 子過程詳細工作流程圖
三個子過程成功完成後,雙方均開啟受控埠,允許通訊資料利用協商或通告的單播或組播金鑰進行保護傳輸。
2、wpi(wlan privacy infrastructure,無線區域網保密基礎結構)
wpi主要包含兩個部分:wpi密碼封裝協議、密碼演算法。wpi用於保護通訊資料,保密採用成熟的密碼演算法封裝模式ofb,完整性校驗採用cbc-mac模式,分組演算法使用128位的分組演算法sm4,為我國國家密碼管理局配給的演算法。
wpi對mac子層的mpdu進行加、解密處理,分別用於wlan裝置的數字證書、金鑰協商和傳輸資料的加解密,從而實現裝置的身份鑑別、鏈路驗證、訪問控制和使用者資訊在無線傳輸狀態下的加密保護。
wapi技術優勢與特點
wapi鑑別機制是完整的無線使用者和無線接入點的雙向認證,身份憑證為基於公鑰密碼體系的公鑰數字證書;其加密機制是高強度分組加密演算法,採用可控的會話協商動態金鑰,可基於使用者、基於認證、通訊過程中動態更新,安全強度高。
與現有無線區域網安全體制相比,wapi的技術能力與特點的優越性集中體現在以下幾個方面:
(1)拒絕非授權終端接入;
(2)防止合法終端接入非法網路;
(3)提供終端與網路接入裝置之間的雙向身份鑑別;
(4)提供無線區域網資料鏈路層的安全防護金鑰動態協商;
(5)有效保障無線區域網鏈路層資料通訊的機密性、完整性以及抗抵賴性;
(6)提供身份集中管理能力,確保無線區域網可管可控。
更進一步地,wapi作為tepa技術體系的乙個有機組成,可以與tepa在其他領域應用的安全技術進行深度無縫地整合,使身份系統和資訊保安系統趨向統一,讓未來網路從鏈路層到應用層構建起乙個高安全、高可靠、可防禦的架構。
wapi在網路中的應用與部署
典型的wapi應用場景由終端(sta)、接入點(ap)以及鑑別伺服器(as)等產品構成,如下圖所示:
圖6 典型wapi應用場景
乙個完整的wlan安全解決方案需要從公共認證標準、網路元件、通訊過程、系統管理、擴充套件相容性、效能測試和實現成本等方面綜合權衡。wapi在針對不同的使用者需求,提出了一系列不同級別的無線安全技術策略,充分考慮和滿足了單一的家庭使用者、大中型企業、運營商等不同級別的安全需求。
圖7 wapi的全景應用示意圖
結語:需加快wapi的產業應用
無線區域網安全是網路安全體系的基礎,對於保障移動網際網路安全乃至維護整個網路安全體系的健壯性都是至關重要的。
如果把wapi過去十多年的發展過程看成乙個長期的研發積累階段,那麼目前wapi已經進入了全面的市場開拓階段。wapi安全技術架構將作為一種廣泛適用於無線區域網網路接入控制、支援無線區域網路承載層安全的體系架構,必將迎來更廣泛的應用。
無線區域網(WLAN)
無線區域網根據結構可以分為兩大類 有固定基礎設施的無線區域網和無固定基礎設施的區域網。有固定基礎設施是指網路中已經預先存在了一批固定的資料處理和 裝置,這些固定裝置可以通過有線方式連線其他網路或 internet無固定基礎設施是指網路中的每個成員都是對等的可移動裝置。ieee802.11協議是 無線...
WLAN無線區域網安全防護技巧總結
無線區域網wlan安全防護 無線區域網的安全技術在不斷地發展,研究人員正在將各種已有的和新出現的安全技術嘗試應用於wlan環境,力求找到安全高效的解決方案。無論是wep wpa還是wapi與802.11i,想必都不能單獨解決無線區域網的安全問題,如何與現有的安全技術結合應用,最大限度地確保wlan的...
無線區域網實戰
鐵通寬頻已經裝好,下一步準備建個無線區域網。a 準備工作 需求 訊號要布滿三層樓,除了車庫和頂樓撞球室可以不作要求,但要保證可能使用筆記本的房間,要有比較好的訊號。所需購買 1.無線接入點或路由器。2.無線網絡卡。需要一塊台式電腦無線網絡卡和一塊筆記本的pc無線網絡卡。這個要求不用高,可以隨便買,結...