WAPI協议详解.docVIP

WAPI协议详解 安全问题一直是困扰在WLAN灵活便捷的优势之上的阴影，已成为阻碍WLAN进入信息化应用领域的最大障碍。国际标准为此采用了WEP、WPA、802.1x、802.11i、VPN等方式来保证WLAN的安全，但都没有从根本上解决WLAN的安全问题。我国在2003年5月份提出了无线局域网国家标准GB15629.11，引入一种全新的安全机制—WAPI，使WLAN的安全问题再次成为人们关注的焦点。 　　WAPI机制已由ISO/IEC授权的IEEE Registration Authority审查获得认可，并分配了用于该机制的以太类型号(IEEE EtherType Field)0x88b4，这是我国在这一领域向ISO/IEC提出并获得批准的唯一的以太类型号。 　　WAPI安全机制 　　无线局域网鉴别与保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。其中，WAI采用基于椭圆曲线的公钥证书体制，无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别。而在对传输数据的保密方面，WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密，充分保障了数据传输的安全。 　　WAPI充分考虑了市场应用，根据无线局域网应用的不同情况，可以以单点式、集中式等不同的模式工作，同时也可以和现有的运营商系统结合起来，支持大规模的运营级服务。此外，用户的使用场景不同，WAPI的实现和工作方式也略有诧异。WAPI的用户使用场景主要有以下几种： 　　1. 企业级用户应用场景：有AP和独立的AS(鉴别服务器)，内部驻留ASU(鉴别服务单元)，实现多个AP和STA证书的管理和用户身份的鉴别； 　　2. 小公司和家庭用户应用场景：有AP，ASU可驻留在AP中； 　　3. 公共热点用户应用场景：有AP，ASU驻留在接入控制服务器中； 　　4. 自组网用户应用场景：无AP，各STA在应用上是对等的，采用共享密钥来实现鉴别和保密。 图1? 状态转换图 　　WAI与WAI相关的STA的状态转换图 　　图1给出了与WAI相关的STA的状态转换图，与ISO/IEC 8802.11-1999的5.5相比，该状态图将原有的“鉴别”改为了“链路验证”，此外新增了专用于处理WAI过程的“鉴别状态”。这样，STA总共需要维护三个状态变量：链路验证状态，关联状态和鉴别状态，由此决定了STA将会有四种本地状态，如图状态1~4所示。其中STA和AP之间的WAI鉴别过程处于状态3。 鉴别系统结构 　　图2描述了鉴别请求者、鉴别器和鉴别服务实体之间的关系及信息交换过程。这里首先介绍几个重要概念，有助于对鉴别系统结构的理解。 　　鉴别器实体AE：驻留在AP中，在接入服务前，提供鉴别操作。 　　鉴别请求者实体ASUE：驻留在STA中，需通过鉴别服务单元ASU进行鉴别。 　　鉴别服务实体ASE：驻留在ASU中，为鉴别器和鉴别请求者提供相互鉴别。 　　在图2中，鉴别器的受控端口处于未鉴别状态，鉴别器系统拒绝提供服务，鉴别器实体利用非受控端口和鉴别请求者通信。 　　受控与非受控端口可以是连接到同一物理端口的两个逻辑端口，所有通过物理端口的数据都可以到达受控端口和非受控端口，并根据鉴别状态决定数据的实际流向。 　　受控端口：只有当该端口的鉴别状态为已鉴别时，才允许协议数据通过。只有通过鉴别的STA才能使用的AP提供的数据端口为受控端口。 　　非受控端口：协议数据的传送不受当前鉴别状态的限制。AP提供STA连接到鉴别服务单元ASU的端口即为非受控端口。 　　需要说明的是，除鉴别数据外，系统中AP与STA之间的网络协议数据的交换都是通过一个或多个受控端口来实现的。受控端口状态由系统鉴别控制参数确定。 　　另一个重要概念是鉴别服务单元ASU，前面已经提到，在整个WAI鉴别过程中，ASU作为第三方起着提供鉴别服务的作用。此外，ASU还担当着为STA和AP提供证书的颁发、认证、吊销等功能。一个ASU可以管理一个或多个BSS，在同一个ASU的管理范围内，STA与AP之间需通过ASU实现证书的双向认证。 图2? 鉴别系统结构 　　WAI鉴别基础结构 　　在BSS中，当STA关联或重新关联至AP时，必须进行相互身份鉴别。若鉴别成功，则AP允许STA接入，否则解除其链路验证。整个鉴别过程包括证书鉴别、单播密钥协商与组播密钥通告。 　　STA与AP之间的鉴别数据分组利用以太类型字段为0x88B4的WAPI协议传送，AP与ASU之间