无限局域网WAPI分析..doc

无限局域网WAPI分析 Abstract： The security issues of LAN technology has been the concern, a large number of security vulnerabilities exist in the WLAN to restrict its development. In order to solve the problem, China has issued a with independent intellectual property rights of the WLAN identification and confidential basis of structure WAPI (WLAN Authentication and Privacy Infrastructure) standard. This paper expounds the working principle of WAPI security protocol, analyzes the prominent characteristics of WAPI. Key words: WLAN; security protocol ;WAPI 摘要：无线局域网(wireless local area network，WLAN)技术的安全问题一直备受人们关注，WLAN存在的大量安全漏洞制约它的发展。为解决这一问题，我国颁布了具有自主知识产权的WLAN 鉴别与保密基础结构的WAPI（WLAN Authentication and Privacy Infrastructure）标准。本文阐述WAPI安全协议的工作原理及过程，分析了WAPI的突出特点。 关键词：无限局域网；安全协议；无限局域网鉴别与保密基础结构 一、引言： 无线局域网(wireless local area network ,WLAN)技术使网上的计算机具有可移动性，能快速方便地解决有线方式不易实现的网络信道的连通问题。它利用电磁波在空气中发送和接收数据，而无需线缆介质。由于无线网络不像有线网络那样受到地理位置的限制，只要有无线信号的地方便可联入，因此安全性问题备受人们关注。但WLAN存在的大量安全漏洞制约它的发展。为解决这一问题，我国颁布了具有自主知识产权的WLAN 鉴别与保密基础结构的WAPI（WLAN Authentication and Privacy Infrastructure）标准。 二、WAPI 2.1 概述 WAPI 是WLAN Authentication and Privacy Infrastructure（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以802.11 无线协议为基础的无线安全标准。WAPI 协议由WAI和WPI两部分构成。WAI是WLAN Authentication Infrastructure（无线局域网鉴别基础结构）的简称，是用于无线局域网中身份鉴别和密钥管理的安全方案；WPI是WLAN Privacy Infrastructure（无线局域网保密基础结构）的简称，是用于无线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。 2.2 WAPI 系统 2.21 基本概念 表1：WAPI系统中所涉及到的基本概念 概念 全称及中文解释 说明 AC Access Controller，接入控制器 用于对WLAN 中与之关联的FIT AP 进行控制和管理的设备 AP Access Point，接入点 是指任何一个能通过无线介质为无线终端提供分布式访问服务的实体 AS Authentication Server，鉴别服务器 用于对用户和设备证书进行身份鉴别等，是基于公钥密码技术的WAI 中重要的组成部分 BK Base Key，基密钥 用于导出单播会话密钥，由证书鉴别过程协商得到或者由预共享密钥导出 FAT AP FAT Access Point，胖AP 传统AP，除了提供基本的无线连接功能外，还能提供安全、管理和性能增强功能。FAT AP 不能与AC 关联使用 FIT AP FIT Access Point，瘦AP 区别于传统的FAT AP，只提供可靠、高性能的无线连接功能，而剥离了其它功能。FIT AP 必须与AC 关联使用，本文中的AP 均指FIT AP MSK Multicast Session Key，组播会话密钥 用于保护站点发送的组播 MPDU 的随机值，由组播主密钥导出，包括组播加密密钥和组播完整性校验密钥 PSK Preshared Key，预共享密钥 是发布给 STA 的静态密钥 STA Station，站点 即无线