西电捷通WAPI技术如何在Windows上实现（一）.docVIP

西电捷通：WAPI技术如何在Windows上实现（一） 西电捷通技术研究 自Windows Vista系统以來，微软对其无线网络架构进行了重犬调整，尤其 是在网络安全方面，越来越重视与不同安全协议间的结合，通过开放接口的形式, 试图增强自身产品与外部技术间的融合度，提高其网络安全兼容性及适用性。微 软对网络I办议接口的开放，似乎也从侧而佐证了其现冇操作系统，在无线网络安 全方面，确实存在需要加强和完善的地方。 XP时代的缺憾 在Windows XP时代，系统未对无线网络安全提供扩展接口，所有的无线网络 软件，皆以独立的应用程序运行，大家都是遵循Windows的体系架构，通过调用 系统网络API函数来实现对网络的连接和控制，但只能局限于系统已有的安全和 网络配置方式，无法对系统无线网络的安全协议进行扩展，更无法根据新的安全 协议，定制用户接口（包括界面和操作方法）。 新的无线网络架构，针对第三方安全协议及网络配置，提供了一整套的适配 接口；从而解决了从用户输入、网络配置，直到协议传输等各层次功能扩展的问 题，使第三方安全协议能与系统的无线网络管理很好结合，从而达到无缝衔接。 用户在应用外部安全协议吋，不再需要单独开启其它网络应用程序，完全可在系 统的无线网络管理屮，完成所有的安全配置和管理操作。 美国Business Insider这样评价微软的这种转变，微软前CEO史蒂夫?鲍尔 默已吸取了教训，开发者是微软生态系统屮最重要的一员。在微软的鼎盛时期， 他们为Windows开发的各种应用为其赋予了极大的实用性。在微软边入新时代Z 际，他们开发的应用也将对微软的各种设备和服务起到同样的作用。 就安全木身而言，不同吋期的安全协议和标准，有着不同的背景和要求，随 着技术的不断发展和演进，促使人们对于安全的考虑越来越深入，由于无线网络 在通信的过程屮，难免会存在这样或那样的安全问题，早期的Windows依据Wi-Fi 标准，在其系统先后实现了 WEP、WPA、WPA2和802.1X安全协议，但事实上，从 安全角度讲，目前的系统安全管理虽然可以满足一定程度的用户需求，但仍然无 法从根木上解决接入各方的身份鉴别问题，导致系统架构上存在明显的安全隐患。 也正是鉴于这一原因，在Window Vista之后，微软开放了系统在无线网络安全方 而的接口，使得其他第三方安全协议可以通过此种形式，对无线安全进行扩展和 补充，试图借此完善系统在无线安全方面的缺陷。 WAPI和未开放的XP WAPI在Windows上的实现，恰好弥补了这方面的缺陷。WAPI全称无线局域网 鉴别与保密基础结构，该安全协议可分为：WAI和WPI两大过程。其中，WAI主要 负责无线数据通信前的安全鉴别，工作在系统的应用层或内核层；WP1主要完成 无线数据通信过程中的安全传输，其一般工作在系统的内核层或硬件物理层。二 者紧密结合，使系统的无线通信达到安全可信。从通信各方的角色承担來说，WAPI 实现了参与各方的身份鉴别和认证，并由此进行密钥推导和管理，从而真正达到 了互信互通的目的。 在无线安全架构演进过程屮，Windows系统先后经丿力了封闭对外接口和开放 接口的两个阶段，而在这两个时期，根据系统的不同特点，WAPI安全协议的部署 和设计也略冇不同，下面我们就來介绍一下Windows XP时代，WAPI与系统的无 线网络结合的方式（方案有多刑「，木文只阐述其屮之一，即通过协议驱动完成WAI 鉴别过程）。 女卜是 WAPI 安全机制在 Ndis 5. x （ Network Driver Interface Specification,网络驱动接口规范）中的结构示意。 上述结构示意图中，主要体现了 3个层次：系统应用层，系统协议/内核层， 网络的物理层；其中，各层次之间的功能作用和层次关系如下： 系统应用层：涉A WAPI相关设置/配置等，来源于用户操作，以及需要体现 给用户WAPI网络通信的状态等信息，均由WAPI应用层软件来实现。这里可收集 来自于用户对网络连接的要求，并进一步将用户配置传递至下层的WAPI |办议层, 用于WAPI的连接控制，并等待网络连接结果； 系统协议/内核层：这里主要完成对协议的处理，并完成对密钥的协商和 设置。当协议层接收到来自上层的WAPI用户设置后，会根据用户设置，进行相应 的WAPI连接和鉴别过程。协议层将根拯用户的设置，进行预共享密钥或证书模式 的安全连接，并对具冇0x88B4的以太网类型字段的I办议帧，进行WAI鉴别处理。 待完成鉴别过程，以及协商出密钥后，协议层将会将该密钥以及相关信息下设至 mini port驱动层。（若网卡硬件具有SM4的加/解密算法,贝U会由miniport进一 步将WAPI密钥传递至网卡硬件） 网络的物理层：当minip