安全与VPN-WAPI技术介绍-D.docx

， ， 安全与VPN-WAPI技术介绍 技术介绍 安全和 VPN 技术介绍 安全和 VPN 目 录 i i 目 录 WAPI 1 WAPI简介 1 WAPI系统概述 1 WAPI的工作过程 2 WAPI的鉴别方式 3 WAPI的密钥管理 4 技术介绍 安全和 VPN 技术介绍 安全和 VPN WAPI PAGE PAGE 1 WAPI WAPI 简介 WAPI 是 WLAN Authentication and Privacy Infrastructure（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以 802.11 无线协议为基础的无线安全标准。WAPI 协议由以下两部分构成： WAI：是 WLAN Authentication Infrastructure（无线局域网鉴别基础结构）的简称，是用于无线局域网中身份鉴别和密钥管理的安全方案； WPI：是 WLAN Privacy Infrastructure（无线局域网保密基础结构）的简称， 是用于无线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。 WAPI 系统概述 基本概念 WAPI系统中所涉及到的基本概念如 表 1所示。 表1 WAPI 系统中的基本概念 概念 全称及中文解释 说明 AC Access Controller，接入控制器 用于对WLAN 中与之关联的FIT AP 进行控制和管理的设备 AP Access Point，接入点 是指任何一个能通过无线介质为无线终端提供分布式访问服务的实体 AS Authentication Server，鉴别服务器 用于对用户和设备证书进行身份鉴别等，是基于公钥密码技术的WAI 中重要的组成部分 BK Base Key，基密钥 用于导出单播会话密钥，由证书鉴别过程协商得到或者由预共享密钥导出 FAT AP FAT Access Point，胖 AP 传统 AP，除了提供基本的无线连接功能外，还能提供安全、管理和性能增强功能。FAT AP 不能与 AC 关联使用 FIT AP FIT Access Point，瘦 AP 区别于传统的FAT AP，只提供可靠、高性能的无线连接功能，而剥离了其它功能。FIT AP 必须与 AC 关联使用，本文中的 AP 均指FIT AP MSK Multicast Session Key，组播会话密钥 用于保护站点发送的组播 MPDU 的随机值，由组播主密钥导出，包括组播加密密钥和组播完整性校验密钥 概念 全称及中文解释 说明 PSK Preshared Key，预共享密钥 是发布给 STA 的静态密钥 STA Station，站点 即无线终端，本文中是指带有支持WAPI 协议无线网卡的 PC、便携式笔记本电脑等无线终端 USK Unicast Session Key，单播会话密钥 是由 BK 通过伪随机函数导出的随机值，分为四个部分：单播加密密钥、单播完整性校验密钥、消息鉴别密钥和密钥加密密钥 WAPI user WAPI 用户 是指使用WAPI 安全模式进行认证的用户，系统所支持的最大WAPI 用户数量为 1024 个。本文中也称为STA 系统组成 在一个典型的WAPI系统中，如 图 1所示，WAPI用户通过AP接入有线IP网络。首先， WAPI用户与AP进行 802.11 链路协商，之后AP为该用户触发WAI鉴别过程，配合AS完成与用户的双向认证。当认证通过后，AP会发起对该用户的密钥协商，并使用协商出的密钥通过WPI向该WAPI用户提供加、解密服务。 IP networkACSwitchFIT AP IP network AC Switch FIT AP Switch Wireless network management FIT AP WAPI user WAPI user FIT AP 图1 WAPI 系统典型组网图 WAPI user WAPI 的工作过程 在一个采用了WAPI安全关联机制的WLAN中，当STA需要访问该WLAN时，通过被动侦听AP的信标（Beacon）帧或主动发送探询帧（主动探询过程如 图 2所示）以识别AP所采用的安全策略： 若 AP 采用证书鉴别方式，AP 将发送鉴别激活分组启动证书鉴别过程，当证书鉴别过程成功结束后，AP 和STA 再进行单播密钥协商和组播密钥通告； 若 AP 采用预共享密钥鉴别方式，AP 将与 STA 直接进行单播密钥协商和组播密钥通告。 探询请求探询响应（ 探询请求 探询响应（WAPI信息元素） 链路验证请求 链路验证响应 关联请求（WAPI信息元素） 关联响应 图2 主动探询过程 WAPI 的鉴别方式 WAPI 支持如下两种鉴别方式：证书鉴别