- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
,
,
安全与VPN-WAPI技术介绍
技术介绍 安全和 VPN
技术介绍 安全和 VPN
目 录
i
i
目 录
WAPI 1
WAPI简介 1
WAPI系统概述 1
WAPI的工作过程 2
WAPI的鉴别方式 3
WAPI的密钥管理 4
技术介绍 安全和 VPN
技术介绍 安全和 VPN
WAPI
PAGE
PAGE 1
WAPI
WAPI 简介
WAPI 是 WLAN Authentication and Privacy Infrastructure(无线局域网鉴别与保密基础结构)的简称,是中国提出的、以 802.11 无线协议为基础的无线安全标准。WAPI 协议由以下两部分构成:
WAI:是 WLAN Authentication Infrastructure(无线局域网鉴别基础结构)的简称,是用于无线局域网中身份鉴别和密钥管理的安全方案;
WPI:是 WLAN Privacy Infrastructure(无线局域网保密基础结构)的简称, 是用于无线局域网中数据传输保护的安全方案,包括数据加密、数据鉴别和重放保护等功能。
WAPI 系统概述
基本概念
WAPI系统中所涉及到的基本概念如 表 1所示。
表1 WAPI 系统中的基本概念
概念
全称及中文解释
说明
AC
Access Controller,接入控制器
用于对WLAN 中与之关联的FIT AP 进行控制和管理的设备
AP
Access Point,接入点
是指任何一个能通过无线介质为无线终端提供分布式访问服务的实体
AS
Authentication Server,鉴别服务器
用于对用户和设备证书进行身份鉴别等,是基于公钥密码技术的WAI 中重要的组成部分
BK
Base Key,基密钥
用于导出单播会话密钥,由证书鉴别过程协商得到或者由预共享密钥导出
FAT AP
FAT Access Point,胖 AP
传统 AP,除了提供基本的无线连接功能外,还能提供安全、管理和性能增强功能。FAT AP 不能与 AC 关联使用
FIT AP
FIT Access Point,瘦 AP
区别于传统的FAT AP,只提供可靠、高性能的无线连接功能,而剥离了其它功能。FIT AP 必须与 AC 关联使用,本文中的 AP 均指FIT AP
MSK
Multicast Session Key,组播会话密钥
用于保护站点发送的组播 MPDU 的随机值,由组播主密钥导出,包括组播加密密钥和组播完整性校验密钥
概念
全称及中文解释
说明
PSK
Preshared Key,预共享密钥
是发布给 STA 的静态密钥
STA
Station,站点
即无线终端,本文中是指带有支持WAPI 协议无线网卡的 PC、便携式笔记本电脑等无线终端
USK
Unicast Session Key,单播会话密钥
是由 BK 通过伪随机函数导出的随机值,分为四个部分:单播加密密钥、单播完整性校验密钥、消息鉴别密钥和密钥加密密钥
WAPI user
WAPI 用户
是指使用WAPI 安全模式进行认证的用户,系统所支持的最大WAPI 用户数量为 1024 个。本文中也称为STA
系统组成
在一个典型的WAPI系统中,如 图 1所示,WAPI用户通过AP接入有线IP网络。首先, WAPI用户与AP进行 802.11 链路协商,之后AP为该用户触发WAI鉴别过程,配合AS完成与用户的双向认证。当认证通过后,AP会发起对该用户的密钥协商,并使用协商出的密钥通过WPI向该WAPI用户提供加、解密服务。
IP networkACSwitchFIT AP
IP network
AC
Switch
FIT AP
Switch
Wireless network management
FIT AP
WAPI user
WAPI user
FIT AP
图1 WAPI 系统典型组网图
WAPI user
WAPI 的工作过程
在一个采用了WAPI安全关联机制的WLAN中,当STA需要访问该WLAN时,通过被动侦听AP的信标(Beacon)帧或主动发送探询帧(主动探询过程如 图 2所示)以识别AP所采用的安全策略:
若 AP 采用证书鉴别方式,AP 将发送鉴别激活分组启动证书鉴别过程,当证书鉴别过程成功结束后,AP 和STA 再进行单播密钥协商和组播密钥通告;
若 AP 采用预共享密钥鉴别方式,AP 将与 STA 直接进行单播密钥协商和组播密钥通告。
探询请求探询响应(
探询请求
探询响应(WAPI信息元素)
链路验证请求
链路验证响应
关联请求(WAPI信息元素)
关联响应
图2 主动探询过程
WAPI 的鉴别方式
WAPI 支持如下两种鉴别方式:证书鉴别
您可能关注的文档
- 安全与VPN-L2TP技术介绍-D.docx
- 安全与VPN-MAC地址认证技术介绍-D.docx
- 新教材2020-2021学年北师大版高中英语第三册课时作业-7-Section-Ⅰ-Topic-Talk-Lesson-1-含解析-D.doc
- 新教材2020-2021学年北师大版高中英语第三册课时作业-7-Section-Ⅱ-Lesson-2-Lesson-3-含解析-D.doc
- 安全与VPN-NAT技术介绍-D.docx
- 新教材2020-2021学年北师大版高中英语第三册课时作业-7-Section-Ⅲ-Reading-Writing-含解析-D.doc
- 安全与VPN-PKI技术介绍-D.docx
- 新教材2020-2021学年北师大版高中英语第三册课时作业-8-Section-Ⅰ-Topic-Talk-Lesson-1-含解析-D.doc
- 新教材2020-2021学年北师大版高中英语第三册课时作业-8-Section-Ⅱ-Lesson-2-Lesson-3-含解析-D.doc
- 安全与VPN-Portal技术介绍-D.docx
文档评论(0)