下载文档原格式
详解WAPI 与WAPI 认证一、 WAPI 的由来WAPI (WLAN Authenticationand Privacy Infrastructure ),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP 协议安全问题,经多方参加,反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN 安全解决方案。
WAPI 是中国自主研发的,拥有自主知识产权的无线局域网安全技术标准。
WAPI 同时也是中国无线局域网强制性标准中的安全机制,相比WIFI ,WAPI 可以使笔记本电脑以及其他终端产品更加安全。
二、 WAPI 与WIFI 的不同及优势WAPI是双向的、简单易行、管理集中、动态的,WAPI相比较于WIFI更安全!WAPI具有的优势:1、双向身份鉴别在WAPI安全体制下,无线客户端和WLAN设备二者处于对等的地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。
双向鉴别机制既可以防止假冒的无线客户端接入WLAN网络,又可以杜绝假冒的WLAN设备伪装成合法的设备。
而且其他的安全机制下,只能够实现WLAN设备对无线客户端的单向鉴别,缺乏有效的WLAN设备身份的鉴别手段。
2、数字证书身份凭证WAPI协议强制使用数字证书作为WLAN设备和无线客户端的身份凭证,既方便了安全管理,有可以提升安全性。
对于无线客户端申请或者取消入网,管理员只需要颁发新的证书或者取消当前证书即可。
这些操作均可以在证书服务器上完成,管理非常方便。
其他安全机制没有强制要求用户使用数字证书,当使用用户名和密码作为用户的身份凭证时,用于用户身份凭证简单,容易被盗取或冒用。
3、完善的鉴别协议在WAPI中使用数字证书作为用户身份凭证,在鉴别过程中采用椭圆曲线签名算法,并使用安全的消息杂凑算法保障消息的完整性,攻击者难以对进行鉴别的信息进行修改和伪造,所以安全等级高。
在其他安全体制中鉴别协议本身存在一定缺陷,鉴别成功信息的完整性娇艳不够安全,鉴别消息容易被篡改或伪造。
安全与VPN-WAPI技术介绍,目录WAPI (1)WAPI简介 (1)WAPI系统概述 (1)WAPI的工作过程 (2)WAPI的鉴别方式 (3)WAPI的密钥管理 (4)安全和VPN WAPIWAPIWAPI 简介WAPI 是WLAN Authentication and Privacy Infrastructure(无线局域网鉴别与保密基础结构)的简称,是中国提出的、以802.11 无线协议为基础的无线安全标准。
WAPI 协议由以下两部分构成:•WAI:是WLAN Authentication Infrastructure(无线局域网鉴别基础结构)的简称,是用于无线局域网中身份鉴别和密钥管理的安全方案;•WPI:是WLAN Privacy Infrastructure(无线局域网保密基础结构)的简称,是用于无线局域网中数据传输保护的安全方案,包括数据加密、数据鉴别和重放保护等功能。
WAPI 系统概述1. 基本概念WAPI系统中所涉及到的基本概念如表1所示。
表1 WAPI 系统中的基本概念IP networkAC Switch FIT APSwitch Wireless networkmanagement FIT AP概念全称及中文解释说明PSK Preshared Key,预共享密钥是发布给STA 的静态密钥STA Station,站点即无线终端,本文中是指带有支持WAPI 协议无线网卡的PC、便携式笔记本电脑等无线终端USK Unicast Session Key,单播会话密钥是由BK 通过伪随机函数导出的随机值,分为四个部分:单播加密密钥、单播完整性校验密钥、消息鉴别密钥和密钥加密密钥WAPI user WAPI 用户是指使用WAPI 安全模式进行认证的用户,系统所支持的最大WAPI 用户数量为1024 个。
本文中也称为STA2. 系统组成在一个典型的WAPI系统中,如图1所示,WAPI用户通过AP接入有线IP网络。
wapi标准WAPI标准。
WAPI(无线局域网身份验证和隐私保护)是中国自主研发的无线局域网安全标准,旨在提供更高级别的安全性和隐私保护。
WAPI 标准的制定和实施对于保障无线网络通信的安全性和稳定性具有重要意义。
本文将对WAPI标准的相关内容进行介绍和解析,以便更好地理解和应用该标准。
WAPI标准的主要特点包括身份验证、密钥管理和数据加密等方面。
在身份验证方面,WAPI采用了一种基于数字证书的身份验证机制,通过数字证书对用户进行身份验证,确保通信双方的身份合法和真实。
在密钥管理方面,WAPI采用了一种动态密钥管理机制,能够动态生成和更新密钥,有效防止密钥被攻击者获取。
在数据加密方面,WAPI采用了一种高效的数据加密算法,能够对数据进行可靠的加密保护,确保数据传输的安全性和隐私保护。
WAPI标准的实施需要遵循一系列的技术规范和流程。
首先,需要对WAPI标准的相关技术进行深入的研究和理解,包括身份验证、密钥管理和数据加密等方面的技术原理和实现方法。
其次,需要进行WAPI标准的相关软硬件设备的开发和生产,包括无线网络设备、安全芯片和加密算法等方面的技术研发和实现。
最后,需要进行WAPI标准的相关测试和认证,确保WAPI标准的实施符合相关的技术规范和标准要求,能够确保通信的安全性和稳定性。
WAPI标准的应用领域涵盖了无线网络通信的各个方面,包括无线局域网、移动通信和物联网等领域。
在无线局域网方面,WAPI标准能够提供更高级别的安全性和隐私保护,确保无线网络通信的安全和稳定。
在移动通信方面,WAPI标准能够提供更可靠的数据加密和身份验证机制,确保移动通信的安全和隐私。
在物联网方面,WAPI标准能够提供更高级别的数据保护和隐私保护,确保物联网设备之间的安全通信。
总的来说,WAPI标准是中国自主研发的无线局域网安全标准,具有重要的实际意义和应用前景。
通过对WAPI标准的深入理解和应用,能够有效提高无线网络通信的安全性和稳定性,推动无线网络通信技术的发展和应用。
wapi标准WAPI标准。
WAPI(无线局域网身份认证)是一种用于无线网络的身份认证和加密标准。
它是由中国国家密码管理局制定的,旨在提高无线网络的安全性和稳定性。
WAPI标准的制定对于推动无线网络技术的发展和应用具有重要意义。
WAPI标准的主要特点包括,首先,WAPI采用了国际先进的身份认证和加密技术,能够有效地防止网络黑客和恶意攻击。
其次,WAPI标准具有较高的安全性和稳定性,能够保障用户在无线网络上的通信安全。
最后,WAPI标准还具有良好的兼容性和可扩展性,能够与现有的无线网络设备和系统相兼容,并且能够满足未来无线网络技术的发展需求。
WAPI标准的应用范围非常广泛,涉及到无线局域网、移动通信、物联网等多个领域。
在无线局域网方面,WAPI标准可以应用于企业无线局域网、公共无线局域网等多种场景,为用户提供安全、稳定的无线网络服务。
在移动通信方面,WAPI标准可以应用于4G、5G等移动通信网络,为用户提供安全、高速的移动通信体验。
在物联网方面,WAPI标准可以应用于智能家居、智能城市、智能交通等多个物联网应用场景,为物联网设备提供安全、稳定的连接服务。
WAPI标准的推广和应用还面临一些挑战和问题,主要包括技术标准的统一、设备的兼容性、安全性的保障等方面。
针对这些问题,需要加强技术研发和标准制定,推动各方的合作和协调,加强安全技术的研究和应用,提高设备的兼容性和稳定性。
总的来说,WAPI标准作为一种先进的无线网络身份认证和加密标准,具有重要的推动作用和广阔的应用前景。
通过不断的技术创新和标准完善,WAPI标准将能够更好地满足用户对于无线网络安全和稳定性的需求,推动无线网络技术的发展和应用。
相信在不久的将来,WAPI标准将成为无线网络领域的重要标准和技术支撑。
认识无线WLAN安全规范:WEP、WPA和WAPI无线WLAN安全规范都包括哪些内容呢?这里我们就来详细介绍一下吧。
首先我们要知道无线WLAN安全规范,大致有三种,分别是WEP、WPA和WAPI。
那么针对每一种我们都来看看具体的内容吧。
无线WLAN安全规范1:WEPWEP(WiredEquivalentPrivacy)是802.11b采用的安全标准,用于提供一种加密机制,保护数据链路层的安全,使无线网络WLAN的数据传输安全达到与有线LAN相同的级别。
WEP采用RC4算法实现对称加密。
通过预置在AP和无线网卡间共享密钥。
在通信时,WEP 标准要求传输程序创建一个特定于数据包的初始化向量(IV),将其与预置密钥相组合,生成用于数据包加密的加密密钥。
接收程序接收此初始化向量,并将其与本地预置密钥相结合,恢复出加密密钥。
WEP允许40bit长的密钥,这对于大部分应用而言都太短。
同时,WEP不支持自动更换密钥,所有密钥必须手动重设,这导致了相同密钥的长期重复使用。
第三,尽管使用了初始化向量,但初始化向量被明文传递,并且允许在5个小时内重复使用,对加强密钥强度并无作用。
此外,WEP中采用的RC4算法被证明是存在漏洞的。
综上,密钥设置的局限性和算法本身的不足使得WEP存在较明显的安全缺陷,WEP提供的安全保护效果,只能被定义为“聊胜于无”。
无线WLAN安全规范2:WPAWPA(Wi-FiProtectedAccess)是保护Wi-Fi登录安全的装置。
它分为WPA和WPA2两个版本,是WEP的升级版本,针对WEP的几个缺点进行了弥补。
是802.11i的组成部分,在802.11i没有完备之前,是802.11i的临时替代版本。
不同于WEP,WPA同时提供加密和认证。
它保证了数据链路层的安全,同时保证了只有授权用户才可以访问无线网络WLAN。
WPA采用TKIP协议(TemporalKeyIntegrityProtocol)作为加密协议,该协议提供密钥重置机制,并且增强了密钥的有效长度,通过这些方法弥补了WEP协议的不足。
wapi 原理
WAPI(WLAN Authentication and Privacy Infrastructure)是一种无线网络安全协议,它用于确保无线局域网(WLAN)的数据传输安全。
WAPI采用基于公钥密码体系的证书机制进行身份认证和密钥交换,从而实现数据传输的机密性、完整性和真实性。
WAPI的工作原理可以分为以下几个步骤:
1. 用户接入认证:当用户接入WLAN时,WAPI需要进行用户接入认证,以确定用户的合法性。
认证过程中,用户会向接入点(AP)提交认证请求,AP会将认证请求转发到认证服务器。
2. 证书验证:认证服务器验证用户的证书,以确定用户的身份。
用户的证书由公钥证书和私钥组成,其中公钥证书由权威证书颁发机构(CA)颁发,私钥由用户自己持有。
3. 密钥协商:认证服务器验证用户证书无误后,会与用户进行密钥协商,生成一对会话密钥。
4. 数据传输加密:通过使用会话密钥,对传输的数据进行加密和解密,确保数据传输的机密性和完整性。
WAPI采用基于椭圆曲线密码算法的公钥密码体系,可以提供较高的安全性和较强的抗攻击能力。
此外,WAPI还支持用户多播密钥分发,可以实现快速漫游和无
缝切换。
总之,WAPI是一种安全可靠的无线网络安全协议,可以为用户提供高速、安全、可靠的无线局域网服务。
详解WAPI 与WAPI 认证一、 WAPI 的由来WAPI (WLAN Authenticationand Privacy Infrastructure ),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP 协议安全问题,经多方参加,反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN 安全解决方案。
WAPI 是中国自主研发的,拥有自主知识产权的无线局域网安全技术标准。
WAPI 同时也是中国无线局域网强制性标准中的安全机制,相比WIFI ,WAPI 可以使笔记本电脑以及其他终端产品更加安全。
二、 WAPI 与WIFI 的不同及优势WAPI 是双向的、简单易行、管理集中、动态的,WAPI 相比较于WIFI 更安全! WAPI 具有的优势:1、双向身份鉴别在WAPI安全体制下,无线客户端和WLAN设备二者处于对等的地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。
双向鉴别机制既可以防止假冒的无线客户端接入WLAN网络,又可以杜绝假冒的WLAN设备伪装成合法的设备。
而且其他的安全机制下,只能够实现WLAN设备对无线客户端的单向鉴别,缺乏有效的WLAN设备身份的鉴别手段。
2、数字证书身份凭证WAPI协议强制使用数字证书作为WLAN设备和无线客户端的身份凭证,既方便了安全管理,有可以提升安全性。
对于无线客户端申请或者取消入网,管理员只需要颁发新的证书或者取消当前证书即可。
这些操作均可以在证书服务器上完成,管理非常方便。
其他安全机制没有强制要求用户使用数字证书,当使用用户名和密码作为用户的身份凭证时,用于用户身份凭证简单,容易被盗取或冒用。
3、完善的鉴别协议在WAPI中使用数字证书作为用户身份凭证,在鉴别过程中采用椭圆曲线签名算法,并使用安全的消息杂凑算法保障消息的完整性,攻击者难以对进行鉴别的信息进行修改和伪造,所以安全等级高。
在其他安全体制中鉴别协议本身存在一定缺陷,鉴别成功信息的完整性娇艳不够安全,鉴别消息容易被篡改或伪造。
wapl是什么wapl即Wireless L.AN Authentication and Privacy Infrastructure-WAP,指无线局域网鉴别和保密基础结构。
是一种安全协议,也是中国颁布的无线局域网安全领城的强制性标准。
一、wapl是什么WAPI全称为Wireless LAN Authentication and Privacy Infrastructure,翻译成中文就是无线局域网鉴别和保密基础结构。
其主要作用是可以增dao强WiFi网络的安全性,这是iPhone特有的功能。
它是类似于无线局域网(WLAN)中的一种传输协议而已,是国dao自主研发的一种无线协议,和WIFI差不多,但加密性比WIFI强,WAPI等于是加密了的WIFI,比我们现在使用的WIFI安全性更强。
二、WAPI的工作原理WAPI的整个系统由移动终端(MobileTerminal,MT)、AP和认证服务器AS组成。
其中,认证服务器(AuthenticationServer,AS)的主要功能是负责证书的发放、验证与吊销等;移动终端MT与AP上都安装有AS发放的公钥证书,作为自己的数字身份凭证。
当MT登录至无线接入点AP时,在使用或访问网络之前必须通过AS进行双向身份验证。
根据验证的结果,只有持有合法证书的移动终端MT才能接入持有合法证书的无线接入点AP.这样不仅可以防止非法移动终端MT接入AP而访问网络并用网络资源,而且还可以防止移动终端MT非法登录到AP而造成信息泄露。
三、wapl打开有什么用对于一般用户来说,虽说开启WAPI 在一定程度上可以增强无线网络的安全性,但在实用性方面确实没有太大作用,而且据有的用户反馈,启用之后会加快设备耗电,所以一般情况下,建议别开启。
当然开启的方法也很简单,就在无线局域网的下方即可看到开启或关闭入口。
换言之,WAPI是我国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准,是中国无线局域网强制性标准中的安全机制。
W API协议详解
安全问题一直是困扰在WLAN灵活便捷的优势之上的阴影,已成为阻碍WLAN进入信息化应用领域的最大障碍。
国际标准为此采用了WEP、WPA、802.1x、802.11i、VPN等方式来保证WLAN的安全,但都没有从根本上解决WLAN的安全问题。
我国在2003年5月份提出了无线局域网国家标准GB15629.11,引入一种全新的安全机制—WAPI,使WLAN的安全问题再次成为人们关注的焦点。
WAPI机制已由ISO/IEC授权的IEEE Registration Authority审查获得认可,并分配了用于该机制的以太类型号(IEEE EtherType Field)0x88b4,这是我国在这一领域向ISO/IEC提出并获得批准的唯一的以太类型号。
WAPI安全机制
无线局域网鉴别与保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。
其中,WAI采用基于椭圆曲线的公钥证书体制,无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别。
而在对传输数据的保密方面,WPI 采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密,充分保障了数据传输的安全。
WAPI充分考虑了市场应用,根据无线局域网应用的不同情况,可以以单点式、集中式等不同的模式工作,同时也可以和现有的运营商系统结合起来,支持大规模的运营级服务。
此外,用户的使用场景不同,WAPI的实现和工作方式也略有诧异。
WAPI的用户使用场景主要有以下几种:
1. 企业级用户应用场景:有AP和独立的AS(鉴别服务器),内部驻留ASU(鉴别服务单元),实现多个AP和STA证书的管理和用户身份的鉴别;
2. 小公司和家庭用户应用场景:有AP,ASU可驻留在AP中;
3. 公共热点用户应用场景:有AP,ASU驻留在接入控制服务器中;
4. 自组网用户应用场景:无AP,各STA在应用上是对等的,采用共享密钥来实现鉴别和保密。
图1 状态转换图
WAI与WAI相关的STA的状态转换图
图1给出了与WAI相关的STA的状态转换图,与ISO/IEC 8802.11-1999的5.5相比,该状态图将原有的“鉴别”改为了“链路验证”,此外新增了专用于处理WAI过程的“鉴别状态”。
这样,STA总共需要维护三个状态变量:链路验证状态,关联状态和鉴别状态,由此决定了STA将会有四种本地状态,如图状态1~4所示。
其中STA和AP之间的WAI鉴别过程处于状态3。
鉴别系统结构
图2描述了鉴别请求者、鉴别器和鉴别服务实体之间的关系及信息交换过程。
这里首先介绍几个重要概念,有助于对鉴别系统结构的理解。
鉴别器实体AE:驻留在AP中,在接入服务前,提供鉴别操作。
鉴别请求者实体ASUE:驻留在STA中,需通过鉴别服务单元ASU进行鉴别。
鉴别服务实体ASE:驻留在ASU中,为鉴别器和鉴别请求者提供相互鉴别。
在图2中,鉴别器的受控端口处于未鉴别状态,鉴别器系统拒绝提供服务,鉴别器实体利用非受控端口和鉴别请求者通信。
受控与非受控端口可以是连接到同一物理端口的两个逻辑端口,所有通过物理端口的数据都可以到达受控端口和非受控端口,并根据鉴别状态决定数据的实际流向。
受控端口:只有当该端口的鉴别状态为已鉴别时,才允许协议数据通过。
只有通过鉴别的STA才能使用的AP提供的数据端口为受控端口。
非受控端口:协议数据的传送不受当前鉴别状态的限制。
AP提供STA连接到鉴别服务单元ASU的端口即为非受控端口。
需要说明的是,除鉴别数据外,系统中AP与STA之间的网络协议数据的交换都是通过一个或多个受控端口来实现的。
受控端口状态由系统鉴别控制参数确定。
另一个重要概念是鉴别服务单元ASU,前面已经提到,在整个WAI鉴别过程中,ASU作为第三方起着提供鉴别服务的作用。
此外,ASU还担当着为STA 和AP提供证书的颁发、认证、吊销等功能。
一个ASU可以管理一个或多个BSS,在同一个ASU的管理范围内,STA与AP之间需通过ASU实现证书的双向认证。
图2 鉴别系统结构
WAI鉴别基础结构
在BSS中,当STA关联或重新关联至AP时,必须进行相互身份鉴别。
若鉴别成功,则AP允许STA接入,否则解除其链路验证。
整个鉴别过程包括证书鉴别、单播密钥协商与组播密钥通告。
STA与AP之间的鉴别数据分组利用以太类型字段为0x88B4的WAPI协议传送,AP与ASU之间的鉴别数据报文通过端口号为3810的UDP套接口传输。
在WAI的整个过程中,涉及到数种加/解密和消息摘要等算法,可归纳如下:基于WAI的安全接入控制分类
根据WLAN的不同类型,可将基于WAI的安全接入控制作以下分类。
BSS(有AP)
WAI典型范例,采用公钥密码技术实现STA与AP之间的相互身份鉴别,证书鉴别成功后分单播密钥协商和组播密钥通告。
IBSS(Ad Hoc,无AP)
WAI采用共享密钥完成STA之间的相互身份鉴别。
网络中各个STA约定一个共享密钥,用户通过设置(输入)共享密钥接入网络,和其他用户交换信息。
用户输入的为共享主密钥。
WDS模式
WAI采用共享密钥完成STA之间的相互身份鉴别。
网络中各个STA约定一个共享密钥,用户通过设置(输入)共享密钥接入网络,和其他用户交换信息。
用户输入的为共享主密钥。
WPI
WPI采用国家密码管理委员会办公室批准的用于WLAN的SSF43对称分组加密算法对MAC子层的MSDU进行加/解密处理,有两种工作模式:用于数据保密的OFB模式和用于完整性校验的CBC-MAC模式。
WPI封装过程
数据发送时,WPI的封装过程为:
1.利用加密密钥和数据分组序号PN,通过工作在OFB模式的加密算法对MSDU(包括SNAP)数据进行加密,得到MSDU密文;
2.利用完整性校验密钥与数据分组序号PN,通过工作在CBC-MAC模式的校验算法对完整性校验数据进行计算,得到完整性校验码MIC;
3.封装后再组帧发送。
WPI解封装过程
数据接收时,WPI的解封装过程为:
1.判断数据分组序号PN是否有效,若无效,则丢弃该数据;
2.利用完整性校验密钥与数据分组序号PN,通过工作在CBC-MAC模式的校验算法对完整性校验数据进行本地计算,若计算得到的值与分组中的完整性校验码MIC不同,则丢弃该数据;
3.利用解密密钥与数据分组序号PN,通过工作在OFB模式的解密算法对分组中的MSDU密文进行解密,恢复出MSDU明文;
4.去封装后将MSDU明文递交至上层处理。
结语
目前,我们已用软件实现了STA的WAPI机制,运行结果完全能够满足GB15629.11标准的要求。
此外,我们还使用硬件描述语言Verilog HDL对WPI 的封装和解封装过程进行了RTL描述,并从数字电路设计的角度对其进行了优化。
总体而言,WPI硬件仿真结果较WPI软件运行在时间上体现了强大的优势,这对于保证无线局域网数据通信的高速性无疑是很重要的一点。
当然,WPI软件可以与驱动程序相结合,体现低成本和易维护的特点。
对于WAI,整个过程处在AP和STA之间网络协议数据通信之前,因此对时间的要求要略逊一些,而过程相对繁杂,笔者认为更宜用软件实现。
