文档介绍:WAPI技术白皮书
关键词:无线局域网、无线接入点、无线控制器、WAPI
摘要:本文介绍WAPI技术的产生背景、技术要点以及组网应用。
缩略语:
缩略语
英文全称
含义
AC
Access Controller(Centralized WLAN Switch)
无线控制器(集中式无线局域网交换机)
AP
Access Point
无线接入点
AS
Authentication Server
认证服务器
RSN
Robust work
健壮安全网络
WAPI
WLAN Authentication and Privacy Infrastructure
无线局域网鉴别与保密基础结构
WEP
Wired Equivalency Protection
有线等效加密
WLAN
Wireless LAN
无线局域网
WPA
Wi-Fi Protected Access
Wi-Fi保护访问
目录
1 概述 3
产生背景 3
技术优点 3
2 WAPI基本功能 4
WAPI鉴别过程 4
H3C WAPI实现功能 6
3 应用场景 8
8
4 实现标准 9
概述
产生背景
WLAN技术已经广泛地应用于企业和运营商网络。但由于无线通信使用开放性的无线信道资源作为传输媒质,任何在物理区域上进入WLAN网络无线信号覆盖区域内的无线客户端,理论上都可以接入WLAN网络。非法用户可以藉此发起对WLAN网络的攻击或窃取网络用户的机密信息,造成重大的安全事故。
如何保证WLAN网络的安全性?这一直是WLAN技术在应用推广中面临的最大障碍。IEEE标准组织及WI-FI联盟为此一直在进行着努力,先后推出了WEP、WPA、,逐步实现了WLAN网络安全性的提升。。,-2003中提出了安全等级更高的WAPI机制来实现无线局域网的安全。
技术优点
WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法,分别用于WLAN接入设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
与其他无线局域网安全体制相比,WAPI 的优越性集中体现在以下几个方面:
支持双向鉴别
在WAPI安全体制下,无线客户端和WLAN接入设备二者处于对等地位,二者均具有验证使用的独立身份,二者在公信的第三方AS控制下相互鉴别:WLAN接入设备可以验证无线客户端的合法性,无线客户端同样也可以验证WLAN设备的合法性。双向鉴别既可防止假冒的无线客户端接入WLAN网络,同时也可杜绝假冒的WLAN接入设备提供非法的接入服务。而在其它安全体制下,只能实现WLAN设备对无线客户端的单向鉴别。
使用数字证书确保更高的安全性
WAPI使用数字证书作为身份凭证,既方便了安全管理,同时还提升了安全性。
当无线客户端或WLAN接入设备退出新加入网络,只需吊销其证书或颁发新的证书即可,这些操作均可以在证书服务器上完成,管理非常方便。其它安全机制多使用用户名和口令作为用户的身份凭证,用户身份凭证简单,易被盗取。
支持完善的鉴别协议
在WAPI中使用数字证书作为用户身份凭证,在鉴别过程中采用椭圆曲线签名算法,并使用安全的消息杂凑算法保障消息的完整性,攻击者难以对进行鉴别信息进行修改和伪造,安全强度高。,鉴别协议本身存在一定缺陷,由于鉴别成功信息不包含完整性校验,攻击者可以对其中的某些部分进行修改,而消息的接收者不对消息的完整性进行验证,因而不能区分所收到的消息是否是合法消息,鉴别消息易被篡改对网络构成安全威胁。
WAPI基本功能
WAPI鉴别过程
WAPI协议实现了无线安全功能,下图简要描述了WAPI协议的整个鉴别及密钥协商过程,图中AP泛指提供WLAN接入服务的设备,既可以是独立应用的FAT AP,也可以是无线控制器与FIT AP的组合实体。
WAPI鉴别流程
。无线客户端主动发送探测请求消息或侦听WLAN设备发送的Beacon帧,藉此查找可用的网络,支持WAPI安全机制的AP将会回应或发送携带有WAPI信息的探测应答消息或Beacon帧;在搜索到可用网络后,无线客户端继续发起链路认证交互和关联交互。
WLAN接入设备触发对无