目录 |
WAPI是针对IEEE 802.11中WEP协议安全问题,经多方参加,反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GBl5629.11中提出的WLAN安全解决方案。同时,本方案已由ISO/IEC授权的机构IEEE Registration Authority(IEEE注册权威机构)审查并获得认可,分配了用于WAPI协议的以太类型字段,这也是我国目前在该领域唯一获得批准的协议。
WAPI标准,是我国企业自主设计、拥有自主知识产权的普适性安全接入技术基础架构。它是在客观承认当前和下一代主流的接入网络C-A-S(客户端-承载节点-服务器)架构的基础上,在链路层提出的新的安全体系架构。WAPI包含两个部分,一是WLAN鉴别基础架构(WLAN Authentication Infrastructure),一是WLAN保密基础架构(WLAN Privacy Infrastructure),二者分别针对用户的身份鉴别及传输数据加密加以规范。它们既可适用于有线网络,也可适用于无线网络(WLAN),其中鉴别基础架构和保密基础架构是两个有机的独立构件。在有线网络中应用时,可以根据业务需求情况,选择只启用鉴别基础架构,也可选择同时启用鉴别基础架构和保密基础架构,以保障用户和网络之间相互的身份鉴别。但是,应用在无线网络中则通常同时启用鉴别基础架构和保密基础架构。WAPI标准实现了终端和网络承接点之间的双向鉴别和保密,在该架构中,接入设备作为独立的实体,参与了身份鉴别过程,在鉴别过程中不仅终端需要证明自己身份的合法性,接入设备也需要证明自己身份的合法性,从而充分保证了只有合法的终端才可以接入合法的网络。
WAPI标准的推出是为了保障网络信息安全的需要。当今的通信网络从总体上可分为有线网络和无线网络,它们的网络结构在本质上是一致的,均包含终端、承载节点和鉴别服务器3个要件。有线局域网是目前网络通信的主体,但据专家预测,无线网络因其无需线缆、无空间限制将是今后5~10年网络发展的趋势。发展无线局域网,让网络动起来是世界各大网络开发商的共同目标。从目前来看,日趋强烈的移动需求、不断增加的用户群规模、不断降低的PC价格,以及无线局域网硬件价格的下跌,强劲激励着无线局域网市场的迅猛增长。随着无线网络用户群的不断扩大,对无线局域网的安全性就有了更高的要求。WAPI标准的诞生,正是满足了当前对无线网络安全更高的要求,它不仅克服了当今国际流行的无线局域网WEP标准国际公认的安全缺陷,而且突破了发达国家及其跨国公司在该领域的技术垄断,使我国在关键技术领域的创新和标准制定上第一次与欧洲、日本等国站在了同一个起跑线上。
目前国际上通行的主流无线局域网安全体制仍采用美国的WEP机制。这个机制是由有线网络的安全机制移植到无线网络中来的,因此存在很多致命的缺陷:如密钥流的重用、数据包的可被修改和插入以及认证协议存在的严重缺陷。对于网络攻击者来说可以采用诸如统计攻击、完整性攻击、假冒无线站攻击以及虚假接入点(AP)攻击等方法破坏网络的安全性。由此可见,WEP体制的缺陷加上成熟的网络攻击手段是目前国际上无线局域网的安全现状,且安全性已成为制约WLAN进一步发展的瓶颈。世界上一些国家已经意识到问题的严重性,并开始着手制定更安全的国家或专属行业的标准。早在2000年,欧洲电信标准机构(ETSI)就制定了HiperLAN标准;2003年,包WLAN日本标准,目前已经制定完成HiSWANa和HiSWANb标准;包括致力于WLAN安全研究的Wi-Fi联盟也在想尽种种办法来攻克安全难关。
我国的WAPI标准的推出,适应了我国发展无线局域网的要求,并对网络接入的安全性提供了比目前国际上更为安全的模式。它的主要特点是:①定义了一种包容性强的安全架构,在该架构内可根据不同的网络设计具体的安全协议;②提供了良好的扩展性和适应性,适合有线和无线应用;③实现了终端和网络承接点之间的双向鉴别;④两个组成部分鉴别和保密基础架构是有机的独立整体,可根据需要选用;⑤可内置在网络中,也可集成在设备中。
WAPI的工作原理如图所示,整个系统由移动终端(mobile terminal,MT)、接入点(access point,AP)和认证服务器(authentication serrer,AS)组成。其中,认证服务器的主要功能是负责证书的发放、认证与吊销等;移动终端与AP上都安装有认证服务器发放的公钥证书,作为自己的数字身份凭证。当移动终端登录至无线接入点时,在访问网络资源之前必须通过AS进行双向身份认证。即持有合法证书的移动终端能且只能接人持有合法证书的无线接入点。这样,一方面可以防止非法移动终端接入AP未经授权就使用网络资源,另一方面还可以防止移动终端登录至非法AP而造成信息泄露。
上图显示的是WAPI的完整交互过程,下面结合该图来分析WAPI的工作流程。
①认证发起过程。认证开始之前,移动终端首先要登录到AP,建立链路连接。移动终端通过无线信道的链路连接建立成功接人到AP后,AP向移动终端发送认证激活信息,以启动整个认证过程。
②移动终端发送接入认证请求。移动终端向AP发出接入认证请求信息,接入认证请求信息的内容包括移动终端的证书、移动终端的当前系统时间。其中系统时间称为接人认证请求时间。
③接人点发送证书认证请求。AP收到移动终端接人认证请求后,向认证服务器发出证书认证请求信息。证书认证请求信息的内容包括移动终端的证书、接入认证请求时间和AP证书,并利用AP的私钥对它们签名生成证书认证请求报文发送给认证服务器。
④认证服务器发送证书认证响应。当认证服务器收到AP的证书认证请求后,它将验证AP的签名及AP和移动终端证书的合法性。验证完毕后,认证服务器将移动终端证书认证结果信息(包括移动终端证书、认证结果及认证服务器对它们的签名)、AP证书认证结果信息(包括AP证书、认证结果、接入认证请求时间及认证服务器对它们的签名)构成证书认证响应报文发回给AP。
⑤接人点发送接入认证响应。AP收到认证服务器的证书认证结果之后,AP对认证服务器返回的证书认证响应进行签名验证,得到移动终端证书的认证结果。AP将移动终端证书认证结果信息、AP证书认证结果信息及AP对它们的签名组成接入认证响应报文回送至移动终端。移动终端验证认证服务器的签名后,得到AP证书的认证结果。移动终端根据该认证结果决定是否接人该AP。
⑥私钥验证请求。这是一次双向的认证,AP和移动终端都需要确认对方是否是证书的合法持有者。私钥验证请求包含实时产生的随机数,请求对方对其签名,以验证对方是否拥有该证书的私钥。该请求可由AP或移动终端发起。
⑦私钥验证响应。包含对私钥验证请求中随机数据的签名,提供自己是证书合法持有者的证明。
⑧至此移动终端与AP之间完成了证书认证过程。若认证成功,则AP允许移动终端接入,否则解除其登录。
在证书双向认证结束后,若AP和移动终端可以利用合法证书的公钥进行会话密钥的协商,上述的私钥验证过程也可省略,实现密钥的集中、安全管理。
①采用基于公钥密码体系的证书机制,实现了移动终端与无线接人点间的双向认证。
②用户只需安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展。
WAPI具有几个重要特点:全新的高可靠性安全认证与保密体制,更可靠的二层(链路层)以下安全系统,完整的“用户-接入点”双向认证,集中式或分布集中式认证管理,灵活多样的证书管理与分发体制,可控的会话协商动态密钥,高强度的加密算法,可扩展或升级的全嵌入式认证与算法模块,支持带安全的越区切换;支持SNMP网络管理,完全符合国家标准,通过国家商用密码管理部门安全审查,符合“国家商用密码管理条例”。
由于会话密钥并没有在信道上进行传输,因此就增强了其安全性。为了进一步提高通信的保密性,WAPI还规定,在通信一段时间或者交换一定数量的数据之后,STA和AP之间可以重新协商会话密钥。WAPI采用对称密码算法实现对MAC层MSDU进行的加、解密操作。
WAPI充分考虑了市场应用,从应用模式上可分为单点式和集中式两种。单点式主要用于家庭和小型公司的小范围应用;集中式主要用于热点地区和大型企业,可以和运营商的管理系统结合起来,共同搭建安全的无线应用平台。因此,采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状,从而在根本上解决安全问题和兼容性问题。
2003年5月12日,中国宽带无线IP标准工作组,负责起草的无线局域网两项国家标准(即WAPI),由信息产业部报送国家标准化管理委员会正式颁布。WAPI标准原则上采用了WiFi联盟的IEEE 802.11国际标准,并对现行国际标准中的安全缺陷用自主创新的关键技术进行了修正。但在安全机制上有本质的区别,最关键的是问题是密钥技术,也就是加密算法的改善。
WAPI包含两个部分,一部分为WLAN鉴别基础架构(WLAN Authentication Infrastructure,WAI);另一部分为WLAN保密基础架构(WLAN Privacy Infrastructure)。分别对用户的身份鉴别及传输数据加密加以规范。其中,WAI采用基于椭圆曲线的公钥证书体制,无线客户端STA和接入点(AP)通过鉴别服务器(AS)进行双向身份鉴别。而在对传输数据的保密方面,WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密,充分保障了数据传输的安全。
WAPI充分考虑了市场应用,根据无线局域网应用的不同情况,可以以单点式和集中式等不同的模式工作;同时也可以和现有的数据通信公司的系统结合起来,支持大规模的无线接入服务。此外,用户使用场景不同,WAPI的实现和工作方式也略有差异。WAPI用户使用场景主要有以下几种。
(1)企业级用户应用场景。有AP和独立的AS(鉴别服务器),内部驻留ASU(鉴别服务单元),实现多个AP和STA证书的管理和用户身份的鉴别;
(2)小公司和家庭用户应用场景。有AP,ASU可驻留在AP中;
(3)公共热点用户应用场景。有AP,ASU驻留在接入控制服务器中;
(4)自组网用户应用场景。无AP,各STA在应用上是对等的,采用共享密钥来实现鉴别和保密。
2006年3月7日,WAPI产业联盟正式成立。联盟由联想、方正、中国移动、中国电信、中国网通、中国联通等20多家发起。国家发改委和信息产业部等领导出席,并对WAPI联盟的成立表示支持。WAPI产业联盟是由积极投身于无线局域网产品的研究、开发、制造的厂商和数据通信公司组成合作平台,联盟宗旨是整合及协调产业和社会资源,提升联盟成员在无线局域网相关领域的研究、开发、制造和服务水平,进无线局域网产业的快速健康发展,实现WAPI标准的推广和应用,保护信息安全,维护消费者利益。