WAPI
目录
WAPI 像红外线、蓝牙、GPRS、CDMA1X等协议一样,是
1、出于安全性考虑。
2013年
WAPI包括两部分:WAI(WLANAuthentication Infrastructure)和WPI(WLAN Privacy Infrastructure)。WAI和WPI分别实现对用户身份的鉴别和对传输的业务数据加密,其中WAI采用公开密钥密码体制,利用公钥证书来对WLAN系统中的STA和AP进行认证;WPI则采用对称密码算法实现对MAC层MSDU的加、解密操作。
(1)WAPI 接入控制实体
WAPI接入控制中包括以下4个实体。
鉴别服务单元ASU(authentication service unit),基本功能是实现对用户证书的管理和用户身份的鉴别等,是基于公钥密码技术的WAI 鉴别基础结构中重要的组成部分。ASU管理的证书里包含证书颁发者(ASU)的公钥和签名以及证书持有者STA和AP的公钥和签名,并采用WAPI特有的椭圆曲线作为数字签名算法。
鉴别器实体AE(Authenticator Entity),为鉴别请求者实体在接入服务之前提供鉴别操作的实体。该实体驻留在AP 设备或者AC设备中。鉴别请求者实体ASUE(Authentication SUpplicant Entity),在接入服务之前请求进行鉴别操作的实体。该实体驻留在STA 中。
鉴别服务实体ASE(Authentication Service Entity),为鉴别器实体和鉴别请求者实体提供相互鉴别服务的实体。该实体驻留在ASU 中。
(2)WAPI 信息元素
为了使STA能够识别启用WAPI无线安全机制,在信标帧、关联请求帧、重新关联请求帧和探询请求帧中携带WAPI信息元素。对于AP来说,需要在发出信标帧和探询响应帧中,根据当前AP上WAPI的配置加入相应的WAPI信息元素。同时,解析关联请求帧和重新关联请求帧,只有在符合当前AP上WAPI的配置条件时才能和该STA进行后续的协商。WAPI信息元素的格式如图1所示,该元素长度最大不超过255Byte。
其中元素标识ID应为68。长度字段标识WAPI信息元素中除元素标识ID和长度字段以外字段的字节数。版本字段标识WAPI协议的版本号,本规范中版本号为1,其他值保留。鉴别和密钥管理(AKM)套件计数字段标识STA支持的鉴别和密钥管理机制个数。鉴别和密钥管理(AKM)套件字段包含STA支持的鉴别和密钥管理机制,m为鉴别和密钥管理套件计数字段的值。单播密码套件计数字段标识STA支持的单播密码算法个数。单播密码套件字段包含STA支持的单播密码算法,n 为单播密码套件计数字段的值。组播密码套件字段包含STA支持的组播密码算法。WAPI能力信息,比特0为预鉴别标识位,其他位保留。BKID计数和列表字段,BKID计数和列表字段仅用于发往AP的关联或重新关联请求帧中。BKID计数字段表示BKID列表字段中包含的BKID个数。
(3)WAPI 身份鉴别和密钥协商
WAPI鉴别及密钥管理的方式有两种,即基于证书和基于预共享密钥PSK。若采用基于证书的方式,整个过程包括证书鉴别、单播密钥协商与组播密钥通告;若采用预共享密钥的方式,整个过程则为单播密钥协商与组播密钥通告。这几个过程的交互如图2,图3,图4所示,
(4)WAPI 报文封装和加解密
WPI保密基础结构对MAC子层的MPDU进行加、解密处理,但对于WAI协议分组不进行加解密处理。经过加密处理后的MPDU封装结构如图5所示。
其中,MAC头当地址4 存在时,长度为30个字节;当地址4不存在时,长度为24个字节。当MAC 头包含服务质量控制(QoS)子字段时,长度再增加两个字节,目前WAPI协议中没有定义无线QoS的操作,即不支持无线QoS。KeyIdx表示USKID或MSKID或STAKeyID的索引值,这个报文使用的会话密钥索引值,保留字段默认值为0。PN字段表示一个整数,标识数据分组
序号,该数据分组序号作为OFB、CBC-MAC模式下数据加密和校验时所需的IV。数据分组序号PN字段按照小端模式编码发送。PDU(数据)字段为MPDU数据,最大长度为2278=2312——18(WPI头)——16(MIC)。FCS字段为MAC帧格式的帧校验序列。MIC字段是利用完整性校验密钥采用CBCMAC工作方式对完整性校验数据计算得到,图6为MIC计算时完整性校验数据的组成结构。
项目 | WAPI | IEEE 802.11(WIFI标准) | |
鉴别 | 鉴别机制 | 双向鉴别(AP和MT通过AS实现相互的身份鉴别) | 单向和双向鉴别(MT和Radius之间),MT不能够鉴别AP的合法性 |
鉴别方法 | 鉴别过程简单易行;身份凭证为公钥数字证书;无线用户与无线接入点地位对等,不仅实现无线接入点的接入控制,而且保证无线用户接入的安全性;客户端支持多证书,方便用户多处使用,充分保证其漫游功能 | 鉴别过程较为复杂;用户身份通常为用户名和口令;AP后端的Radius服务器对用户进行认证; | |
鉴别对象 | 用户 | 用户 | |
密钥管理 | 全集中(局域网内统一由AS管理) | AP和Radius服务器之间需手工设置共享密钥;AP和MT之间只定义了认证体系结构,不同厂商的具体设计可能不兼容;实现兼容性的成本较高 | |
安全漏洞 | 未查明 | 用户身份凭证简单,易被盗取,且被盗取后可任意使用;共享密钥管理存在安全隐患 | |
加密 | 密钥 | 动态(基于用户、基于鉴别、通信过程中动态更新) | 动态 |
算法 | 国密办批准的分组加密算法(SMS4) | 128 bit AES和128 bit RC4 | |
1992年,中国开始无线局域网研究。
1994年,中国第一台
WAPI是中国自主研发的,拥有自主知识产权的无线局域网安全技术标准。相比WiFi,对于用户而言,WAPI可以使笔记本电脑以及其他终端产品更加安全。WAPI的安全性虽然获得了包括美国在内的国际上的认可,但是一直都受到WIFI联盟商业上的封锁,一是宣称技术被中国掌握不安全,所谓的中国威胁论;二是宣称与现有WIFI设备不兼容。由于美国的阻击,WiFi已主导市场。
市面上单纯应用WAPI安全协议标准的产品很少,无线路由器暂时没有,笔记本电脑只有联想、索尼和方正曾经推出过。在实际操作中,WAPI一直处于未采用、边缘化的状态。
实际上无线设备是可以同时支持WIFI和WAPI的标准的,只需要软件上添加WAPI证书就可以了,不存在硬件成本或者所谓的分裂整个无线世界的问题。而采用有严重缺陷的WiFi标准建设将使国家公共基础设施网络存在极大的安全隐患和公共信息安全问题。
WAPI和WiFi能否兼容
早在2006年,着名电信专家、北京邮电大学教授阚凯力就表示,WAPI与WiFi的唯一区别就是在认证保密方面,WAPI比WiFi强。虽然WiFi与WAPI不兼容,但应用WAPI标准的笔记本电脑或者其他终端产品,可以自动切换并接收WIFI信号,拿到国外也一样。
WAPI联盟的技术专家告诉记者,在国内全面推广WAPI,并非需要购买单独的网卡才可以使用WAPI。“只要英特尔愿意在网上公布迅驰笔记本的WAPI软件补丁或直接把驱动嵌入进操作系统中安装,迅驰笔记本或者采用WiFi标准的无线产品都可以应用WAPI标准的无线网络。”该专家表示,“这件事对于英特尔来说是轻而易举的事情。问题的关键是英特尔愿不愿意,而不是能不能!”
由于在WIFI联盟的抵制,为了兼容他们生产的设备,即使支持WAPI的设备,事实上也仍然用的WIFI加密标准,因此WAPI也就成了摆设。例如小米手机、iPhone是支持WAPI加密信号的,但是真要用,需要无线路由器也按WAPI协议发射信号。否则在WIFI网络环境下,手机终端仍然执行的WIFI协议,这也正是WAPI在国内没有存在感的原因。
WAPI产业内部人士介绍,WAPI其实不像外界想象的那样,这些年停滞不前,实际上是在持续的发展和推进。目前,WAPI产业链已颇具厚度,具有WAPI功能的芯片全球出货量累计已超过40亿颗,移动终端产品型号超过7000款/近6亿部。国内三大电信运营商建设的公共无线局域网络设备(AP/AC)均具备WAPI能力(累计约700万个无线局域网热点),并已在电力、金融、教育等行业逐步推广。
运营商
中国电信集团公司
中国联合网络通信集团有限公司
标准研发
西安西电捷通无线网络通信股份有限公司
国家密码管理局商用密码研究中心
中太数据(深圳)有限公司
北京中电华大电子设计有限责任公司
北京五龙电信技术有限公司
北京同耀通电科技有限公司
深圳市明华澳汉科技股份有限公司
北京网贝合创科技有限公司
华为技术有限公司
迈普通信技术股份有限公司
北京六合万通微电子技术有限公司
国家无线电监测中心
广州杰赛科技股份有限公司
中兴通讯股份有限公司
北京新岸线移动多媒体技术有限公司
芯片设计制造
北京中电华大电子设计有限责任公司
北京六合万通微电子技术有限公司
上海鼎芯科技有限公司
北京朗波芯微技术有限公司
北京天一集成科技有限公司
大唐微电子技术有限公司
上海润欣科技有限公司
优比无线技术(深圳)有限公司
赛芯电子技术(上海)有限公司
雷凌科技股份有限公司
瑞晟微电子(苏州)有限公司
联发博动科技(北京)有限公司(联发科)
晨星软件研发(深圳)有限公司
生产制造
深圳市鑫金浪电子有限公司
广州杰赛科技股份有限公司
深圳市普天宜通科技有限公司
深圳国人通信有限公司
深圳市共进电子有限公司
宝丰ATI(惠州)电子科技有限公司
终端及解决方案
北大方正集团有限公司
联想(北京)有限公司
海信集团有限公司
青岛海尔科技有限公司
大唐移动通信设备有限公司
北京登合科技有限公司
宇龙计算机通信科技(深圳)有限公司
上海润欣科技有限公司
珠海市魅族科技有限公司
联发博动科技(北京)有限公司(联发科)
科通宽带技术(深圳)有限公司
广东欧珀移动通信有限公司
网络设备
北京汉铭信通科技有限公司
大唐电信科技股份有限公司
北京华安广通科技发展有限公司
深圳国人通信有限公司
美国安移通网络公司北京代表处Aruba
京信通信技术(广州)有限公司
广州市新邮通信设备有限公司
广州杰赛科技股份有限公司
中太数据(深圳)有限公司
北京联信永益信息技术有限公司
弘浩明传科技(北京)有限公司
南京智达康无线通信科技股份有限公司
上海欣民通信技术有限公司
福建三元达通讯股份有限公司
杭州华三通信技术有限公司
北京傲天动联技术有限公司
武汉虹信通信技术有限责任公司
广州市卓纪思网络科技有限公司
奥泰尔科技(深圳)有限公司
湖南城市热点无线通信有限公司
网件(北京)网络技术有限公司
创原天地科技有限公司
阿德利亚科技(北京)有限责任公司
北京网贝合创科技有限公司
深圳市华讯方舟科技有限公司
北京邦讯技术有限公司
增值服务
中太数据(深圳)有限公司
东蓝数码有限公司
城市热点资讯有限公司
标准检测平台、检测机构
国家密码管理局商用密码研究中心
北京五龙电信技术有限公司
北京同耀通电科技有限公司
上海市数字证书认证中心有限公司
其它
国家密码管理局商用密码研究中心
上海迈创电子有限公司
附件列表
故事内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
如果您认为本故事还有待完善,请 编辑
上一篇 中央军委巡视工作条例 下一篇 邓之诚