导读:无线局域网(又称为WLAN,Wireless Local Area Network),其应用领域不断拓展,无线接入所具有的前所未有的连接性和自动化能够为人们带来巨大的便利和商机。与此同时,在信息安全形势日益严峻的移动互联时代,WLAN安全问题始终是导致无线局域网市场无法拓展企业、行业高端客户的第一道屏障。

随着下一代威胁和攻击手段不断升级, 将给无线局域网安全持续带来巨大威胁和挑战。本文将接着上一篇关于电信诈骗的关键问题“无线局域网安全”的分析,进一步针对中国自主的WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)技术进行分析与探究。

我们为什么需要WAPI?

无线局域网产业是当前整个数据通信领域发展最快的产业之一,因其具有灵活性、可移动性及较低的投资成本等优势,获得了家庭网络用户、中小型办公室用户、广大企业用户及电信运营商的青睐,并将引领市场走向更为广泛的应用。

然而,原有无线局域网标准因其安全机制IEEE 802.11i存在漏洞,一直以来都为全球用户所诟病,采用其标准建设将使国家公共基础设施网络存在极大的安全隐患和公共信息安全问题。随着下一代威胁和攻击手段不断升级, 将给无线局域网安全持续带来巨大威胁和挑战。

为了赢得用户的信赖并展示无线局域网生态系统的可靠性,我们亟需完善和发展现有的无线局域网安全技术以满足更高的安全防御要求。

WAPI技术概述

WAPI技术在无线局域网GB 15629.11系列国家标准中进行规范,其作用在无线局域网的数据链路层,提供身份强鉴别、端口访问控制以及数据的机密性、完整性和抗抵赖等安全服务,也是TePA[1](三元对等架构)被应用在无线通信领域的第一个实例。

WAPI实现了STA(客户端)之间或者STA(客户端)和AP (接入点)之间的双向身份鉴别和密钥管理,保障合法用户访问合法网络;实现了通信数据的机密性、完整性、重放保护、数据源鉴别等功能。WAPI的工作机制如下图所示:

图1  WAPI工作机制与运行过程

WAPI技术框架和关键构成

WAPI由WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)两部分组成。WAI提供安全策略协商、用户身份鉴别、接入控制的功能,而WPI则提供用户通信数据的保密性、完整性。WAPI的技术框架如下图所示:

图2  WAPI技术框架图

1、WAI (WLAN Authentication Infrastructure,无线局域网鉴别基础结构)

WAI主要包含两个部分:安全策略的发现与协商、鉴别和密钥协商协议。WAI不仅具有更加安全的鉴别机制、较为灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理,从而满足更多用户和更复杂的安全性要求。

(1)安全策略的发现与协商

移动终端和网络接入点通过信标和探询响应帧来发现安全策略,移动终端和网络接入点在其发出的信标和探询响应帧中包含WAPI参数集合来通告安全策略,如下图所示:

图3 安全策略的发现与协商

在发现了安全策略后,移动终端和网络接入点将进行安全策略的协商。在BSS模式下,它们通过关联过程协商安全策略,在单播密钥协商过程中进行确认;在IBSS模式下,关联过程不一定存在,因此在单播密钥协商过程中进行协商和确认。

(2)鉴别及密钥协商协议

鉴别及密钥协商协议包含两种类型:基于证书的鉴别和密钥管理、基于预共享密钥的鉴别和密钥管理。通过三个过程来实现:证书鉴别、单播密钥协商和组播密钥通告。它们的关系如下图所示。

图4 证书与预共享密钥的关系

三个子过程详细工作流程如下图所示。

图5子过程详细工作流程图

三个子过程成功完成后,双方均打开受控端口,允许通信数据利用协商或通告的单播或组播密钥进行保护传输。

2、WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构)

WPI主要包含两个部分:WPI密码封装协议、密码算法。WPI用于保护通信数据,保密采用成熟的密码算法封装模式OFB,完整性校验采用CBC-MAC模式,分组算法使用128位的分组算法SM4,为我国国家密码管理局配给的算法。

WPI对MAC子层的MPDU进行加、解密处理,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

WAPI技术优势与特点

WAPI鉴别机制是完整的无线用户和无线接入点的双向认证,身份凭证为基于公钥密码体系的公钥数字证书;其加密机制是高强度分组加密算法,采用可控的会话协商动态密钥,可基于用户、基于认证、通信过程中动态更新,安全强度高。

与现有无线局域网安全体制相比,WAPI的技术能力与特点的优越性集中体现在以下几个方面:

(1)拒绝非授权终端接入;

(2)防止合法终端接入非法网络;

(3)提供终端与网络接入设备之间的双向身份鉴别;

(4)提供无线局域网数据链路层的安全防护密钥动态协商;

(5)有效保障无线局域网链路层数据通信的机密性、完整性以及抗抵赖性;

(6)提供身份集中管理能力,确保无线局域网可管可控。

更进一步地,WAPI作为TePA技术体系的一个有机组成,可以与TePA在其他领域应用的安全技术进行深度无缝地整合,使身份系统和信息安全系统趋向统一,让未来网络从链路层到应用层构建起一个高安全、高可靠、可防御的架构。

WAPI在网络中的应用与部署

典型的WAPI应用场景由终端(STA)、接入点(AP)以及鉴别服务器(AS)等产品构成,如下图所示:

图6典型WAPI应用场景

一个完整的WLAN安全解决方案需要从公共认证标准、网络组件、通信过程、系统管理、扩展兼容性、性能测试和实现成本等方面综合权衡。WAPI在针对不同的用户需求,提出了一系列不同级别的无线安全技术策略,充分考虑和满足了单一的家庭用户、大中型企业、运营商等不同级别的安全需求。

图7  WAPI的全景应用示意图

结语:需加快WAPI的产业应用

无线局域网安全是网络安全体系的基础,对于保障移动互联网安全乃至维护整个网络安全体系的健壮性都是至关重要的。

如果把WAPI过去十多年的发展过程看成一个长期的研发积累阶段,那么目前WAPI已经进入了全面的市场开拓阶段。WAPI安全技术架构将作为一种广泛适用于无线局域网网络接入控制、支持无线局域网络承载层安全的体系架构,必将迎来更广泛的应用。


[1]TePA全称三元对等安全架构,是由我国科技人员自主创新的一种适用于信息安全领域的普适性安全架构,TePA-EA是基于TePA的实体鉴别机制,其采用在线可信第三方,通过五次传递流程,实现了实体间的双向身份鉴别,可用于访问控制、身份认证、数字签名、可信计算等安全系统中。

系列文章(三):WAPI为无线局域网WLAN安全而生——By Me的更多相关文章

  1. 系列文章(二):从WLAN的安全威胁,解析电信诈骗的技术症结——By Me

    导读:互联网的无线接入已经成为大趋势,其中无线局域网(又称为WLAN,Wireless Local AreaNetwork)以其使用方便.组网灵活.可扩展性好.成本低等优点,成为互联网特别是移动互联网 ...

  2. JVM系列文章(三):Class文件内容解析

    作为一个程序猿,只知道怎么用是远远不够的.起码,你须要知道为什么能够这么用.即我们所谓底层的东西. 那究竟什么是底层呢?我认为这不能一概而论.以我如今的知识水平而言:对于Web开发人员,TCP/IP. ...

  3. 使用无线局域网(WLAN)更需要注意加强安全防范

           下面链接介绍对WLAN的安全加密部分的内容,主要对WinAircrackPack工具的在Wlan方面的应用分析,介绍常见几种的加密方式,以及再使用无线设备时候的注意事项.650) thi ...

  4. NHibernate系列文章三:简单的增删改查询

    摘要 上一篇文章只完成了简单的NHibernate安装.配置和连接数据库.这篇文章介绍怎样实现最简单的数据库读写操作. 1. 重构ISessionFactory生成过程 将生成ISessionFact ...

  5. Hadoop 系列文章(三) 配置部署启动YARN及在YARN上运行MapReduce程序

    这篇文章里我们将用配置 YARN,在 YARN 上运行 MapReduce. 1.修改 yarn-env.sh 环境变量里的 JAVA_HOME 路径 [bamboo@hadoop-senior ha ...

  6. 《神经网络和深度学习》系列文章三:sigmoid神经元

    出处: Michael Nielsen的<Neural Network and Deep Leraning>,点击末尾“阅读原文”即可查看英文原文. 本节译者:哈工大SCIR硕士生 徐伟 ...

  7. 微设计(www.weidesigner.com)介绍系列文章(三)

    微设计(www.weidesigner.com)是一个专门针对微信公众账号提供营销推广服务而打造的第三方平台. 3.1 优惠券 优惠券是用于微信上与顾客互动的一种营销方式,不仅能够展现自己的产品,更能 ...

  8. 【微信小程序开发•系列文章六】生命周期和路由

    这篇文章理论的知识比较多一些,都是个人观点,描述有失妥当的地方希望读者指出. [微信小程序开发•系列文章一]入门 [微信小程序开发•系列文章二]视图层 [微信小程序开发•系列文章三]数据层 [微信小程 ...

  9. JVM系列文章(四):类载入机制

    作为一个程序猿,只知道怎么用是远远不够的. 起码,你须要知道为什么能够这么用.即我们所谓底层的东西. 那究竟什么是底层呢?我认为这不能一概而论.以我如今的知识水平而言:对于Web开发人员,TCP/IP ...

随机推荐

  1. Linux进程间通信(八):流套接字 socket()、bind()、listen()、accept()、connect()、read()、write()、close()

    前面说到的进程间的通信,所通信的进程都是在同一台计算机上的,而使用socket进行通信的进程可以是同一台计算机的进程,也是可以是通过网络连接起来的不同计算机上的进程.通常我们使用socket进行网络编 ...

  2. 简单的抓取淘宝关键字信息、图片的Python爬虫|Python3中级玩家:淘宝天猫商品搜索爬虫自动化工具(第一篇)

    Python3中级玩家:淘宝天猫商品搜索爬虫自动化工具(第一篇) 淘宝改字段,Bugfix,查看https://github.com/hunterhug/taobaoscrapy.git 由于Gith ...

  3. Log4j与common-logging联系与区别

    http://blog.csdn.net/courage89/article/details/29649801

  4. Chromium与CEF的多进程模型及相关參数

    CEF基于Chromium,也是多进程模型.关于进程模型.參考这里:https://www.chromium.org/developers/design-documents/process-model ...

  5. 树的子结构(JAVA)

    树的子结构 题目描述 输入两棵二叉树A,B,判断B是不是A的子结构.(ps:我们约定空树不是任意一个树的子结构) public boolean HasSubtree(TreeNode root1, T ...

  6. HTML学习笔记Day4

    一.浮动属性 1.首先要知道,div是块级元素,在页面中独占一行,自上而下排列,也就是传说中的流: 无论多么复杂的布局,其基本出发点均是:“如何在一行显示多个div元素”: 显然标准流已经无法满足需求 ...

  7. no such file or directory, open '/node_modules/.staging/

    报错 在使用npm过程中连续产生多行报错 no such file or directory, open '/node_modules/.staging/ 原因 npm版本配置不一致导致,可以尝试重新 ...

  8. Android jni中回调java的方法

    在上一篇的基础上,添加在C++代码中回调java方法. 代码如下: Demo.java 中添加callback函数, 打印一条log. package com.example.scarecrow.dy ...

  9. 28. Implement strStr() (String)

    Implement strStr(). Returns the index of the first occurrence of needle in haystack, or -1 if needle ...

  10. [EffectiveC++]item15:Provide access to raw resources in resource-managing class

    在资源管理类中提供对原始资源的访问