摘要:我國在2003年5月份提出了無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11,其中最引人注目的就是由寬帶無線IP標(biāo)準(zhǔn)工作組制定的新的安全機制WAPI�。本文主要就WAPI安全機制進行了簡要介紹,并重點描述了WAI鑒別基礎(chǔ)結(jié)構(gòu)�。關(guān)鍵詞:802.11(WLAN);GB15629.11;WAPI引言安全問題一直是困擾在WLAN靈活便捷的優(yōu)勢之上的陰影,已成為阻礙WLAN進入信息化應(yīng)用領(lǐng)域的最大障礙��。國際標(biāo)準(zhǔn)為此采用了WEP�����、WPA����、802.1x��、802.11i�����、VPN等方式來保證WLAN的安全,但都沒
摘 要:我國在2003年5月份提出了無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11,其中最引人注目的就是由寬帶無線IP標(biāo)準(zhǔn)工作組制定的新的安全機制WAPI��。本文主要就WAPI安全機制進行了簡要介紹,并重點描述了WAI鑒別基礎(chǔ)結(jié)構(gòu)����。
關(guān)鍵詞:802.11(WLAN);GB15629.11;WAPI
引言
安全問題一直是困擾在WLAN靈活便捷的優(yōu)勢之上的陰影,已成為阻礙WLAN進入信息化應(yīng)用領(lǐng)域的最大障礙。國際標(biāo)準(zhǔn)為此采用了WEP����、WPA、802.1x�、802.11i、VPN等方式來保證WLAN的安全,但都沒有從根本上解決WLAN的安全問題���。我國在2003年5月份提出了無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11,引入一種全新的安全機制—WAPI,使WLAN的安全問題再次成為人們關(guān)注的焦點���。WAPI機制已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認可,并分配了用于該機制的以太類型號(IEEE EtherType Field)0x88b4,這是我國在這一領(lǐng)域向ISO/IEC提出并獲得批準(zhǔn)的唯一的以太類型號�。
WAPI安全機制
無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI(WLAN Authentication and Privacy Infrastructure)由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI(WLAN Privacy Infrastructure)組成����。其中,WAI采用基于橢圓曲線的公鑰**體制,無線客戶端STA和接入點AP通過鑒別服務(wù)器AS進行雙向身份鑒別。而在對傳輸數(shù)據(jù)的保密方面,WPI采用了國家商用密碼管理委員會辦公室提供的對稱密碼算法進行加密和解密,充分保障了數(shù)據(jù)傳輸的安全����。
WAPI充分考慮了市場應(yīng)用,根據(jù)無線局域網(wǎng)應(yīng)用的不同情況,可以以單點式���、集中式等不同的模式工作,同時也可以和現(xiàn)有的運營商系統(tǒng)結(jié)合起來,支持大規(guī)模的運營級服務(wù)�。此外,用戶的使用場景不同,WAPI的實現(xiàn)和工作方式也略有詫異�����。WAPI的用戶使用場景主要有以下幾種:
1. 企業(yè)級用戶應(yīng)用場景:有AP和獨立的AS(鑒別服務(wù)器),內(nèi)部駐留ASU(鑒別服務(wù)單元),實現(xiàn)多個AP和STA**的管理和用戶身份的鑒別;
2. 小公司和家庭用戶應(yīng)用場景:有AP,ASU可駐留在AP中;
3. 公共熱點用戶應(yīng)用場景:有AP,ASU駐留在接入控制服務(wù)器中;
4. 自組網(wǎng)用戶應(yīng)用場景:無AP,各STA在應(yīng)用上是對等的,采用共享密鑰來實現(xiàn)鑒別和保密��。
圖1 狀態(tài)轉(zhuǎn)換圖
WAI
與WAI相關(guān)的STA的狀態(tài)轉(zhuǎn)換圖
圖1給出了與WAI相關(guān)的STA的狀態(tài)轉(zhuǎn)換圖,與ISO/IEC 8802.11-1999的5.5相比,該狀態(tài)圖將原有的“鑒別”改為了“鏈路驗證”,此外新增了專用于處理WAI過程的“鑒別狀態(tài)”���。這樣,STA總共需要維護三個狀態(tài)變量:鏈路驗證狀態(tài),關(guān)聯(lián)狀態(tài)和鑒別狀態(tài),由此決定了STA將會有四種本地狀態(tài),如圖狀態(tài)1~4所示���。其中STA和AP之間的WAI鑒別過程處于狀態(tài)3�。
鑒別系統(tǒng)結(jié)構(gòu)
圖2描述了鑒別請求者���、鑒別器和鑒別服務(wù)實體之間的關(guān)系及信息交換過程���。這里首先介紹幾個重要概念,有助于對鑒別系統(tǒng)結(jié)構(gòu)的理解。
鑒別器實體AE:駐留在AP中,在接入服務(wù)前,提供鑒別操作�����。
