WAPI
来自EEWiki.
目录 |
WAPI 方案简单介绍缘起
安全认证功能对运营商本身而言是用户管理功能的关键和基础。而企业用户和商业人士需要安全可靠的服务,另外现有的无线局域网标准IEEE802.11中提出的安全方案已被广泛证实存在安全漏洞,难以满足用户的需求。对于现有的WLAN 产品它的安全隐患主要有以下几点:
1. 容易侵入
2. 未经授权使用网络服务
3. 地址欺骗和会话拦截(中间人攻击)
4. 高级入侵(企业网)
WAPI(WLAN Authentication and Privacy Infrastructure )即无线局域网认证与保密基础结构,它是针对IEEE802.11 中WEP 协议安全问题,经多方参加反复论证,充分考虑各种应用模式在中国无线局域网国家标准GB15629.11 中提出的WLAN安全解决方案。同时本方案已由ISO/IEC 授权的机构 IEEE Registration Authority(IEEE 注册权威机构)审查并获得认可分配了用于WAPI 协议的以太类型字段,这也是中国目前在该领域惟一获得批准的协议。 WAPI 的整个系统有终端STA、接入点AP和认证服务器AS。组成其中认证服务器AS 的主要功能是负责证书的发放验证与吊销等;移动终端STA 与接入点AP 上都安装有AS 发放的公钥证书,作为自己的数字身份凭证。当STA 登录至无线接入点AP 时,在使用或访问网络之前必须通过AS 进行双向身份验证,根据验证的结果只有持有合法证书的移动终端STA 才能接入持有合法证书的无线接入点AP,这样不仅可以防止非法移动终端STA 接入AP 而访问网络并占用网络资源;而且还可以防止移动终端STA 登录至非法AP 而造成信息泄漏。
WAPI 原理优点
WAPI 采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,分别用于WLAN 设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份认证、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 WAPI 具有几个重要特点:全新的高可靠性安全认证与保密体制,更可靠的二层(链路层)以下安全系统,完整的“用户-接入点”双向认证;集中式或分布集中式认证管理;证书-密钥双认证,灵活多样的证书管理与分发体制可控的会话协商动态密钥,高强度的加密算法,可扩展或升级的全嵌入式认证与算法模块,支持带安全的越区切换;支持SNMP 网络管理,完全符合国家标准,通过国家商用密码管理部门安全审查,符合“国家商用密码管理条例”。
WAPI 安全服务综述
WAPI 共定义了十种安全服务;链路验证关联、解除、链路验证解除、关联、认证、分发、集成、保密、重新关联和MSDU发送,其中六种服务(关联、解除关联、分发、集成、重新关联和MSDU发送)用于支持STA 之间的MSDU 交付。另外四种服务用来控制对WLAN 的访问和机密性。每种服务由一种或多种MAC 帧类型支持的。某些服务由MAC 管理消息支持,某些服务由MAC 数据消息支持,所有消息均利用MAC 子层媒体访问方法获得对WM(单一媒体)的访问。
WAPI 的应用
WAPI 相对于其他WLAN 的安全方案来说,不仅具有更加安全的认证机制更加灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理从而满足更多用户和更复杂的安全性要求。
完全符合中国无线局域网国家标准的WAPI 安全解决方案,具有高强度的认证保密机制和更加灵活的密钥管理技术,同时实现了整个无线网络的集中用户管理或独立小型应用模式下的单点式安全认证解决方案。能够使无线网络的安全性能超越有线LAN 的安全水准,满足各种类型的企业用户、政府机关、军事机构、家庭办公用户及特殊行业客户对不同安全级别的要求。同时在不启动WAPI 认证模式时,能够兼容原有的无线网络设备,保护了用户在此方面原有的投资。
