传播技术研究之WAPI.ppt

传播技术研究之—— WAPI 目录 一、WAPI的概念 二、WAPI的技术内容 三、WAPI的认证体制 四、WAPI与WIFI的比较 五、WAPI的优势与不足 六、 WAPI的起源与发展历程 七、发展中遇到的阻力 八、发展前景分析 九、应用状况 一、WAPI的概念 WAPI英文全拼为Wireless LAN Authentication and Privacy Infrastructure，即无线局域网鉴别和必威体育官网网址基础结构，它是一种安全协议同时也是中国无线局域网安全强制性标准。经多方参加，反复论证，充分考虑各种应用模式，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。 同时，本方案已由ISO/IEC授权的机构IEEE Registration Authority（IEEE注册权威机构）审查并获得认可，分配了用于WAPI协议的以太类型字段，这也是中国目前在该领域惟一获得批准的协议。 总而言之，简单来说，WAPI其实是一种应用于WLAN系统的安全性协议，只是它采用了比WIFI更高级的加密方式，而更重要的意义在于它是我国自主研发的无限局域网标准，普遍使用的话可以比WIFI更有利于保护我国的信息安全。 二、 WAPI的技术内容 WAPI安全系统采用公钥密码技术，鉴权服务器AS(AS = Authentication Server，鉴别服务器)负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP（AP，Access Point）上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时，在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果，持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。 　WAPI系统中包含以下部分： 　　1、WAI鉴别及密钥管理——无线局域网鉴别基础结构（WAI）不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术，而且实现了整个基础网络的集中用户管理，从而满足更多用户和更复杂的安全性要求。 　　2、WPI数据传输保护——无线局域网必威体育官网网址基础结构（WPI）对MAC(Media Access Control, 介质访问控制)子层的MPDU（MAC Protocol Data Unit -- MAC协议数据单元）进行加、解密处理，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 三、 WAPI的认证体制 基于WAPI协议的WLAN安全网络由AP、客户端和认证服务器（AS）三个实体组成，利用公开密码体系完成客户端和AP间的双向认证。认证过程中利用椭圆曲线密码算法，客户端和AP间协商出会话密钥；对通信过程中的数据采用国家密码主管部门指定的加密算法完成加密。同时，WAPI还支持在通信过程中在一定时间间隔后或传输了一定数量的数据包后更新会话密钥。 WAPI提供有线无线一体化IP数据访问安全方案，可以在用户信息系统中提供集中的安全认证和管理方案。 图一 WAPI鉴别系统 四、 WAPI与WIFI的比较 项目 WAPI IEEE 802.11i（WIFI标准） 鉴别机制 双向鉴别（AP和MT通过AS实现相互的身份鉴别） 单向和双向鉴别（MT和Radius之间），MT不能够鉴别AP的合法性 鉴别方法 鉴别过程简单易行；身份凭证为公钥数字证书；无线用户与无线接入点地位对等，不仅实现无线接入点的接入控制，而且保证无线用户接入的安全性；客户端支持多证书，方便用户多处使用，充分保证其漫游功能 鉴别过程较为复杂；用户身份通常为用户名和口令；AP后端的Radius服务器对用户进行认证； 鉴别对象 用户 用户 密钥管理 全集中（局域网内统一由AS管理） AP和Radius服务器之间需手工设置共享密钥；AP和MT之间只定义了认证体系结构，不同厂商的具体设计可能不兼容；实现兼容性的成本较高 项目 WAPI IEEE 802.11i（WIFI标准） 安全漏洞 未查明 用户身份凭证简单，易被盗取，且被盗取后可任意使用；共享密钥管理存在安全隐患 密钥 动态（基于用户、基于鉴别、通信过程中动态更新） 动态 算法 国密办批准的分组加密算法（SMS4） 128 bit AES和128 bit RC4 五、 WAPI的优势与不足 （一）WAPI的优势 1 WAPI真正实现双向认证。 2 WAPI使用数字证书。 3 WAPI采用集中的密钥管理。 4 WAPI构建和扩展应用很便利。 5 WAPI鉴别协议相当完善。 1 WAI协议不具备身份保护的功能。 2 在认证协议中缺乏对用户私钥的验证环节。 3 密钥协商过于简单，不具备相应的安全属性。 4密钥协商算法的安全是基于加密算法的安全性。 5