安全與VPN-WAPI技術(shù)介紹-D

1、，安全與VPN-WAPI技術(shù)介紹技術(shù)介紹 安全和 VPN目 錄i目 錄 HYPERLINK l _bookmark0 WAPI HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 WAPI簡(jiǎn)介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 WAPI系統(tǒng)概述 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 WAPI的工作過(guò)程 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark2 WAPI的鑒別方式 HYPERLIN

2、K l _bookmark2 3 HYPERLINK l _bookmark3 WAPI的密鑰管理 HYPERLINK l _bookmark3 4技術(shù)介紹 安全和 VPNWAPI PAGE 5WAPIWAPI 簡(jiǎn)介WAPI 是 WLAN Authentication and Privacy Infrastructure（無(wú)線(xiàn)局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)）的簡(jiǎn)稱(chēng)，是中國(guó)提出的、以 802.11 無(wú)線(xiàn)協(xié)議為基礎(chǔ)的無(wú)線(xiàn)安全標(biāo)準(zhǔn)。WAPI 協(xié)議由以下兩部分構(gòu)成：WAI：是 WLAN Authentication Infrastructure（無(wú)線(xiàn)局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)）的簡(jiǎn)稱(chēng)，是用于無(wú)線(xiàn)局域網(wǎng)中身份鑒別和密

3、鑰管理的安全方案；WPI：是 WLAN Privacy Infrastructure（無(wú)線(xiàn)局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)）的簡(jiǎn)稱(chēng)， 是用于無(wú)線(xiàn)局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案，包括數(shù)據(jù)加密、數(shù)據(jù)鑒別和重放保護(hù)等功能。WAPI 系統(tǒng)概述基本概念WAPI系統(tǒng)中所涉及到的基本概念如 HYPERLINK l _bookmark0 表 1所示。表1 WAPI 系統(tǒng)中的基本概念概念全稱(chēng)及中文解釋說(shuō)明ACAccess Controller，接入控制器用于對(duì)WLAN 中與之關(guān)聯(lián)的FIT AP 進(jìn)行控制和管理的設(shè)備APAccess Point，接入點(diǎn)是指任何一個(gè)能通過(guò)無(wú)線(xiàn)介質(zhì)為無(wú)線(xiàn)終端提供分布式訪(fǎng)問(wèn)服務(wù)的實(shí)體ASAuthen

4、tication Server，鑒別服務(wù)器用于對(duì)用戶(hù)和設(shè)備證書(shū)進(jìn)行身份鑒別等，是基于公鑰密碼技術(shù)的WAI 中重要的組成部分BKBase Key，基密鑰用于導(dǎo)出單播會(huì)話(huà)密鑰，由證書(shū)鑒別過(guò)程協(xié)商得到或者由預(yù)共享密鑰導(dǎo)出FAT APFAT Access Point，胖 AP傳統(tǒng) AP，除了提供基本的無(wú)線(xiàn)連接功能外，還能提供安全、管理和性能增強(qiáng)功能。FAT AP 不能與 AC 關(guān)聯(lián)使用FIT APFIT Access Point，瘦 AP區(qū)別于傳統(tǒng)的FAT AP，只提供可靠、高性能的無(wú)線(xiàn)連接功能，而剝離了其它功能。FIT AP 必須與 AC 關(guān)聯(lián)使用，本文中的 AP 均指FIT APMSKMultic

5、ast Session Key，組播會(huì)話(huà)密鑰用于保護(hù)站點(diǎn)發(fā)送的組播 MPDU 的隨機(jī)值，由組播主密鑰導(dǎo)出，包括組播加密密鑰和組播完整性校驗(yàn)密鑰概念全稱(chēng)及中文解釋說(shuō)明PSKPreshared Key，預(yù)共享密鑰是發(fā)布給 STA 的靜態(tài)密鑰STAStation，站點(diǎn)即無(wú)線(xiàn)終端，本文中是指帶有支持WAPI 協(xié)議無(wú)線(xiàn)網(wǎng)卡的 PC、便攜式筆記本電腦等無(wú)線(xiàn)終端USKUnicast Session Key，單播會(huì)話(huà)密鑰是由 BK 通過(guò)偽隨機(jī)函數(shù)導(dǎo)出的隨機(jī)值，分為四個(gè)部分：?jiǎn)尾ゼ用苊荑€、單播完整性校驗(yàn)密鑰、消息鑒別密鑰和密鑰加密密鑰WAPI userWAPI 用戶(hù)是指使用WAPI 安全模式進(jìn)行認(rèn)證的用戶(hù)，系統(tǒng)

6、所支持的最大WAPI 用戶(hù)數(shù)量為 1024 個(gè)。本文中也稱(chēng)為STA系統(tǒng)組成在一個(gè)典型的WAPI系統(tǒng)中，如 HYPERLINK l _bookmark1 圖 1所示，WAPI用戶(hù)通過(guò)AP接入有線(xiàn)IP網(wǎng)絡(luò)。首先， WAPI用戶(hù)與AP進(jìn)行 802.11 鏈路協(xié)商，之后AP為該用戶(hù)觸發(fā)WAI鑒別過(guò)程，配合AS完成與用戶(hù)的雙向認(rèn)證。當(dāng)認(rèn)證通過(guò)后，AP會(huì)發(fā)起對(duì)該用戶(hù)的密鑰協(xié)商，并使用協(xié)商出的密鑰通過(guò)WPI向該WAPI用戶(hù)提供加、解密服務(wù)。IP networkACSwitchFIT APSwitchWireless network managementFIT APSoftware serverASIPSWA

7、PI userWAPI userFIT AP圖1 WAPI 系統(tǒng)典型組網(wǎng)圖WAPI userWAPI 的工作過(guò)程在一個(gè)采用了WAPI安全關(guān)聯(lián)機(jī)制的WLAN中，當(dāng)STA需要訪(fǎng)問(wèn)該WLAN時(shí)，通過(guò)被動(dòng)偵聽(tīng)AP的信標(biāo)（Beacon）幀或主動(dòng)發(fā)送探詢(xún)幀（主動(dòng)探詢(xún)過(guò)程如 HYPERLINK l _bookmark2 圖 2所示）以識(shí)別AP所采用的安全策略：若 AP 采用證書(shū)鑒別方式，AP 將發(fā)送鑒別激活分組啟動(dòng)證書(shū)鑒別過(guò)程，當(dāng)證書(shū)鑒別過(guò)程成功結(jié)束后，AP 和STA 再進(jìn)行單播密鑰協(xié)商和組播密鑰通告；若 AP 采用預(yù)共享密鑰鑒別方式，AP 將與 STA 直接進(jìn)行單播密鑰協(xié)商和組播密鑰通告。探詢(xún)請(qǐng)求探詢(xún)響應(yīng)

8、（WAPI信息元素）鏈路驗(yàn)證請(qǐng)求鏈路驗(yàn)證響應(yīng)關(guān)聯(lián)請(qǐng)求（WAPI信息元素）關(guān)聯(lián)響應(yīng)STAAP圖2 主動(dòng)探詢(xún)過(guò)程WAPI 的鑒別方式WAPI 支持如下兩種鑒別方式：證書(shū)鑒別方式和預(yù)共享密鑰鑒別方式。證書(shū)鑒別方式數(shù)字證書(shū)是一種經(jīng) PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）證書(shū)授權(quán)中心簽名的、包含公開(kāi)密鑰及用戶(hù)相關(guān)信息的文件，是網(wǎng)絡(luò)用戶(hù)的數(shù)字身份憑證。WAPI 系統(tǒng)中所使用的用戶(hù)證書(shū)為數(shù)字證書(shū)，通過(guò) AS 對(duì)用戶(hù)證書(shū)進(jìn)行驗(yàn)證，可以唯一確定 WAPI 用戶(hù)的身份及其合法性。證書(shū)鑒別是基于STA和AP雙方的證書(shū)所進(jìn)行的鑒別。鑒別前STA和AP必須預(yù)先擁有各自的證書(shū)，然后通過(guò)

9、AS對(duì)雙方的身份進(jìn)行鑒別，根據(jù)雙方產(chǎn)生的臨時(shí)公鑰和臨時(shí)私鑰生成BK，并為隨后的單播密鑰協(xié)商和組播密鑰通告做好準(zhǔn)備。證書(shū)鑒別的過(guò)程如 HYPERLINK l _bookmark2 圖 3所示。鑒別激活分組接入鑒別請(qǐng)求分組證書(shū)鑒別請(qǐng)求分組證書(shū)鑒別響應(yīng)分組(5) 接入鑒別響應(yīng)分組STAAPAS圖3 證書(shū)鑒別過(guò)程在進(jìn)行證書(shū)鑒別時(shí)，有如下兩種證書(shū)鑒別模式可供選擇：標(biāo)準(zhǔn)鑒別模式：即基于 WAPI 標(biāo)準(zhǔn)協(xié)議的 UDP 模式。在該模式下，AP 與 AS 之間的 WAI 協(xié)議報(bào)文將通過(guò)普通的 UDP 方式進(jìn)行傳輸，最終完成證書(shū)鑒別。該模式不支持對(duì)用戶(hù)的計(jì)費(fèi)功能。AAA 鑒別模式：是 H3C 私有的一種鑒別模式。

10、在該模式下，AP 與 AS 之間通過(guò) RADIUS 報(bào)文完成證書(shū)鑒別，WAI 協(xié)議報(bào)文將承載于 RADIUS 協(xié)議報(bào)文之上（要求 RADIUS 服務(wù)器支持 WAPI 功能），作為 RADIUS 報(bào)文的一個(gè)私有屬性。此外，該模式還能夠提供對(duì)用戶(hù)的授權(quán)和計(jì)費(fèi)功能（需要 RADIUS 服務(wù)器配合）。預(yù)共享密鑰鑒別方式預(yù)共享密鑰鑒別是基于 STA 和AP 雙方的密鑰所進(jìn)行的鑒別。鑒別前 STA 和 AP 必須預(yù)先配置有相同的密鑰，即預(yù)共享密鑰。鑒別時(shí)直接將預(yù)共享密鑰轉(zhuǎn)換為 BK，然后進(jìn)行單播密鑰協(xié)商和組播密鑰通告。WAPI 的密鑰管理STA 與 AP 之間交互的單播數(shù)據(jù)利用單播密鑰協(xié)商過(guò)程所協(xié)商出的單播加密密鑰和單播完整性校驗(yàn)密鑰進(jìn)行保護(hù)；AP 利用自己通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)密鑰對(duì)其發(fā)送的廣播/組播數(shù)據(jù)進(jìn)行保護(hù)，而 STA 則采用 AP 通告的、由組播主密鑰導(dǎo)出的組播加密密鑰和組播完整性校驗(yàn)