信息安全技術(shù) 無(wú)線局域網(wǎng)客戶(hù)端安全技術(shù)要求（評(píng)估保證級(jí)2級(jí)增強(qiáng)）編制說(shuō)明

信息安全技術(shù)無(wú)線局域網(wǎng)客戶(hù)端安全技術(shù)要求（評(píng)估保證級(jí)2級(jí)增強(qiáng)）（征求意見(jiàn)稿）編制說(shuō)明中國(guó)信息安全測(cè)評(píng)中心二〇一四年七月七日IPAGE2PAGE32任務(wù)來(lái)源為了建立和完善國(guó)家信息安全標(biāo)準(zhǔn)體系，貫徹和落實(shí)《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》（中辦發(fā)[2003]27號(hào)）的文件精神，根據(jù)我國(guó)信息化建設(shè)的實(shí)際需要，中國(guó)信息安全測(cè)評(píng)中心遵照國(guó)際通用的測(cè)評(píng)準(zhǔn)則“通用準(zhǔn)則CC（即：ISO/IEC15408）”，等同采用國(guó)家標(biāo)準(zhǔn)GB/T18336研究制定了一系列信息產(chǎn)品保護(hù)輪廓標(biāo)準(zhǔn)，為實(shí)現(xiàn)信息技術(shù)和信息產(chǎn)品的分級(jí)安全測(cè)評(píng)，以及國(guó)家的等級(jí)保護(hù)提供理論支撐和技術(shù)支持。本標(biāo)準(zhǔn)是關(guān)于無(wú)線局域網(wǎng)客戶(hù)端的安全技術(shù)要求。本標(biāo)準(zhǔn)是全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)2007-2008年度下達(dá)的并由中國(guó)信息安全測(cè)評(píng)中心牽頭，由中國(guó)科學(xué)院研究生院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室共同參與承擔(dān)的國(guó)家標(biāo)準(zhǔn)制定項(xiàng)目。協(xié)作單位本項(xiàng)目由中國(guó)信息安全測(cè)評(píng)中心牽頭編寫(xiě)，其他主要參與單位包括：北京郵電大學(xué)、中國(guó)科學(xué)院研究生院信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室、西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司。主要工作過(guò)程2007年8月至2007年12月：項(xiàng)目的立項(xiàng)、啟動(dòng)和技術(shù)準(zhǔn)備階段。2008年1月至2008年9月：制定標(biāo)準(zhǔn)草案，并組織內(nèi)部和外部專(zhuān)家進(jìn)行討論與審議。2008年10月至2009年3月：采取小型研討會(huì)等方式，廣泛聽(tīng)取業(yè)界和技術(shù)專(zhuān)家的意見(jiàn)，進(jìn)一步完善標(biāo)準(zhǔn)草案。2008年11月16日，安標(biāo)委組織召開(kāi)專(zhuān)家評(píng)審會(huì)。2009年3月26日，安標(biāo)委組織召開(kāi)專(zhuān)家評(píng)審會(huì)。2009年4月15日，根據(jù)安標(biāo)委專(zhuān)家意見(jiàn)，對(duì)標(biāo)準(zhǔn)草案進(jìn)行修訂并提交新版草案和修訂意見(jiàn)。2009年5月15日，中心組織結(jié)題預(yù)審。2010年4月29日，中心組織中期檢查。2011年5月18日，中心組織內(nèi)部預(yù)驗(yàn)收。2012年2月15日，中心組織階段性檢查。2013年6月19日，安標(biāo)委WG5組標(biāo)準(zhǔn)專(zhuān)家評(píng)審會(huì)議，根據(jù)專(zhuān)家意見(jiàn)，對(duì)標(biāo)準(zhǔn)草案進(jìn)行修訂并提交新版草案和修訂意見(jiàn)。2014年6月2-15日，安標(biāo)委組織專(zhuān)家對(duì)標(biāo)準(zhǔn)進(jìn)行投票，投票結(jié)果為：贊成但需修改。項(xiàng)目組已針對(duì)專(zhuān)家意見(jiàn)逐條進(jìn)行應(yīng)答、解釋或改正。標(biāo)準(zhǔn)主要起草人本標(biāo)準(zhǔn)主要起草人：郭濤、朱龍華、崔寶江、劉威鵬、張翀斌、張普含、時(shí)志偉、郝永樂(lè)、王眉林、胡亞楠。編制目標(biāo)本標(biāo)準(zhǔn)使用GB/T18336-2008定義的安全描述的組件與語(yǔ)法實(shí)例化該類(lèi)產(chǎn)品或系統(tǒng)的信息保護(hù)輪廓，包括安全功能要求與安全保證要求。本標(biāo)準(zhǔn)針對(duì)具體的安全環(huán)境（用“假設(shè)”、“威脅”和“組織安全策略”描述），以此為基礎(chǔ)分層、邏輯、合理地展開(kāi)“安全目的”、“安全功能要求”、“安全保證要求”，并驗(yàn)證與說(shuō)明技術(shù)的正確性、覆蓋的完備性、對(duì)應(yīng)關(guān)系的一致性等。本標(biāo)準(zhǔn)為無(wú)線局域網(wǎng)客戶(hù)端類(lèi)產(chǎn)品定義了一組與具體實(shí)現(xiàn)無(wú)關(guān)的、完整的、緊密關(guān)聯(lián)的最小安全要求集合；全面描述了無(wú)線局域網(wǎng)客戶(hù)端使用的環(huán)境和面臨的威脅；陳述了相應(yīng)保證級(jí)別的無(wú)線局域網(wǎng)客戶(hù)端應(yīng)該達(dá)到的安全目的和必須滿(mǎn)足的安全要求。它為無(wú)線局域網(wǎng)客戶(hù)端類(lèi)產(chǎn)品的開(kāi)發(fā)、測(cè)評(píng)和應(yīng)用提供了內(nèi)在一致的交互平臺(tái)，作為測(cè)評(píng)基準(zhǔn)，它具有很好的時(shí)效性、連貫性、易于理解與操作的特點(diǎn)。編制原則本標(biāo)準(zhǔn)的編制立足于我國(guó)IT產(chǎn)業(yè)發(fā)展的現(xiàn)狀，規(guī)范與指導(dǎo)產(chǎn)品生產(chǎn)者的技術(shù)與能力。編制過(guò)程中本著“科學(xué)、合理、系統(tǒng)、適用”的原則，注重實(shí)用性、易讀性、可操作性以及開(kāi)發(fā)和評(píng)估過(guò)程中的技術(shù)含量。主要內(nèi)容計(jì)算機(jī)無(wú)線聯(lián)網(wǎng)方式是在有線網(wǎng)的基礎(chǔ)上發(fā)展起來(lái)的，使網(wǎng)上的計(jì)算機(jī)具有可移動(dòng)性，能快速、方便地解決以有線方式不易實(shí)現(xiàn)的網(wǎng)絡(luò)信道的聯(lián)通問(wèn)題。WLAN(WirelessLocalAreaNetwork)是指以無(wú)線信道作傳輸媒介的計(jì)算機(jī)局域網(wǎng)。WLAN的常見(jiàn)形式是把一臺(tái)（遠(yuǎn)程）計(jì)算機(jī)以無(wú)線方式聯(lián)入一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中，作為網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)，使之具有網(wǎng)上工作站所具有的同樣的功能，獲得網(wǎng)絡(luò)上的所有服務(wù)，或把數(shù)個(gè)（有線或無(wú)線）局域網(wǎng)聯(lián)成一個(gè)區(qū)域網(wǎng)；當(dāng)然，也可采用全無(wú)線方式構(gòu)成一個(gè)局域網(wǎng)或在一個(gè)局域網(wǎng)中混合使用有線與無(wú)線方式。此時(shí)，以無(wú)線方式入網(wǎng)的計(jì)算機(jī)將具有可移動(dòng)性：在一定的區(qū)域移動(dòng)而同時(shí)又隨時(shí)和網(wǎng)絡(luò)保持聯(lián)系。由于WLAN可以在不受地理?xiàng)l件限制、通信不便利以及移動(dòng)通信的情況下組建計(jì)算機(jī)網(wǎng)絡(luò)，因此具有有線網(wǎng)絡(luò)不可取代的優(yōu)勢(shì)。WLAN通常由多個(gè)不同的組件構(gòu)成，取決于系統(tǒng)體系結(jié)構(gòu)的通用模式。WLAN通常有基礎(chǔ)模式和對(duì)等模式兩種模式。其中，基礎(chǔ)模式WLAN是傳統(tǒng)有線局域網(wǎng)的擴(kuò)展，通常由一個(gè)WLAN接入系統(tǒng)和多個(gè)WLAN客戶(hù)端構(gòu)成，WLAN客戶(hù)端通過(guò)WLAN接入系統(tǒng)與有線網(wǎng)絡(luò)相連，每個(gè)WLAN接入系統(tǒng)可以提供一個(gè)專(zhuān)有的局域網(wǎng)段。對(duì)等模式WLAN指的是WLAN客戶(hù)端之間通過(guò)無(wú)線直接相連而組成的點(diǎn)對(duì)點(diǎn)通信方式。WLAN接入系統(tǒng)和WLAN客戶(hù)端在邏輯上描述了安全相關(guān)的硬件和軟件，WLAN接入系統(tǒng)是WLAN和傳統(tǒng)有線網(wǎng)絡(luò)的分界線。WLAN客戶(hù)端是指以無(wú)線方式安全地訪問(wèn)無(wú)線網(wǎng)絡(luò)或者通過(guò)WLAN接入系統(tǒng)訪問(wèn)有線網(wǎng)絡(luò)的一個(gè)組件，從物理部件上面來(lái)講，也就是指終端系統(tǒng)中存在的無(wú)線網(wǎng)卡或者無(wú)線訪問(wèn)模塊部分，而不是指整個(gè)終端。本標(biāo)準(zhǔn)主要針對(duì)WLAN客戶(hù)端提出一套與具體實(shí)現(xiàn)無(wú)關(guān)的安全技術(shù)要求。本標(biāo)準(zhǔn)將界定WLAN客戶(hù)端所在安全環(huán)境的假設(shè)、基于所保護(hù)的資產(chǎn)而受到的威脅以及應(yīng)當(dāng)采用的組織安全策略，導(dǎo)出應(yīng)達(dá)到的安全目的，在此基礎(chǔ)上，確定WLAN客戶(hù)端應(yīng)當(dāng)具備的安全功能要求和研發(fā)WLAN客戶(hù)端應(yīng)具備的安全保證要求以及必須明確的安全保證級(jí)別，對(duì)安全要求組件進(jìn)行完備性分析和相互支持的論證。本標(biāo)準(zhǔn)主要包括以下幾方面的內(nèi)容：1、準(zhǔn)確描述評(píng)估對(duì)象（TOE），即WLAN客戶(hù)端。2、詳細(xì)描述TOE的預(yù)期使用環(huán)境，包括以下三個(gè)方面：假設(shè)：描述在給定環(huán)境下安全使用TOE的一些前提條件。威脅：提出由TOE軟、硬件技術(shù)及其環(huán)境面臨的風(fēng)險(xiǎn)與威脅。組織策略：確定TOE必須遵守的組織安全策略規(guī)則。3、定義TOE及其環(huán)境所應(yīng)達(dá)到的安全目的。4、根據(jù)通用準(zhǔn)則（國(guó)標(biāo)GB/T18336-2008）第二部分和第三部分的安全功能要求和安全保證要求，提出一組與實(shí)現(xiàn)無(wú)關(guān)的安全要求組件。此外，作為配套材料，本標(biāo)準(zhǔn)還包括一套編制說(shuō)明文件和一份宣貫培訓(xùn)配套教材，在這兩份文件中，利用國(guó)標(biāo)GB/T18336-2008中關(guān)于保護(hù)輪廓，即安全技術(shù)要求的基本原理證明了TOE和TOEIT環(huán)境的安全目的滿(mǎn)足已證實(shí)的策略和威脅，并對(duì)安全要求組件進(jìn)行了正確性、完備性分析和相互支持的論證。WLAN安全機(jī)制對(duì)比分析在制定本標(biāo)準(zhǔn)的過(guò)程中，我們認(rèn)真研究了國(guó)內(nèi)外主流的無(wú)線局域網(wǎng)標(biāo)準(zhǔn)的安全機(jī)制WAPI、WEP、WPA與WPA2，并形成了技術(shù)研究報(bào)告。無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)設(shè)施無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)設(shè)施（WirelessLANAuthenticationandPrivacyInfrastructure，WAPI）由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WirelessLANAuthenticationInfrastructure，WAI）和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WirelessLANPrivacyInfrastructure，WPI）組成。WAPI涉及的密碼算法按照《商用密碼管理?xiàng)l例》執(zhí)行。1.無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI鑒別服務(wù)器是基于公鑰密碼技術(shù)的WAI中最重要的組成部分，它的基本功能是實(shí)現(xiàn)對(duì)WLAN客戶(hù)端用戶(hù)證書(shū)的管理和WLAN客戶(hù)端用戶(hù)身份鑒別等。當(dāng)WLAN客戶(hù)端關(guān)聯(lián)或重新關(guān)聯(lián)到WLAN接入系統(tǒng)時(shí)，二者之間須進(jìn)行相互身份鑒別。若鑒別成功，則WLAN接入系統(tǒng)允許WLAN客戶(hù)端接入，否則解除其關(guān)聯(lián)。整個(gè)過(guò)程包括證書(shū)鑒別和會(huì)話密鑰的協(xié)商（如圖1所示）。證書(shū)鑒別的過(guò)程：鑒別激活：當(dāng)WLAN客戶(hù)端關(guān)聯(lián)或重新關(guān)聯(lián)到WLAN接入系統(tǒng)時(shí)，WLAN接入系統(tǒng)向WLAN客戶(hù)端發(fā)送鑒別激活以啟動(dòng)整個(gè)鑒別過(guò)程。接入鑒別請(qǐng)求：WLAN客戶(hù)端向WLAN接入系統(tǒng)發(fā)出接入鑒別請(qǐng)求，即將WLAN客戶(hù)端證書(shū)與WLAN客戶(hù)端當(dāng)前系統(tǒng)時(shí)間（鑒別請(qǐng)求時(shí)間）發(fā)往WLAN接入系統(tǒng)。證書(shū)鑒別請(qǐng)求：WLAN接入系統(tǒng)收到WLAN客戶(hù)端接入鑒別請(qǐng)求后，首先記錄鑒別請(qǐng)求時(shí)間，然后向鑒別服務(wù)器發(fā)出證書(shū)鑒別請(qǐng)求，即將WLAN客戶(hù)端證書(shū)、接入鑒別請(qǐng)求時(shí)間、WLAN接入系統(tǒng)證書(shū)及WLAN接入系統(tǒng)的私鑰對(duì)它們的簽名構(gòu)成的證書(shū)鑒別請(qǐng)求發(fā)送給鑒別服務(wù)器。證書(shū)鑒別響應(yīng)：鑒別服務(wù)器收到WLAN接入系統(tǒng)的證書(shū)鑒別請(qǐng)求后，驗(yàn)證WLAN接入系統(tǒng)的簽名和證書(shū)的有效性，如不正確，則鑒別失敗，否則進(jìn)一步驗(yàn)證WLAN客戶(hù)端證書(shū)。驗(yàn)證完畢后，鑒別服務(wù)器將WLAN客戶(hù)端證書(shū)鑒別結(jié)果、WLAN接入系統(tǒng)證書(shū)鑒別結(jié)果和鑒別服務(wù)器對(duì)它們的簽名構(gòu)成證書(shū)鑒別響應(yīng)發(fā)回給WLAN接入系統(tǒng)。接入鑒別響應(yīng)：WLAN接入系統(tǒng)對(duì)鑒別服務(wù)器返回的證書(shū)鑒別響應(yīng)進(jìn)行簽名驗(yàn)證，得到WLAN客戶(hù)端證書(shū)鑒別結(jié)果，根據(jù)此結(jié)果對(duì)WLAN客戶(hù)端進(jìn)行接入控制。WLAN接入系統(tǒng)將收到的證書(shū)鑒別響應(yīng)回送至WLAN客戶(hù)端。WLAN客戶(hù)端驗(yàn)證鑒別服務(wù)器的簽名后，得到WLAN接入系統(tǒng)證書(shū)的鑒別結(jié)果，根據(jù)該結(jié)果決定是否接入該WLAN接入系統(tǒng)。至此，WLAN接入系統(tǒng)與WLAN客戶(hù)端完成了證書(shū)鑒別的過(guò)程。若鑒別成功，則WLAN接入系統(tǒng)允許WLAN客戶(hù)端接入，否則解除其關(guān)聯(lián)。WLAN接入系統(tǒng)與WLAN客戶(hù)端鑒別成功之后進(jìn)行會(huì)話密鑰協(xié)商，會(huì)話密鑰協(xié)商過(guò)程如下：密鑰協(xié)商請(qǐng)求：WLAN接入系統(tǒng)產(chǎn)生一串隨機(jī)數(shù)據(jù)，利用WLAN客戶(hù)端的公鑰加密后，向WLAN客戶(hù)端發(fā)出密鑰協(xié)商請(qǐng)求。此請(qǐng)求包含請(qǐng)求方所有的備選會(huì)話算法信息。密鑰協(xié)商響應(yīng)：WLAN客戶(hù)端收到WLAN接入系統(tǒng)發(fā)來(lái)的密鑰協(xié)商請(qǐng)求后，首先進(jìn)行會(huì)話算法協(xié)商，若響應(yīng)方不支持請(qǐng)求方的所有備選會(huì)話算法，則請(qǐng)求方響應(yīng)會(huì)話算法協(xié)商失敗，否則在請(qǐng)求方提供的備選會(huì)話算法中選擇一種自己支持的算法；再利用本地的私鑰解密協(xié)商數(shù)據(jù)，得到WLAN接入系統(tǒng)產(chǎn)生的隨機(jī)數(shù)據(jù)；然后產(chǎn)生一串隨機(jī)數(shù)據(jù)，利用WLAN接入系統(tǒng)的公鑰加密后，再發(fā)送給WLAN接入系統(tǒng)。密鑰協(xié)商成功后，WLAN接入系統(tǒng)與WLAN客戶(hù)端將自己與對(duì)方分別產(chǎn)生的隨機(jī)數(shù)據(jù)進(jìn)行模2加運(yùn)算生成會(huì)話密鑰，利用協(xié)商的會(huì)話算法對(duì)通信數(shù)據(jù)進(jìn)行加/解密。2.無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI本部分采用國(guó)家密碼管理局批準(zhǔn)的用于WLAN的對(duì)稱(chēng)密碼算法實(shí)現(xiàn)數(shù)據(jù)保護(hù)。3.WAPI的特點(diǎn)WAPI最主要特點(diǎn)是具有高可靠性的安全認(rèn)證和加密機(jī)制。WEP、WPA與WPA2協(xié)議的比較本節(jié)將對(duì)有線等效加密（WiredEquivalentPrivacy，WEP）、Wi-Fi保護(hù)接入（Wi-FiProtectedAccess，WPA）與WPA2（802.11i）等協(xié)議的安全屬性進(jìn)行對(duì)比分析。協(xié)議密鑰長(zhǎng)度加密算法及方式密鑰分發(fā)方式認(rèn)證WEP40流加密算法RC4；靜態(tài)加密，每個(gè)用戶(hù)都使用相同密鑰進(jìn)行加密。人工方式分發(fā)開(kāi)放式系統(tǒng)認(rèn)證與共享式密鑰認(rèn)證（單向認(rèn)證）WPA128增強(qiáng)的加密算法TKIP；動(dòng)態(tài)會(huì)話密鑰，每個(gè)用戶(hù)每次會(huì)話以及每個(gè)數(shù)據(jù)包都需要進(jìn)行加密。自動(dòng)方式分發(fā)802.1x和EAP增強(qiáng)用戶(hù)認(rèn)證（雙向認(rèn)證）WPA2128，192或256AES；動(dòng)態(tài)會(huì)話密鑰自動(dòng)方式分發(fā)802.1x和EAP增強(qiáng)用戶(hù)認(rèn)證（雙向認(rèn)證）研究結(jié)論通過(guò)研究無(wú)線局域網(wǎng)安全協(xié)議的安全機(jī)制，我們初步得出以下研究結(jié)論：1）無(wú)線局域網(wǎng)的開(kāi)放性要求WLAN客戶(hù)端與WLAN接入系統(tǒng)之間的相互認(rèn)證；2）為了維護(hù)國(guó)家的安全和利益，加密機(jī)制應(yīng)采用國(guó)家密碼管理機(jī)構(gòu)批準(zhǔn)的用于WLAN的密碼算法。這里需要說(shuō)明的是，WAPI考慮的是無(wú)線局域網(wǎng)自身的安全機(jī)制，而本標(biāo)準(zhǔn)規(guī)定了對(duì)WLAN客戶(hù)端進(jìn)行安全保護(hù)所需要的安全技術(shù)要求。2001年9月28日，美國(guó)博思艾倫&漢密爾頓公司和Tresys技術(shù)公司（Booz?Allen&HamiltonandTresysTechnology）的國(guó)際安全小組發(fā)布了其為美國(guó)國(guó)防部編寫(xiě)了“敏感但不機(jī)密環(huán)境下基礎(chǔ)模式無(wú)線局域網(wǎng)保護(hù)輪廓（EAL3）v0.8”（InfrastructureWirelessLocalAreaNetwork(WLAN)forSensitiveButUnclassifiedEnvironmentsProtectionProfile(EAL3)Version0.8）。該版本的PP遵循1999年8月的CCv2.1。2001年9月28日，美國(guó)博思艾倫&漢密爾頓公司和Tresys技術(shù)公司（Booz?Allen&HamiltonandTresysTechnology）的國(guó)際安全小組發(fā)布了其為美國(guó)國(guó)防部編寫(xiě)的“敏感但不機(jī)密環(huán)境下對(duì)等模式無(wú)線局域網(wǎng)保護(hù)輪廓（EAL3）v0.6”（Peer-to-PeerWirelessLocalAreaNetwork(WLAN)forSensitiveButUnclassifiedEnvironmentsProtectionProfile(EAL3)Version0.6）。該版本的PP遵循1999年8月的CCv2.1。2003年11月，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫(xiě)的“基本強(qiáng)健環(huán)境下美國(guó)政府無(wú)線局域網(wǎng)客戶(hù)端保護(hù)輪廓（EAL2+）v0.9”（USGovernmentWirelessLocalAreaNetwork(WLAN)ClientProtectionProfileForBasicRobustnessEnvironments(EAL2+)Version0.9），該版本的PP遵循1999年8月的CCv2.1。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無(wú)線局域網(wǎng)客戶(hù)端組件。2004年4月7日，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫(xiě)的“基本強(qiáng)健環(huán)境下美國(guó)政府無(wú)線局域網(wǎng)接入系統(tǒng)保護(hù)輪廓（EAL2+）v1.0”（USGovernmentWirelessLocalAreaNetwork(WLAN)AccessSystemProtectionProfileForBasicRobustnessEnvironments(EAL2+)Version1.1），該版本的PP遵循1999年8月的CCv2.1。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無(wú)線局域網(wǎng)接入系統(tǒng)組件。2006年3月，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫(xiě)的“基本強(qiáng)健環(huán)境下美國(guó)政府無(wú)線局域網(wǎng)客戶(hù)端保護(hù)輪廓v1.0”（USGovernmentProtectionProfileWirelessLocalAreaNetwork(WLAN)ClientForBasicRobustnessEnvironmentsVersion1.0），該版本的PP遵循2004年1月的CCv2.2。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無(wú)線局域網(wǎng)客戶(hù)端組件。2006年4月，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫(xiě)的“基本強(qiáng)健環(huán)境下美國(guó)政府無(wú)線局域網(wǎng)接入系統(tǒng)保護(hù)輪廓v1.0”（USGovernmentProtectionProfileWirelessLocalAreaNetwork(WLAN)AccessSystemForBasicRobustnessEnvironmentsVersion1.0），該版本的PP遵循2004年1月的CCv2.2。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無(wú)線局域網(wǎng)接入系統(tǒng)組件。2007年7月25日，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫(xiě)的“基本強(qiáng)健環(huán)境下美國(guó)政府無(wú)線局域網(wǎng)接入系統(tǒng)保護(hù)輪廓v1.1”（USGovernmentProtectionProfileWirelessLocalAreaNetwork(WLAN)AccessSystemForBasicRobustnessEnvironmentsVersion1.1），該版本的PP遵循2006年9月的CCv3.1。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無(wú)線局域網(wǎng)接入系統(tǒng)組件。2007年7月25日，在美國(guó)家安全局（NationalSecurityAgency，NSA）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫(xiě)的“基本強(qiáng)健環(huán)境下美國(guó)政府無(wú)線局域網(wǎng)客戶(hù)端保護(hù)輪廓v1.1”（USGovernmentProtectionProfileWirelessLocalAreaNetwork(WLAN)ClientForBasicRobustnessEnvironmentsVersion1.1），該版本的PP遵循2006年9月的CCv3.1。該P(yáng)P作為一種標(biāo)準(zhǔn)幫助美國(guó)國(guó)防部（DoD）采購(gòu)即將用于基本強(qiáng)健環(huán)境下的商業(yè)現(xiàn)貨形式的無(wú)線局域網(wǎng)客戶(hù)端組件。2011年12月1日，在美國(guó)國(guó)家信息保障組織（NationalInformationAssurancePartnership，NIAP）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫(xiě)的“無(wú)線局域網(wǎng)接入系統(tǒng)保護(hù)輪廓v1.0”（ProtectionProfileforWirelessLocalAreaNetwork(WLAN)AccessSystemsVersion1.0），該版本的PP遵循2009年7月的CCv3.1R3。該P(yáng)P支持商業(yè)現(xiàn)貨形式的無(wú)線局域網(wǎng)接入系統(tǒng)的采購(gòu)，以保護(hù)無(wú)線網(wǎng)絡(luò)上傳輸?shù)拿舾械粰C(jī)密數(shù)據(jù)。2011年12月19日，在美國(guó)國(guó)家信息保障組織（NationalInformationAssurancePartnership，NIAP）資助下，NSA下屬的信息保護(hù)理事會(huì)（InformationAssuranceDirectorate）發(fā)布了其編寫(xiě)的“無(wú)線局域網(wǎng)客戶(hù)端保護(hù)輪廓v1.0”（ProtectionProfileforWirelessLocalAreaNetwork(WLAN)ClientVersion1.0），該版本的PP遵循2009年7月的CCv3.1R3。該P(yáng)P支持商業(yè)現(xiàn)貨形式的無(wú)線局域網(wǎng)客戶(hù)端的采購(gòu)，以保護(hù)無(wú)線網(wǎng)絡(luò)上傳輸?shù)拿舾械粰C(jī)密數(shù)據(jù)。本標(biāo)準(zhǔn)綜合參考了上述無(wú)線局域網(wǎng)客戶(hù)端保護(hù)輪廓。本標(biāo)準(zhǔn)與GB/T18336-2008之間的關(guān)系本標(biāo)準(zhǔn)使用GB/T18336-2008定義的安全描述的組件與語(yǔ)法實(shí)例化該類(lèi)產(chǎn)品或系統(tǒng)的保護(hù)輪廓，包括安全功能要求與安全保證要求。因此，本標(biāo)準(zhǔn)的主體結(jié)構(gòu)完全遵照GB/T18336-2008中關(guān)于保護(hù)輪廓PP的編制思想，除了其他擴(kuò)展組件以外，大部分安全功能要求與安全保證要求的組件分別從GB/T18336.2-2008和GB/T18336.3-2008中選取。本標(biāo)準(zhǔn)與WAPI之間的關(guān)系WAPI技術(shù)簡(jiǎn)介由于WLAN可以在不受地理?xiàng)l件限制、通信不便利以及移動(dòng)通信的情況下組建計(jì)算機(jī)網(wǎng)絡(luò)，因此具有有線網(wǎng)絡(luò)不可取代的優(yōu)勢(shì)。1997年6月，第一個(gè)WLAN標(biāo)準(zhǔn)IEEE802.11正式頒布實(shí)施，為WLAN的物理層和MAC層提供了統(tǒng)一的標(biāo)準(zhǔn)。WLAN由無(wú)線網(wǎng)卡、無(wú)線接入點(diǎn)（AP）、計(jì)算機(jī)和相關(guān)設(shè)備組成。它采用單元結(jié)構(gòu)，將整個(gè)系統(tǒng)分成許多單元，每個(gè)單元稱(chēng)為一個(gè)基本服務(wù)組（BSS）。BSS的組成有以下3種方式：一是集中控制方式，每個(gè)單元由一個(gè)中心站控制，網(wǎng)中的終端在該中心站的控制下與其他終端通信，BSS區(qū)域較大，但其中心站的建設(shè)費(fèi)用較昂貴；二是分布對(duì)等式，BSS中任意兩個(gè)終端可直接通信，無(wú)需中心站轉(zhuǎn)接，BSS區(qū)域較小，結(jié)構(gòu)簡(jiǎn)單，使用方便；三是集中控制式與分布對(duì)等式相結(jié)合的方式。一個(gè)WLAN可由一個(gè)基本服務(wù)區(qū)（BSA）組成，一個(gè)BSA通常包含若干個(gè)單元，這些單元通過(guò)AP與某骨干網(wǎng)相連。骨干網(wǎng)可以是有線網(wǎng)，也可以是無(wú)線網(wǎng)。WLAN安全機(jī)制無(wú)線局域網(wǎng)的安全性包括兩個(gè)方面：訪問(wèn)控制和保密性。訪問(wèn)控制確保敏感的數(shù)據(jù)僅由獲得授權(quán)的用戶(hù)訪問(wèn)，保密性則確保傳送的數(shù)據(jù)只被目標(biāo)接收人接收和處理。在802.11標(biāo)準(zhǔn)制定伊始，并沒(méi)有充分地考慮到WLAN的安全性。于是在WLAN逐漸被用戶(hù)接受之后，WLAN的安全性問(wèn)題才日漸明顯。于是，為了彌補(bǔ)802.11標(biāo)準(zhǔn)的安全漏洞，802.11TGi(TaskGroupi)針對(duì)WLAN的安全開(kāi)始制定新的標(biāo)準(zhǔn)802.11i。但由于市場(chǎng)對(duì)于提高WLAN安全的需求是十分緊迫的，當(dāng)時(shí)IEEE802.11i的進(jìn)展并不能滿(mǎn)足這一需要，所以就出現(xiàn)了向802.11i過(guò)渡的安全標(biāo)準(zhǔn)——WPA。最近我國(guó)又推出了自己的WLAN安全標(biāo)準(zhǔn)WAPI。一、802.11標(biāo)準(zhǔn)的安全機(jī)制802.11標(biāo)準(zhǔn)使用以下安全機(jī)制：直接序列擴(kuò)頻技術(shù)（DSSS）有線等價(jià)保密協(xié)議（WEP）擴(kuò)展服務(wù)集標(biāo)識(shí)符（ESSID）開(kāi)放系統(tǒng)認(rèn)證共享密鑰認(rèn)證訪問(wèn)控制列表密鑰管理2、WLAN安全機(jī)制的改進(jìn)802.11標(biāo)準(zhǔn)中給的安全機(jī)制并不能真正保證無(wú)線局域網(wǎng)的安全，有工作顯示該協(xié)議不能抵擋某種中間人攻擊。這樣就導(dǎo)致了一對(duì)矛盾：一方面是對(duì)WLAN需求不斷增長(zhǎng)，另一方面卻是WLAN技術(shù)自身存在安全上的缺陷。為了使WLAN技術(shù)從這種被動(dòng)局面中解脫出來(lái)，IEEE802.11的i工作組致力于制訂被稱(chēng)為IEEE802.11i的新一代安全標(biāo)準(zhǔn)，這種安全標(biāo)準(zhǔn)為了增強(qiáng)WLAN的數(shù)據(jù)加密和認(rèn)證性能，定義了強(qiáng)健安全網(wǎng)絡(luò)（RobustSecurityNetwork，RSN）的概念，并且針對(duì)WEP加密機(jī)制的各種缺陷做了多方面的改進(jìn)。由于市場(chǎng)對(duì)于提高WLAN安全的需求是十分緊迫的，而IEEE802.11i的進(jìn)展并不能滿(mǎn)足這一需要。在這種情況下，Wi-Fi聯(lián)盟制定了WPA(Wi-FiProtectedAccess)標(biāo)準(zhǔn)，這是一種向802.11i過(guò)渡的中間標(biāo)準(zhǔn)。WPAWPA是一種向IEEE802.11i過(guò)渡的中間標(biāo)準(zhǔn)。這一標(biāo)準(zhǔn)采用了IEEE802.11i的草案，保證了與未來(lái)出現(xiàn)的協(xié)議的前向兼容。WPA采用了802.1x和TKIP來(lái)實(shí)現(xiàn)WLAN的訪問(wèn)控制、密鑰管理與數(shù)據(jù)加密。802.1x是一種基于端口的訪問(wèn)控制標(biāo)準(zhǔn)，用戶(hù)必須通過(guò)了認(rèn)證并獲得授權(quán)之后，才能通過(guò)端口使用網(wǎng)絡(luò)資源。（1）802.1x認(rèn)證協(xié)議802.1x是針對(duì)以太網(wǎng)而提出的基于端口進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制的安全性標(biāo)準(zhǔn)草案?；诙丝诘木W(wǎng)絡(luò)訪問(wèn)控制利用物理層特性對(duì)連接到LAN端口的設(shè)備進(jìn)行身份認(rèn)證。如果認(rèn)證失敗，則禁止該設(shè)備訪問(wèn)LAN資源。盡管802.1x標(biāo)準(zhǔn)最初是為有線以太網(wǎng)設(shè)計(jì)制定的，但它也適用于符合802.11標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)，且被視為是WLAN的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。（2）802.1x的認(rèn)證協(xié)議——PPPEAP（可擴(kuò)展認(rèn)證協(xié)議）PPP協(xié)議本身并不要求認(rèn)證，但它提供了一個(gè)可選的認(rèn)證過(guò)程。可擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol，EAP)是由IETF提出的PPP協(xié)議的擴(kuò)展，允許使用任意方式對(duì)一條PPP連接的有效性進(jìn)行驗(yàn)證。802.1x草案選用了EAP來(lái)提供請(qǐng)求方和認(rèn)證服務(wù)器兩者之間的認(rèn)證服務(wù)。802.11i簡(jiǎn)介IEEE802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式，在數(shù)據(jù)加密方面，定義了臨時(shí)密鑰完整性協(xié)議(TemporalKeyIntegrityProtocol，TKIP)、CCMP(Counter-Mode/CBC-MACProtocol)和無(wú)線健壯鑒別協(xié)議(WirelessRobustAuthenticatedProtocol，WRAP)三種加密機(jī)制。其中TKIP采用WEP機(jī)制里的RC4作為核心加密算法，可以通過(guò)在現(xiàn)有的設(shè)備上升級(jí)固件和驅(qū)動(dòng)程序的方法達(dá)到提高WLAN安全性的目的。CCMP機(jī)制基于高級(jí)加密算法(AdvancedEncryptionStandard，AES)和CCM(Counter-Mode/CBC-MAC)認(rèn)證方式，使得WLAN的安全性得到較大提高，是實(shí)現(xiàn)RSN的強(qiáng)制性要求。由于AES對(duì)硬件要求比較高，因此CCMP無(wú)法通過(guò)對(duì)現(xiàn)有設(shè)備的基礎(chǔ)上進(jìn)行升級(jí)實(shí)現(xiàn)。WRAP機(jī)制基于AES加密算法和偏移碼本模式(OffsetCodeBook，OCB)，是一種可選的加密機(jī)制。WAPI簡(jiǎn)介除了國(guó)際上的IEEE802.11i和WPA安全標(biāo)準(zhǔn)之外，我國(guó)也提出了無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11，這是目前我國(guó)在這一領(lǐng)域唯一獲得批準(zhǔn)的協(xié)議。標(biāo)準(zhǔn)中包含了全新的WAPI(WLANAuthenticationandPrivacyInfrastructure)安全機(jī)制，這種安全機(jī)制由WAI(WLANAuthenticationInfrastructure)和WPI(WLANPrivacyInfrastructure)兩部分組成，WAI和WPI分別實(shí)現(xiàn)對(duì)用戶(hù)身份的鑒別和對(duì)傳輸?shù)臄?shù)據(jù)加密。WAPI能為用戶(hù)的WLAN系統(tǒng)提供全面的安全保護(hù)。WAPI安全機(jī)制包括兩個(gè)組成部分。WAPI采用公開(kāi)密鑰密碼體制，利用證書(shū)來(lái)對(duì)WLAN系統(tǒng)中的STA和AP進(jìn)行認(rèn)證。WAI定義了一種名為ASU(AuthenticationServiceUnit，證書(shū)頒發(fā)者)的實(shí)體，用于管理參與信息交換各方所需要的證書(shū)（包括證書(shū)的產(chǎn)生、頒發(fā)、吊銷(xiāo)和更新）。證書(shū)里面包含有ASU的公鑰和簽名以及證書(shū)持有者的公鑰和簽名（這里的簽名采用的是WAPI特有的橢圓曲線數(shù)字簽名算法），是網(wǎng)絡(luò)設(shè)備的數(shù)字身份憑證。WAI中對(duì)STA和AP進(jìn)行了雙向認(rèn)證。在STA和AP的證書(shū)都鑒別成功之后，雙方將會(huì)進(jìn)行密鑰協(xié)商。首先雙方進(jìn)行密鑰算法協(xié)商。隨后，STA和AP各自會(huì)產(chǎn)生一個(gè)隨機(jī)數(shù)，用自己的私鑰加密之后傳輸給對(duì)方。最后通信的兩端會(huì)采用對(duì)方的公鑰將對(duì)方所產(chǎn)生的隨機(jī)數(shù)還原，再將這兩個(gè)隨機(jī)數(shù)模2加運(yùn)算的結(jié)果作為會(huì)話密鑰，并依據(jù)之前協(xié)商的算法采用這個(gè)密鑰對(duì)通信的數(shù)據(jù)加密。WPI采用對(duì)稱(chēng)密碼算法實(shí)現(xiàn)對(duì)MAC層MSDU進(jìn)行的加、解密操作。本標(biāo)準(zhǔn)與WAPI關(guān)系通用準(zhǔn)則（CC）是國(guó)際上公認(rèn)的信息技術(shù)安全性評(píng)估準(zhǔn)則。GB/T18336等同采用了國(guó)際標(biāo)準(zhǔn)CC。CC定義了評(píng)估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，是度量信息技術(shù)安全性的基準(zhǔn)。針對(duì)在安全評(píng)估過(guò)程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求，使各種相對(duì)獨(dú)立的安全評(píng)估結(jié)果具有可比性。CC標(biāo)準(zhǔn)有助于信息技術(shù)產(chǎn)品和系統(tǒng)的開(kāi)發(fā)者或用戶(hù)確定產(chǎn)品或系統(tǒng)對(duì)其應(yīng)用而言是否足夠安全，以及在使用中存在的安全風(fēng)險(xiǎn)是否可以容忍。該標(biāo)準(zhǔn)適用于對(duì)信息技術(shù)產(chǎn)品和系統(tǒng)的安全性進(jìn)行評(píng)估，不論其實(shí)現(xiàn)方式是硬件、固件還是軟件，同時(shí)還適用于指導(dǎo)產(chǎn)品或系統(tǒng)開(kāi)發(fā)。CC標(biāo)準(zhǔn)的主要目標(biāo)是用戶(hù)、開(kāi)發(fā)者和評(píng)估者。CC定義了功能需求和保證需求兩類(lèi)安全需求，并對(duì)既定的一系列評(píng)估對(duì)象（TOE）提出功能和保證要求的完備集合保護(hù)輪廓（ProtectionProfile，PP），形成表達(dá)某類(lèi)產(chǎn)品或系統(tǒng)的用戶(hù)需求，主要內(nèi)容包括：評(píng)估對(duì)象（TOE）、確定安全環(huán)境、TOE的安全目的、IT安全要求、基本原理。美國(guó)政府依據(jù)CC制定了無(wú)線局域網(wǎng)（WLAN）客戶(hù)端的保護(hù)輪廓（PP），而我們正在制定的無(wú)線局域網(wǎng)客戶(hù)端安全技術(shù)要求（EAL2增強(qiáng)）是美國(guó)無(wú)線局域網(wǎng)客戶(hù)端保護(hù)輪廓的對(duì)等標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)的評(píng)估對(duì)象（TOE）是WLAN客戶(hù)端，它是在無(wú)線環(huán)境中以無(wú)線方式安全地訪問(wèn)無(wú)線網(wǎng)絡(luò)或者通過(guò)WLAN接入系統(tǒng)訪問(wèn)有線網(wǎng)絡(luò)的一個(gè)組件。WLAN接入系統(tǒng)使得WLAN客戶(hù)端與無(wú)線或有線網(wǎng)絡(luò)之間通過(guò)AP建立無(wú)線連接，并提供保密功能、鑒別功能、審計(jì)功能和管理功能。任何情況下，WLAN客戶(hù)端與無(wú)線或有線網(wǎng)絡(luò)間的數(shù)據(jù)交互都必須通過(guò)WLAN接入系統(tǒng)。綜上描述，WAPI標(biāo)準(zhǔn)所描述的是接入點(diǎn)（AP）的局部安全技術(shù)：訪問(wèn)控制和保密性。因此本標(biāo)準(zhǔn)適用于符合IEEE802.11標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)產(chǎn)品的安全性（WEP、WPA與WPA2）評(píng)估。它不僅適用于符合國(guó)家標(biāo)準(zhǔn)GB/T15629.11的無(wú)線局域網(wǎng)產(chǎn)品的安全性（WAPI）的評(píng)估，而且符合IEEE802.11標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)產(chǎn)品如果在其安全性模塊（WEP、WPA與WPA2）中采用經(jīng)我國(guó)國(guó)家密碼管理局批準(zhǔn)的密碼算法，那么這些產(chǎn)品也能接受本標(biāo)準(zhǔn)的評(píng)估。無(wú)規(guī)范性引用GB/T18336.1-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第1部分：簡(jiǎn)介和一般模型GB/T18336.2-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第2部分：安全功能要求GB/T18336.3-2008信息技術(shù)安全技術(shù)信息技術(shù)安全性評(píng)估準(zhǔn)則第3部分：安全保證要求GB/Z20283-2006信息安全技術(shù)保護(hù)輪廓和安全目標(biāo)的產(chǎn)生指南GB15629.11-2003信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范GB15629.1102-2003信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范：2.4GHz頻段較高速物理層擴(kuò)展規(guī)范GB15629.1104-2006信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范：2.4GHz頻段更高數(shù)據(jù)速率擴(kuò)展規(guī)范GB15629.1101-2006信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范：5.8GHz頻段高速物理層擴(kuò)展規(guī)范GB/T15629.1103-2006信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范：附加管理域操作規(guī)范GB15629.11-2003/XG1-2006信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范第1號(hào)修改單GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)參考文獻(xiàn)[1]GB/T15629-2003信息技術(shù)系統(tǒng)間遠(yuǎn)程通信和信息交換局域網(wǎng)和城域網(wǎng)特定要求：第11部分：無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范[2]CommonCriteriaforInformationTechnologySecurityEvaluation,CCIMB-99-031,Version2.1,August1999.[3]Peer-to-PeerWirelessLocalAreaNetwork(WLAN)forSensitiveButUnclassifiedEnvironmentsProtectionProfile,Version0.6,September2001.[4]InfrastructureWirelessLocalAreaNetwork(WLAN)forSensitiveButUnclassifiedEnvironmentsProtectionProfile,Version0.8,September2001.[5]USGovernmentWirelessLocalAreaNetwork(WLAN)ClientforBasicRobustEnvironmentsProtectionProfile,Version0.9,November2003.[6]USGovernmentWirelessAccessSyste