WLAN 安全协议 - WAPI
WAPI(WLAN Authentication and Privacy Infrastructure,无线鉴别和保密基础结构)
- 为了解决WEP中的安全漏洞,2003 年,由中国宽带无线IP 标准工作组所制订了无线局域网国家标准,即WAPI协议。
- WAPI 采用了SM4分组密码算法,ECDSA椭圆曲线数字签名算法以及ECDH**交换算法,根据不同的情况,也可以使用AES来替代SM4。
- WAPI 由WAI(WLAN authentication infrastructure,无线局域网鉴别基础结构)和WPI(WLAN privacy infrastructure,无线局域网保密基础结构)两部分组成。
WAI:WLAN中 身份鉴别和**协商管理的安全方案;采用公开**密码体制,利用公钥证书对STA和AP进行认证。
WPI:WLAN中 数据传输加密保护的安全方案;采用对称密码算法实现对MAC层MSDU的加解密。
WAPI 身份鉴别
WAPI 双向认证
- WAPI通过双向认证,保证传输的安全性。
- 鉴权服务器AS(Authentication Service)负责证书的颁发、验证与吊销等,STA与AP上都安装有AS颁发的公钥证书,作为自己的数字身份凭证。
- 当STA连接AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果,持有合法证书的STA才能接入持有合法证书的AP。
WAPI 接入控制
| 缩写 | 说明 |
|---|---|
| ASU(Authentication Service Unit) | 鉴别服务单元,实现用户证书的管理和用户身份的鉴别等功能 ASU管理的证书包含证书颁发者ASU与证书持有者STA和AP 的公钥和签名 |
| AE(Authenticator Entity) | 鉴别器实体, 在ASUE接入服务之前,为ASUE提供鉴别操作的实体,运行在AP 中 |
| ASUE(Authentication SUpplicant Entity) | 鉴别请求者实体,在接入服务之前请求进行鉴别操作的实体,运行在STA 中 |
| ASE(Authentication Service Entity) | 鉴别服务实体,为AE和ASUE提供相互鉴别服务的实体,运行在ASU 中 |
- WAPI 采用数字证书实现STA 和AP 之间的双向身份鉴别,采用可信任的第三方ASU 保证证书的合法性; 采用端口控制的方法进行受控和非受控接入。
受控端口:只有当STA的身份鉴别成功后,数据才会通过AE传送到网络中。
非受控端口:允许任何鉴别数据在网络中传送,主要用于AE和ASUE通信。 - 只有相互鉴别成功后,AP 才允许STA 接入, 同时STA 也才允许通过该AP 收发数据,否则解除链路验证。如果STA 重新关联至AP 时,需要重新进行相互身份鉴别。
- 在鉴别成功的基础上,STA 与AP 双方进行**协商, 协商产生用于随后的数据保密通信所需的单播会话**和组播会话**。
WAPI 身份鉴别和**协商流程
- WAPI身份认证及**管理包括:基于共享**(PSK) 和基于证书两种方式
基于共享**PSK方式
- 整个过程包括单播**协商与组播**通告。
单播**协商是通过基础**完成单播会话**的协商,建立USKSA。
单播**协商成功后,如果AP需要更新组播**,AP向STA通过发送组播**通告分组,通知所有STA更新主**,STA收到后回复响应分组。
基于证书方式
- 整个过程包括证书认证、单播**协商与组播**通告。
- 证书认证过程
- AP发送认证**分组
- STA向AP 发送接入认证请求分组,包括STA证书,时间戳。
- AP向AS(认证服务器)发送证书认证请求分组,包括STA证书,AP证书,时间戳,AP签名。
- AS向AP发送证书认证响应分组,包括STA证书,STA认证结果,AP证书,AP认证结果,时间戳,ASE签名。
- AP向STA发送接入认证响应分组,包括STA证书,STA认证结果,AP证书,AP认证结果,时间戳,ASE签名。
- 单播**协商与组播**通告与PSK方式类似