[中文] WAPI技术概述
wapi强制标准
wapi强制标准
WAPI(Wireless LAN Authentication and Privacy Infrastructure)是中国无线局域网安全强制性标准,是中国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准。
该标准最早由西安电子科技大学综合业务网理论及关键技术国家重点实验室提出,于2003年颁布实施。
与WIFI的单向加密认证不同,WAPI双向均认证,从而保证传输的安全性。
WAPI标准可有效防范无线局域网络“钓鱼、蹭网、非法侦听”等安全威胁,为无线网络提供了基本安全防护能力。
如需了解更多信息,建议咨询无线网络安全领域专家或查阅相关文献资料。
WAPI——无线局域网新的安全技术
WAPI——无线局域网新的安全技术
张晓莉
【期刊名称】《电信交换》
【年(卷),期】2004(000)002
【摘要】WAPI是一种新的无线局域网的安全机制,具有认证机制严格和加密算法完善等特点.文中介绍了WAPI的安全机理和实现过程,并给出了其典型的安全认证模式.
【总页数】4页(P45-48)
【作者】张晓莉
【作者单位】无
【正文语种】中文
【中图分类】TN925.93
【相关文献】
1.国产无线局域网标准WAPI组建国家实验室 [J],
2.一种基于Wi-Fi/WAPI的无线局域网可信接入方案 [J], 韩颖铮;邓国强
3.基于WAPI的无线局域网直连技术研究和设计 [J], 贾臻;龙昭华;李涛
4.WAPI无线局域网在电力行业中的应用探索 [J], 洪寰;田勇;王颖舒;左宇
5.IEEE:愿意将中国无线局域网安全标准WAPI部分内容纳入国际标准WAPI拒绝被“收买” [J],
因版权原因,仅展示原文概要,查看原文内容请购买。
安全与VPN-WAPI技术介绍-D
安全与VPN-WAPI技术介绍,目录WAPI (1)WAPI简介 (1)WAPI系统概述 (1)WAPI的工作过程 (2)WAPI的鉴别方式 (3)WAPI的密钥管理 (4)安全和VPN WAPIWAPIWAPI 简介WAPI 是WLAN Authentication and Privacy Infrastructure(无线局域网鉴别与保密基础结构)的简称,是中国提出的、以802.11 无线协议为基础的无线安全标准。
WAPI 协议由以下两部分构成:•WAI:是WLAN Authentication Infrastructure(无线局域网鉴别基础结构)的简称,是用于无线局域网中身份鉴别和密钥管理的安全方案;•WPI:是WLAN Privacy Infrastructure(无线局域网保密基础结构)的简称,是用于无线局域网中数据传输保护的安全方案,包括数据加密、数据鉴别和重放保护等功能。
WAPI 系统概述1. 基本概念WAPI系统中所涉及到的基本概念如表1所示。
表1 WAPI 系统中的基本概念IP networkAC Switch FIT APSwitch Wireless networkmanagement FIT AP概念全称及中文解释说明PSK Preshared Key,预共享密钥是发布给STA 的静态密钥STA Station,站点即无线终端,本文中是指带有支持WAPI 协议无线网卡的PC、便携式笔记本电脑等无线终端USK Unicast Session Key,单播会话密钥是由BK 通过伪随机函数导出的随机值,分为四个部分:单播加密密钥、单播完整性校验密钥、消息鉴别密钥和密钥加密密钥WAPI user WAPI 用户是指使用WAPI 安全模式进行认证的用户,系统所支持的最大WAPI 用户数量为1024 个。
本文中也称为STA2. 系统组成在一个典型的WAPI系统中,如图1所示,WAPI用户通过AP接入有线IP网络。
wapi标准
wapi标准WAPI标准。
WAPI(无线局域网身份验证和隐私保护)是中国自主研发的无线局域网安全标准,旨在提供更高级别的安全性和隐私保护。
WAPI 标准的制定和实施对于保障无线网络通信的安全性和稳定性具有重要意义。
本文将对WAPI标准的相关内容进行介绍和解析,以便更好地理解和应用该标准。
WAPI标准的主要特点包括身份验证、密钥管理和数据加密等方面。
在身份验证方面,WAPI采用了一种基于数字证书的身份验证机制,通过数字证书对用户进行身份验证,确保通信双方的身份合法和真实。
在密钥管理方面,WAPI采用了一种动态密钥管理机制,能够动态生成和更新密钥,有效防止密钥被攻击者获取。
在数据加密方面,WAPI采用了一种高效的数据加密算法,能够对数据进行可靠的加密保护,确保数据传输的安全性和隐私保护。
WAPI标准的实施需要遵循一系列的技术规范和流程。
首先,需要对WAPI标准的相关技术进行深入的研究和理解,包括身份验证、密钥管理和数据加密等方面的技术原理和实现方法。
其次,需要进行WAPI标准的相关软硬件设备的开发和生产,包括无线网络设备、安全芯片和加密算法等方面的技术研发和实现。
最后,需要进行WAPI标准的相关测试和认证,确保WAPI标准的实施符合相关的技术规范和标准要求,能够确保通信的安全性和稳定性。
WAPI标准的应用领域涵盖了无线网络通信的各个方面,包括无线局域网、移动通信和物联网等领域。
在无线局域网方面,WAPI标准能够提供更高级别的安全性和隐私保护,确保无线网络通信的安全和稳定。
在移动通信方面,WAPI标准能够提供更可靠的数据加密和身份验证机制,确保移动通信的安全和隐私。
在物联网方面,WAPI标准能够提供更高级别的数据保护和隐私保护,确保物联网设备之间的安全通信。
总的来说,WAPI标准是中国自主研发的无线局域网安全标准,具有重要的实际意义和应用前景。
通过对WAPI标准的深入理解和应用,能够有效提高无线网络通信的安全性和稳定性,推动无线网络通信技术的发展和应用。
企业用户部署WAPI无线网络的技术详析
企业部署WAPI无线网络的技术详析WAPI产业联盟随着无线局域网的普及和移动办公等的发展,企业办公走向移动化,以往的有线连网方式在很多企业正在被升级改造,建设更加方便、便捷、移动性强的无线接入网络是一大新趋势。
尽管建设内部网络的首要考虑因素便是安全。
然而,有不少企业目前仍采用有线等效保密协议(Wired Equivalent Privacy,简称WEP)、Wi-Fi网络保护访问(Wi-Fi Protected Access,简称WPA,有WPA 和WPA2两个标准)方式加密的网络(只验证密码),甚至无需密码的开放式网络,这类网络存在极易被钓鱼或者破解、攻击,信息被盗取等各类安全隐患。
引发这些安全隐患的根本原因在于WEP/WPA/WPA2等协议采用的加密方式,都是无线接入点(Access Point,简称AP)和终端(Station,简称STA)两个物理实体的两元架构,仅仅只是AP对STA进行单向鉴别,而STA并不知道AP 身份是否合法,这样就容易遭受无线钓鱼、中间人攻击(如伪基站、假AP)等安全威胁。
那么如何才能提高企业办公内网的安全性呢?最近某企业在建设无线办公网时,使用了一种高安全性的无线局域网鉴别与保密基础结构(Wireless LAN Authentication and Privacy Infrastructure ,简称WAPI)技术。
这种WAPI采用三元对等架构,有助于提高内网的安全性,让我们具体来看一看WAPI 技术是怎么进行安全防护的。
WAPI整个系统由STA、AP和认证服务单元(Authentication Service Unit,简称ASU)组成,其中ASU作为可信第三方,负责证书的发放、验证与吊销等,实体为WAPI鉴别服务器(Authentication Server,简称AS),STA与AP上都安装有AS 发放的证书,作为自己的数字身份凭证。
而WAPI 安全防护作用出众的原因在于,STA 接入无线网络时必须通过AS 进行双向身份验证。
wapi是什么意思
wapi是什么意思
wapi是中国政府正式支持的无线局域网标准,始于2004年,是无线局域网鉴别和保密基础结构,是一种安全协议,同时也是中国无线局域网安全强制性标准。
简单的来说,wapi像红外线、蓝牙、GPRS、CDMA1X等协议一样,是无线传输协议的一种,只不过跟它们不同的是它是无线局域网中的一种传输协议而已,它与802点11传输协议是同一领域的技术。
wapi开启好还是不开启好?wapi怎么开启?
对于一般用户来说,虽说开启wapi在一定程度上可以增强无线网络的安全性,但在实用性方面确实没有太大作用,而且据有的用户反馈,启用之后会加快设备耗电,所以一般情况下,建议别开启。
当然开启的方法也很简单,就在无线局域网的下方即可看到开启或关闭入口。
WAPI综述
WAPI 与802.11i的比较
• 安全标准经历了WEP ——WPA——WAP2/WAPI 这样的一个发展过程。 新一代的无线安全标准 IEEE 802.11i 和WAPI上演了一场拉锯战。 [注]:WPA = IEEE 802.11i draft 3 = IEEE 802.1X/EAP + WEP( 选择性项目 )/TKIP WPA2 = IEEE 802.11i = IEEE 802.1X/EAP + WEP( 选择性项目 )/TKIP/CCMP
WPI数据传输保护
• 4.对于WPI-SMS4 的MPDU 中PN值由如下规定: 对于单播密钥的每次密钥更新 ASUE:PN=0x5C365C365C365C365C365C365C365C 36 AE: PN=0x5C365C365C365C365C365C365C365C37 在封装单播数据帧前,ASUE和AE将PN加2。 对于组播密钥的每次密钥更新 AE: PN=0x5C365C365C365C365C365C365C365C36 在封装组播数据帧前,AE将PN加1。 对于STAKey的每次建立 发起者: PN=0x5C365C365C365C365C365C365C365C36 在封装发往对端的单播数据帧前,发起者将PN加1。
IBSS 、ESS和其他相关问题
STA初始启动时,默认为不加密状态,以便 完成链路验证等过程。当配置为强制加密 的STA接收到未加密的数据帧时,将丢弃该 帧,但并不告知LLC。
WAPI 与802.11i的比较
WAPI概述 WAI 鉴别及密钥管理
WPI数据传输保护
IBSS 、ESS和其他相关问题 WAPI 与802.11i的比较 WAPI新增MIB的项描述
WAPI技术白皮书
WAPI技术白皮书关键词:无线局域网、无线接入点、无线控制器、WAPI摘要:本文介绍WAPI技术的产生背景、技术要点以及组网应用。
缩略语:目录1 概述 (3)1.1 产生背景 (3)1.2 技术优点 (3)2 WAPI基本功能 (4)2.1 WAPI鉴别过程 (4)2.2 H3C WAPI实现功能 (6)3 应用场景 (8)3.1 WAPI与802.11i混合组网 (8)4 实现标准 (9)1 概述1.1 产生背景WLAN技术已经广泛地应用于企业和运营商网络。
但由于无线通信使用开放性的无线信道资源作为传输媒质,任何在物理区域上进入WLAN网络无线信号覆盖区域内的无线客户端,理论上都可以接入WLAN网络。
非法用户可以藉此发起对WLAN网络的攻击或窃取网络用户的机密信息,造成重大的安全事故。
如何保证WLAN网络的安全性?这一直是WLAN技术在应用推广中面临的最大障碍。
IEEE标准组织及WI-FI联盟为此一直在进行着努力,先后推出了WEP、WPA、802.11i等安全标准,逐步实现了WLAN网络安全性的提升。
但802.11i并不是WLAN安全标准的终极。
针对802.11i标准的不完善之处,中国在无线局域网国家标准GB15629.11-2003中提出了安全等级更高的WAPI机制来实现无线局域网的安全。
1.2 技术优点WAPI采用国家密码管理委员会办公室批准的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法,分别用于WLAN接入设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
与其他无线局域网安全体制相比,WAPI 的优越性集中体现在以下几个方面:●支持双向鉴别在WAPI安全体制下,无线客户端和WLAN接入设备二者处于对等地位,二者均具有验证使用的独立身份,二者在公信的第三方AS控制下相互鉴别:WLAN接入设备可以验证无线客户端的合法性,无线客户端同样也可以验证WLAN设备的合法性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2006-01
DOC.:WAPI-OVERVIEW
MITM 攻击
对于STA, Rogue是AP 对于AP, Rogue是STA 我们如何避免这个问题? 鉴别的密钥协商 双向鉴别
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
PFS
STA f(Password,nonce1) f(Password, nonce2) AP
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
策略发现与协商讨论
后向兼容传统设备 传统设备不能识别 WAPI IE, 它们也不会在关联 消息中包含WAPI IE. 可扩展: WAPI IE允许添加新的,WAPI没有设计 的密码套件和鉴别及密钥关联方法. WAPI 密钥管理(后面)能够防止安全等级降低攻 击.
在STA1和STA2之间建立IBSS
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
IBSS协商2
STA1(AE)
STA1 选择预共享密钥鉴别 和密钥管理
单播密钥协商请求 单播密钥协商响应+ WAPI 参数集合 (…, WPI单播)
STA2(ASUE)
STA2选择
单播密钥协商确认 + WAPI参数集合( )
BK(16 octets)
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
单播密钥协商
假设有 "好的" BK 保证新鲜的会话密钥 低代价的密钥更新 把会话密钥和通信的AP/STA绑定 保护安全策略发现和协商免于等级降低攻击 支持预共享密钥鉴别
基于证书的BK密钥导出
KD-HMAC-SHA-256 (yxP, NAE||NASUE||"base key expansion for key and additional nonce")
48 octets BK(16 octets) Challenge Seed (32 octets)
SHA-256 (Challenge Seed ) Next challenge (32 octets)
DOC.:WAPI-OVERVIEW
发现
STA
探寻请求 信标/探寻响应 +WAPI 参数集合 (AP 支持 WAI证书鉴别和密钥管理,WAI预共享密钥管 理, WPI单播, WPI组播)
AP/STA
通告安全策略.如果在帧中没有WAPI参数,那么表示该 AP/STA不支持WAPI安全网络.
ChinaBWIPS
WAI设计
定义了两种鉴别方法: 基于证书的鉴别和密钥管理 基于预共享密钥的鉴别和密钥管理 允许添加新的鉴别方法 引入三个过程. 证书鉴别 单播密钥协商 组播密钥通告
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
WAI概要
证书 预共享密钥
证书鉴别 缓存的 BK BK 单播密钥协商 单播密钥 组播密钥通告 组播密钥 受控端口on
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
WAI
鉴别及密钥管理完成双向鉴别,建立所需的密钥. 设计考虑 不同的部署模型有不同的需求; 我们不应该采用过多的鉴别方法,以避免复杂的实 现; 应该防止等级降低攻击; 满足多个密钥的需求.
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
证书鉴别
目标 双向鉴别 基密钥生成 对离线字典攻击免疫 对中间人攻击免疫 完善前向安全性
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
MITM攻击
STA Rogue AP
Message 1
Message 2
Message 1
Message 2
Message 3
Message 3
AE
ASU
SNonce,NASUE,xP,IDAE,CertASUE,SigASUE
NASUE, NAE,xP,yP,IDASUE,IDAE, RES,SigAE
BK=KD-HMAC-SHA256 (xyP,NAE||NASUE)
ChinaBWIPS
2006-01
DOC.:WAPI-OVEБайду номын сангаасVIEW
接入鉴别响应 导出 BK
导出BK
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
证书鉴别:基于签名的DH密钥协商
ASUE
SNonce,CertAE, ADDID,NAE,NASUE, CertAE, CertASUE, ADDID,(NAE,NASUE,CertAE,ResAE, CertASUE,ResASUE, [SigAS_ASUE] ) , SigAS_AE
ChinaBWIPS
BK
2006-01
DOC.:WAPI-OVERVIEW
WAI讨论
能够满足主要部署环境 证书用于企业和运营商 预共享密钥用于家庭 支持扩展 避免复杂的实现 灵活的分离过程设计 专门的过程管理专门的密钥 容易采用合适的方法
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
2006-01
DOC.:WAPI-OVERVIEW
WAPI技术概述
宽带无线IP标准工作组
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
提 纲
WAPI总体结构 WAPI技术特性 总结
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
Part 1 总体结构
记录交换
Session key=f(nonce1,nonce2) 如果以后password被窃听者 Eavesdropper知道,会话密钥将 暴露.
ChinaBWIPS
Eavesdropper
2006-01
DOC.:WAPI-OVERVIEW
证书鉴别
ASUE
鉴别激活 接入鉴别请求
AE
ASE
证书鉴别请求 证书鉴别响应
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
安全策略的发现与协商
发现—通过信标和探寻响应帧发现可用的安全策 略.
那个鉴别和密钥管理协议(AKMP), 单播和组播密码套 件可以使用?
协商
在BSS下,通过关联决定安全策略; 在IBSS下,通过单播密钥协商过程决定安全策略.
ChinaBWIPS
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
对等访问控制的概念
ASUE系统 提供的服务 应用 ASUE
受控端口 受控端口 非受控端口 非受控端口
AE系统
鉴别服务单元
AE
ASE
WLAN
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
对等访问控制消息流
Physical L A Y E R
PHY
站管理实体
PMD
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
Part 2 WAPI 特性
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
概述
对等访问控制 WAI 安全策略的发现与协商 鉴别及密钥管理 WPI
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
IBSS协商3
STA1(ASUE)
鉴别激活
STA2(AE)
STA2选择证书鉴别及密钥管理
完成证书鉴别过程
单播密钥协商请求 单播密钥协商响应+ WAPI 参数集合 (…, WPI单播)
完成证书鉴别过程
STA1 选择
单播密钥协商确认+ WAPI 参数集合( )
ASUE AE ASE
(双向) 鉴别
安全属性 传送
导出密钥, 控制端口
导出密钥, 控制端口
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
对等访问控制讨论
对等访问控制相对于IEEE 802.1x具有一些优点. ASUE也具有受控端口 在无线局域网中,ASUE(STA)也会受到攻击. AE不仅仅是ASE的代理,它有独立的身份 AE可以和ASUE直接完成鉴别及密钥协商. ASE是一个安全管理者,实现安全属性管理功能 用于从ASE传送密钥到AE的安全通道不是必需的.
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
安全服务的关系
鉴别及密钥管理
对等访问控制
数据完整性和数据保密性
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW
WAPI的运行
STA
发现安全策略 选择安全策略 证书鉴别及密钥管理
受控端口 on 受控端口 on
2006-01
DOC.:WAPI-OVERVIEW
WAPI 参数集合
元素标识 长度 版本
鉴别和密钥管理(AKM)套件
鉴别和密钥管理(AKM)套件计数 鉴别和密钥管理(AKM)套件
单播密码套件计数
单播密码套件 组播密码套件 WAPI 能力信息 BKID 列表
ChinaBWIPS
BKID 计数
2006-01
ChinaBWIPS
2006-01
DOC.:WAPI-OVERVIEW