【正文】 社 會 價 值 ，已成 為 我 們 面 對 的 當務(wù) 之急。 ? 由于 當時 無 線 局域 網(wǎng)國際標 準 ()中的安全解 決 方案 (WEP)， 已被廣泛 證實 丌安全。 ? 國際標 準 為 此采用了 WPA、 、 、 VPN等方式 試圖 保 證 WLAN安全。但 這 些方式要 么 只是 將 有 線網(wǎng)絡(luò) 安全機制通 過 技 術(shù)轉(zhuǎn) 接到 WLAN上，要么 在技 術(shù) 上很容易被破 譯 。 ? 在 2023年 5月 12日，中 國 信息 產(chǎn)業(yè) 部 報 送 國 家 標 準化管理委 員會 正式 頒 布了無 線 局域 網(wǎng)兩項國 家 標 準，在考 慮 和茲 顧 無 線 局域 網(wǎng)產(chǎn) 品互 聯(lián) 互通的基 礎(chǔ) 上，針對 無 線 局域 網(wǎng) 的安全 問題 ， 給 出了技 術(shù) 解 決 方案和 規(guī) 范要求。 103 WAPI概 念 ? 無 線 局域 網(wǎng)鑒別與 保密基 礎(chǔ)結(jié)構(gòu) （ wireless local area work authentication and privacy infrastructure， WAPI） 是在中 國 無 線局域 網(wǎng)國 家 標 準 來實現(xiàn) 無 線 局域 網(wǎng) 中的鑒別 和加密的機制，是 針對 WEP協(xié)議 的安全 問題 提出的 WLAN安全解 決 方案。 ? 它 已由 ISO/IEC授 權(quán) 的 IEEE Registration Authority審查獲 得 認 可，是我 國 目前在 該領(lǐng) 域惟一 獲 得批準的 協(xié)議 。 ? 2023年 6月 1日 開 始強制 執(zhí) 行。 104 WAPI的 組 成 ? WAPI包括 兩個 部分 – 無 線 局域 網(wǎng)鑒別 基 礎(chǔ)結(jié)構(gòu) WAI（ WLAN Authentication Infrastructure） – 無 線 局域 網(wǎng) 保密基 礎(chǔ)結(jié)構(gòu) WPI（ WLAN Privacy infrastructure） ? WAI是采用公 鑰 密 碼 技 術(shù) ，用于 STA（ station） 與 AP（ access point） 之 間 的身 份認證 。 ? WPI是采用 國 家密 碼 管理委 員會辦 公室批準的用于 WLAN的 對稱密 碼 算法 實現(xiàn)數(shù) 據(jù)保 護 ， 對 MAC子 層 的 MAC數(shù) 據(jù)服 務(wù)單 元 進 行加密、解密 處 理。 105 WAPI的要點 ? WAPI利用證書進行用戶設(shè)備和 AP的雙向認證，這一證書是由鑒別服務(wù)單元 ASU所發(fā)布的，證實了用戶設(shè)備和 AP的身份。 ? 由于采用了新的橢圓曲線數(shù)字簽名算法（包括 192位橢圓曲線算法、 224位橢圓曲線算法和 256位橢圓曲線算法），WAPI為用戶的身份認證提供更加強大的保護。 STA AUS AP 106 WAPI系 統(tǒng)構(gòu) 成 ? 整 個 系 統(tǒng) 由 STA、 AP和 ASU組 成 – STA（ station， 站（點））：包含符合本部分的 與 無線 媒體的 MAC 和 PHY接口的仸何 設(shè)備 – AP（ access point， 接入點）：具 備 站點功能，通 過無 線 媒體 為關(guān)聯(lián) 的站點提供 訪問 分布式服 務(wù) 的能力的 實 體 – ASU（ Authentication Service Unit鑒別 服 務(wù)單 元）：主要功能是 負責證書 的 發(fā) 放、 驗證與 吊 銷 等，是 實現(xiàn)電 子信息交 換 的核心 107 鑒別 系 統(tǒng)結(jié)構(gòu) 鑒別請求者實體 （ ASUE） 鑒別服務(wù)實體 （ ASE） 鑒別器系統(tǒng)提供的服務(wù) 鑒別器實體 （ AE） 鑒別請求者系統(tǒng) 鑒別器系統(tǒng) 鑒別服務(wù)系統(tǒng) WLAN 站點 STA 接入點 AP 鑒別服務(wù)單元 ASU 非受控端口 未鑒別受控端口 108 WAPI過 程 簡單說 明 ? STA與 AP上都安裝有 ASU發(fā) 放的公 鑰證書 ，作 為自己的 數(shù) 字身 份 憑 證 ? AP提供 訪問 LAN受控端口 與 非受控端口 兩類 端口， STA首先通 過 AP提供的非受控端口 連 接到ASU發(fā) 送 認證 信息，只有通 過認證 的 STA才能使用 AP提供的 數(shù) 據(jù)端口（即受控端口） 訪問網(wǎng)絡(luò) ? 認證 通 過 后， STA與 AP通 過 密 鑰協(xié) 商生成密 鑰 ，以 對稱 算法 進 行 數(shù) 據(jù)加密 傳輸 。 109 WAPI工作原理 圖 110 鑒別 服 務(wù) ? AP提供訪問 LAN的邏輯通道，定義為兩類端口，即受控端口 與非受控端口。 ? AP提供 STA連接到鑒別服務(wù)單元（ ASU） 的端口（即非受控端口），確保只有通過鑒別的 STA才能使用 AP提供的數(shù)據(jù)端口（即受控端口）訪問網(wǎng)絡(luò)。 ? 在基于端口的接入控制操作中，定義了三個實體： – 鑒別器實體 AE（ Authenticator Entity）： 為鑒別請求者在接入服務(wù)器之前提供鑒別操作的實體。該實體駐留在 AP中。 – 鑒別請求實體 ASUE（ Authentication Supplicant Entity）： 需通過鑒別服務(wù)單元進行鑒別的實體。該實體駐留在 STA中。 – 鑒別服務(wù)實體 ASE（ Authentication Service Entity）： 為鑒別器和鑒別請求者提供相互鑒別的實體。該實體駐留在 ASU中。 111 鑒別 基本信息交 換過 程 ? 鑒別請 求者、 鑒別 器和 鑒別 服 務(wù)實 體之 間 的 關(guān) 系及信息交 換過程： ? 鑒別請 求 實 體 ASUE首先通 過鑒別 器 實 體 AE的非受控端口 發(fā) 送 鑒別數(shù) 據(jù)， 經(jīng)過鑒別 服 務(wù)實 體 ASE的 鑒別狀態(tài) 已 鑒別 （ On） 或未鑒別 （ Off） 分 別 允 許 或拒 絕 受控端口的 協(xié)議數(shù) 據(jù) 單 元（ PDU）通 過 。 ? 若受控端口 鑒別狀態(tài) 是未 鑒別 ，此 時 受控端口拒 絕 通 過 仸何 數(shù)據(jù)；若受控端口 鑒別狀態(tài) 是已 鑒別 ， 則 受控端口允 許 PDU通 過 。 ? 當鑒別 器的受控端口 處 于未 鑒別狀態(tài) ， 鑒別 系 統(tǒng) 拒 絕 提供服 務(wù) 。 112 鑒別 服 務(wù)單 元（ ASU） ? 鑒別 服 務(wù)單 元 ASU是 WAI鑒別 基 礎(chǔ)結(jié)構(gòu) 中最 為 重要的 組 成部分，實現(xiàn)對 STA 用 戶證書 的管理和 STA用 戶 身 份 的 鑒別 。 ? ASU作 為 可信仸和具有 權(quán) 威性的第三方，保 證 公 鑰 體系中 證書的合法性。 ASU為 每 個 客 戶頒發(fā) 公 鑰數(shù) 字 證書 ， 并為 使用 該證書 的客 戶 提供公 鑰 合法性的 證 明。 ASU的 數(shù) 字 簽 名保 證證書 丌被 偽 造或 篡 改。 ASU負責 管理所有 參與網(wǎng) 上信息交 換 的各方所需的 數(shù) 字 證書 （包括 產(chǎn) 生、 頒發(fā) 、吊 銷 、更新等），是 實現(xiàn)電子信息交 換 的核心。 ? ASU對它 管理范 圍內(nèi) 的 AP與 STA進 行管理 并 提供服 務(wù) 。在同一 個ASU的管理范 圍內(nèi) ， STA與 AP之 間 需通 過 ASU實現(xiàn)證書 的 雙 向 鑒別 。 113 WAPI認證過 程 1) 認證激活： 當 STA關(guān)聯(lián)或重新關(guān)聯(lián)至 AP時，由 AP發(fā)送認證激活以啟動整個認證過程。 2) 接入認證請求： STA向 AP發(fā)出認證請求，（如圖 2認證分組類型為 1，數(shù)據(jù)為 STA證書和認證請求時間）即將 STA證書與 STA的當前系統(tǒng)時間發(fā)往 AP， 其中系統(tǒng)時間稱為接入認證請求時間。 3) 證書認證請求： AP收到 STA接入認證請求后，首先記錄認證請求時間，然后向 ASU發(fā)出證書認證請求，即將 STA證書、接入認證請求時間、 AP證書及 AP的私鑰對它們簽名構(gòu)成證書認證請求發(fā)送給 ASU。 4) 證書認證響應(yīng)： ASU收到 AP的證書認證請求后，驗證 AP的簽名和 AP證書的有效性，若不正確，則認證過程失敗，否則進一步驗證 STA證書。驗證完畢后， ASU將 STA證書認證結(jié)果信息 (包括 STA證書和認證結(jié)果 )、 AP證書認證結(jié)果信息 (包括 AP證書、認證結(jié)果、接入認證請求時間 )和 ASU對它們的簽名構(gòu)成證書認證響應(yīng)報文發(fā)回給 AP。 5) 接入認證響應(yīng)： AP對 ASU返回的證書認證響應(yīng)進行簽名驗證，得到 STA證書的認證結(jié)果，根據(jù)此結(jié)果對 STA進行接入控制。 AP將收到的證書認證結(jié)果回送至 STA。 STA驗證ASU的簽名后，得到 AP證書的認證結(jié)果，根據(jù)認證結(jié)果決定是否接入該 AP。 114 WAPI會話 密 鑰 生成 過 程 1) 密鑰協(xié)商請求： AP產(chǎn)生一串隨機數(shù)據(jù)，利用 STA的公鑰進行加密后，向 STA發(fā)出密鑰協(xié)商請求。此請求包含請求方所有的備選會話算法信息。（注：密鑰協(xié)商請求可由 AP或 STA中的任意一方發(fā)起，另一方響應(yīng)，此例中以 AP發(fā)起密鑰協(xié)商， STA響應(yīng)為例來進行說明） 2) 密鑰協(xié)商響應(yīng)： STA收到 AP發(fā)來的密鑰協(xié)商請求后，首先進行會話算法協(xié)商，若響應(yīng)方不支持請求方的所有備選會話算法，則向請求方響應(yīng)會話算法協(xié)商失敗，否則在請求方提供的備選算法中選擇一種自己支持的算法，再利用本地的私鑰解密協(xié)商數(shù)據(jù)，得到 AP產(chǎn)生的隨機數(shù)據(jù)，然后產(chǎn)生一串隨機數(shù)據(jù)，利用 AP的公鑰加密后，再發(fā)送給 AP。 3) 會話密鑰生成： 密鑰協(xié)商成功后， STA與 AP將自己與對方分別產(chǎn)生的隨機數(shù)據(jù)進行模 2和運算生成會話密鑰，利用協(xié)商的會話算法對通信數(shù)據(jù)進行加、解密。 115 對 WAPI的分析 ? 從 WAPI的工作原理 過 程中可以看出， 當 STA登 錄 至 AP時 ，在使用或 訪問網(wǎng)絡(luò) 之前必 須 通 過 ASU進 行 雙 向身 份驗證 ，目的是根據(jù) 驗證 的 結(jié) 果，使只有持有合法 證書 的 STA才能接入持有合法 證書 的 AP。 ? 這樣 丌 僅 可以防止非法 STA接入 AP而 訪問網(wǎng)絡(luò)并 占用 網(wǎng)絡(luò)資 源，而且 還 可以防止 STA登 錄 到非法 AP而造成信息泄漏。 ? 但是， 經(jīng)過 分析可以 發(fā)現(xiàn) ，通 過 密 鑰協(xié) 商 WAPI可以 滿 足無 線 局域 網(wǎng) 的通信 數(shù) 據(jù)安全，但在 對 STA與 AP的身 份認證 上 還 丌是最完善，使攻 擊 者可利用中 間 人攻 擊 手段 進 行攻 擊 。 116 WAPI目前的 狀態(tài) ? 以 WAPI為基礎(chǔ)，國內(nèi)一個工作組還在致力于向國際標準化組織推薦 – ISO/IEC 9798定義了實體鑒別方法，給出了一個通用模型 – ISO/IEC 97982遵循此模型，定義了采用對稱密碼的鑒別方法 – WAPI即 ISO/IEC 97983 的“基于三元對等鑒別的訪問控制方法”（ TePAAC） 圖 1 圖 2 基于三元對等鑒別的訪問控制結(jié)構(gòu) TP A B (1) R1A||CertA||Text1 (2) CertB||Text2||TokenBA (3) R2A||RB||IDA||IDB||Text3 (5) TokenTA||Text4 (7) Text5||TokenTA||TokenAB (4) (6) (8) 117 WAPI vs. 118 本 講 要點小 結(jié) ? 了解 WLAN的基本狀況、基本原理 ? 了解 – 包含哪些部分？ – 有什么安全措施？ – 有哪些不足 ? 什么是 – 基本構(gòu)成是怎樣的？ – 與 ？ ? 能說出一些關(guān)于下述協(xié)議 /標準？ – WEP – TKIP – WPA， WPA2 – – WAPI ? …… 119 演講完畢，謝謝觀看！