WLAN标准GB15629.11安全机制—WAPI协议解析
摘 要:我国在2003年5月份提出了无线局域网国家标准GB15629.11,其中最引人注目的就是由宽带无线IP标准工作组制定的新的安全机制WAPI。本文主要就WAPI安全机制进行了简要介绍,并重点描述了WAI鉴别基础结构。
关键词:802.11(WLAN);GB15629.11;WAPI
引言
安全问题一直是困扰在WLAN灵活便捷的优势之上的阴影,已成为阻碍WLAN进入信息化应用领域的最大障碍。国际标准为此采用了WEP、WPA、802.1x、802.11i、VPN等方式来保证WLAN的安全,但都没有从根本上解决WLAN的安全问题。我国在2003年5月份提出了无线局域网国家标准GB15629.11,引入一种全新的安全机制—WAPI,使WLAN的安全问题再次成为人们关注的焦点。WAPI机制已由ISO/IEC授权的IEEE Registration Authority审查获得认可,并分配了用于该机制的以太类型号(IEEE EtherType Field)0x88b4,这是我国在这一领域向ISO/IEC提出并获得批准的唯一的以太类型号。
WAPI安全机制
无线局域网鉴别与保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。其中,WAI采用基于椭圆曲线的公钥**体制,无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别。而在对传输数据的保密方面,WPI采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密,充分保障了数据传输的安全。
WAPI充分考虑了市场应用,根据无线局域网应用的不同情况,可以以单点式、集中式等不同的模式工作,同时也可以和现有的运营商系统结合起来,支持大规模的运营级服务。此外,用户的使用场景不同,WAPI的实现和工作方式也略有诧异。WAPI的用户使用场景主要有以下几种:
1. 企业级用户应用场景:有AP和独立的AS(鉴别服务器),内部驻留ASU(鉴别服务单元),实现多个AP和STA**的管理和用户身份的鉴别;
2. 小公司和家庭用户应用场景:有AP,ASU可驻留在AP中;
3. 公共热点用户应用场景:有AP,ASU驻留在接入控制服务器中;
4. 自组网用户应用场景:无AP,各STA在应用上是对等的,采用共享密钥来实现鉴别和保密。
图1 状态转换图
WAI
与WAI相关的STA的状态转换图
图1给出了与WAI相关的STA的状态转换图,与ISO/IEC 8802.11-1999的5.5相比,该状态图将原有的“鉴别”改为了“链路验证”,此外新增了专用于处理WAI过程的“鉴别状态”。这样,STA总共需要维护三个状态变量:链路验证状态,关联状态和鉴别状态,由此决定了STA将会有四种本地状态,如图状态1~4所示。其中STA和AP之间的WAI鉴别过程处于状态3。
鉴别系统结构
图2描述了鉴别请求者、鉴别器和鉴别服务实体之间的关系及信息交换过程。这里首先介绍几个重要概念,有助于对鉴别系统结构的理解。
鉴别器实体AE:驻留在AP中,在接入服务前,提供鉴别操作。
