时间:2022-07-20 02:03:53
【摘要】文章首先介绍了现行的国内外无线局域网安全问题的解决方案――WAPI与IEEE 802.11i,然后分别就两个标准的认证、密钥生成方式及加密算法做了分析,最后对发展WAPI提出了一些建议。
【关键词】WAPI IEEE 802.11i WLAN TKIP Wi-Fi
1 前言
无线局域网(Wireless Local Area Network)利用电磁波替代传统的线缆进行信息传输,可以作为有线网络的延伸、补充或替代。相比有线网络,它具有移动性、灵活性、可伸缩性的优势,因而得到广泛的应用。但应用标准802.11b安全机制的缺陷,是制约其发展的关键因素,无线局域网的安全因素得到了国内外的广泛关注。
国内方面,2003年底颁布了GBl5629.11,其中定义了与802.11标准不兼容的WAPI。该方案已由ISO/IEC授权机构IEEE Registration Authority审查并通过,作为中国自主知识产权的WLAN安全解决方案。
国外方面,在WEP退出WLAN市场之后。Wi-Fi联盟联合802.11i标准制定者推出WPA,作为过渡性的标准。为了大幅度提升WLAN安全,IEEE-SA(IEEE标准协会)最终于2004年6月了IEEE 802.11i标准。
WAPI与IEEE 802.11i分别作为国内外主导的无线局域网传输协议,近年来争论不休,其中认证与加密是两种协议的核心内容。
2 IEEE 802.11i认证与密钥生成
IEEE 802.11i(协议层级结构如图1)规定使用802.1x认证和密钥管理方式,在数据加密方面引入了TKIP和CCMP,TKIP采用WEP机制里的RC4算法作为核心加密算法,而CCMP基于AES加密算法和CCM认证方式。从安全性来说,CCMP要远强于TKIP,但是由于其算法复杂。对硬件设备要求较高,无法通过网络设备升级来实现;而TKIP只需要对现网的设备做固件和驱动升级就可以了。容易得到厂家的青睐。
EAP是PPP认证中的一个通用协议,802.1x认证协议采用EAP协议,即EAP消息封装在802.1x消息里,成为EAPOL。EAP协议可支持多种认证协议,在802.11i中采用是EAP-TLS,因为它能提供双向认证。并在认证中动态进行密钥交换和生成密钥。
(1)EAP-TLS认证
如图2所示,其认证步骤为:
1)STA发EAP-start消息,请求认证。
2)AP回复STA。要求输入用户名。
3)STA响应AP。把用户名发给AP。
4)AP将用户信息封装成Radius Acess Request包发给Radius服务器。
5)Radius服务器验证用户名合法后,发送自己的数字证书。
6)STA通过验证Radius服务器身份。
7)STA向Radius服务器发送自己的证书。
8)服务器通过STA认证。到这里也就完成了双向认证过程。
9)在双向认证过程中,双方获得成对主密钥(PMK)。
10)Radius服务器向AP发送accept信息,其中包含密钥信息。
11)AP转发accept信息给STA。
(2)密钥生成与管理
密钥生成可分为3个步骤: 1)在AP和STA间绑定PMK。
2)在PMK基础上,通过一个四次握手的协商过程,AP和STA获得PTK,并完成单播密钥安装。
3)通过组密码握手过程向STA分发AP产生的多播/广播密钥。
3 WAPI认证与密钥生成
WAPI安全机制由无线鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)两部分组成,分别用作用户身份认证和数据加密。WAPI采用公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,高强度的加密算法提供设备身份鉴别、链路验证、访问控制和用户信息在WLAN的安全保护。
(1)WAI
WAI认证体系核心采用公钥密码体制,在基于数字证书的公钥体制下实现实体双向认证和密钥协商。具体协议执行过程见图3。其中STA代表客户端,AP代表接入点。ASU为认证服务单元的实体。由专门的服务器担当,负责生成、颁发、吊销、更新信息交换双方在数据传输中所需要的各种证书。
WAI具体实现过程如下:
1)当STA与AP关联或重新关联时,STA接受AP发送的认证激活,启动认证过程。
2)STA向AP发送接入鉴别请求,将STA证书发送给AP,AP接收STA证书,并登记系统时间。
3)AP向ASU发送证书鉴别请求。并把STA证书、AP证书、AP对ST_A的签名和系统时间一同发送。
4)ASU验证AP签名和STA证书的有效性,然后把STA证书、AP证书、STA鉴别结果、AP鉴别结果、ASU签名及系统时间发送给APo
5)AP接收到ASU的认证反馈后,进行签名验证,得到STA认证结果,同时把ASU反馈转发给STA。STA得到AP证书的认证结果,据此决定是否接入AP。到这里也就完成了双向认证过程。
(2)WPI
当STA与AP双向认证结束以后,双方要通过密钥协商。WPI具体实现过程如下:
1)STA与AP协商数据传输过程所要采用的密钥算法。STA产生一个随机数random_sta,利用AP公钥加密后,发送给AP。
2)收到STA的密钥协商请求后,AP先进行会话算法协商确定自己支持的算法。利用本地私钥解密协商数据,得到random_sta,然后自己产生新的随机数random_ap。利用STA公钥加密后,发送给STA。
3)STA和AP将双方的随机数据(random_sta、random_ap)模2运算结果作为会话密钥。
4)STA和AP利用这个会话密钥以及协商好的算法对传输数据进行加密。
由于会话密钥不单独在网络中传输,不会被窃取;并且STA与AP在一定时间或交换一定数量的数据后,会重新协商会话密钥:这两点将大大增强网络的安全性。
4 WAPI与IEEE 802.11i的加密算法
由于WLAN设备受硬件性能限制不能由软件升级的方式使用CCMP,因而目前基于802.11i的WLAN设备使用TKIP协议。TKIP协议实际上是对WEP协议的修改。仍然采用RC4算法。由于RC4算法本身的漏洞,TKIP协议的安全性依旧受到质疑。WAPI采用国家密码管理委员会办公室批准的用于WLAN的SSF43对称分组加密算法,其算法的保密性较之于TKIP有很大的提高,本文不再就加密具体算法进行详述。
表1是WAPI与IEEE 802.11i的比较:
5 WAPI的国际标准发展历程
目前大多数无线网络产品所采用的都是IEEE 802.11i传输协议,该协议由Wi-Fi组织倡导。WAPI则是中国拥有自主知识产权的无线局域网标准,WAPI和IEEE 802.11i在认证方式上都采用双向认证,其主要的区别在于安全加密技术的不同。
2004年7月。中国向国际标准组织ISO/IEC JTCI和SC6提交WAPI国际标准提案;2005年2月的法兰克福会议上,WAPI被撒出国际标准提案,中方代表为抗议不公正待遇而退出会议;2006年6月8日,布拉格“投票分析会”上,WAPI中国代表团被强行制止发言:中国的WAPI一直走着一条艰辛的路。究其原因在于WAPI发动了一场利益格局的变革。而对于习惯掌握话语权的国外利益团体来说,中国式的WAPI是让他们最为不安的。――显而易见,WAPI标准的出台将直接妨碍Wi-Fi在中国坐收渔利。然而中国市场的广大和无线局域网技术的高速发展,终将打破世界无线局域网技术的垄断格局。
采用美国标准802.11i的wi-Fi信息安全漏洞太大,也给了WAPI一个新的机遇。
2D06年9月11日的一次无线局域网安全技术研讨会上,有人利用网上下载的工具演示了在5分钟内破解Wi-Fi的保护口令。在俄罗斯,一家公司甚至可以利用NVIDIA显卡的强大运算能力,将上述破解Wi-Fi密码的时间缩短10倍。最近,俄罗斯另一家公司还推出了“密码恢复”工具。进一步促使NVlDIA显卡的通用计算加速。
实际上,WAPI对于无线局域网的应用和发展来说,是一个很好的补充和发展。WLAN网络的安全需要WAPI。在今年2月的ISO/IEC JTCl,SC6日内瓦会议上,WAPI代表团重提WLAN安全仍然面临严重威胁的说法。这一次。连IEEE802.11i的代表也表示了认同。
今年6月的东京会议上,美、英、法等10余个与会国家成员体一致同意将WAPI作为WLAN网络接入安全机制独立标准形式推进为国际标准,WAPI的国际标准之争终于结束。
在无线局域网技术高速发展的今天,技术的领先意味着掌握了主动权。无线局域网的安全是用户关注的重点,相关统计表明。目前有50%的无线局域网用户对网络安全不满意。在未使用WLAN的人群中,有40%的人表示会因为网络安全而不选择使用。这说明现代人越来越关注无线局域网的安全,而WAPI在安全加密方面的优势是明显的。当然,我们不能仅仅局限于作为技术的生力军,在保证技术先进性的同时。WAPI如果在市场推广方面有更果断的措施,很有可能突破Wi-Fi的重围,成为无线局域网领域的主导技术。
6 对发展WAPI的建议
(1)扩展WAPI联盟,发挥WAPI联盟的平台作用
近年来。WAPI产业联盟的规模不断扩大。已经由早期的22家发展到了如今58家的水平,不少海外无线局域网芯片和设备厂商纷纷加入了WAPI阵营,发展势头良好。
Wi―Fi主导厂商英特尔去年已承诺在迅弛芯片中加入WAPI功能。这可以说是给WAPI芯片厂家注射了一针强心剂。国外手机终端厂家也不甘落后,自摩托罗拉推出国内首款支持Wi-Fi/WAPI的A31D0后,诺基亚也在中国了其首款支持Wi-Fi/WAPI的5530XpressMusic,索尼爱立信也在今年7月宣布将推出支持WAPI和TD-SCDMA标准的手机。
但是我们也不能盲目乐观。几乎所有的国外WAPI终端都兼容Wi-Fi。在双方互利互惠、互补发展的同时,如果不能将WAPf的技术优势转化为市场优势。就可能在表面上共赢的局面下,WAPI最终为Wi-Fi“做嫁衣裳”。因而在号召更多国外厂家加入的同时,应该做好WAPI技术推广工作,健全WAPI联盟的产业链,让WAPI良性发展。
对于国内厂家来说,WAPI联盟应该为他们做好穿针引线的工作。自从WAPI联盟与工信部宽带无线标准IP标准工作组联合制定了《汇聚无线控制技术指导性文件》后,2009年4月。大唐电信、京信通信、广州杰赛、烽火虹信、傲天动联等八家WAPI产业联盟成员企业共同对外宣布,他们的WAPI会聚型产品(瘦AP)已实现互联互通。此举打破了当前无线局域网设备供应商各自为政、部分厂商把持技术形成变相垄断的现状。
(2)发挥WAPI的“可运营、可管理”特性,促进运营商在WAPI发展中起关键作用
WAPI良好的安全性本身就蕴含了良好的管理和运营能力,因此中国移动、中国电信在其网络及产品标准中均强烈要求支持WAPI。藉此给予用户可选择和防范安全风险的权力。到2008年底,WAPI已被中国移动、中国电信和新联通等电信运营企业标准采纳;2009年初,WAPI进一步成为中国移动、中国电信的A类必测项。运营商大力投入,也正是看好基于WAPI的WLAN技术能够满足未来运营市场的业务需求。
未来中国的WLAN建设规模会比较大。目前,中国移动、中国电信在WLAN建设规模上尚属试水阶段。在网络规划和运营之前要做好定位,保证客户的感知度和信任感,保证WAPI的市场竞争力。除了继续扩大无线热点建设外,运营商要迅速实施Wi-Fi热点软改造,使其兼容WAPI,改造工作要落到实处。据了解,无线热点的改造难度不大。成本也不会太高。最后。运营商要与厂家在技术交流、产品互联方面做好沟通工作,这在实际布网和后续应用方面会有较大的便利。
运营商是资源的整合者,在未来通信行业的发展中起核心作用。国内运营商要广泛参与WAPI联盟,应该在WAPI联盟里成为领头羊。包括在推动WAPI未来技术演变发展中扮演积极倡导者和推动者的角色。
(3)国家推动WAPI发展的策略
在政策监管方面,国家已明确提出支持Wi-Fi标准的终端如需入网,必须支持WAPI标准,这点无论从国家层面还是监管层面都是毋庸置疑的,这也是WAPI在中国能够顺利推行的重要保障。
Wi-Fi联盟的市场霸权态度,与中国政府的强制措施,激化了Wi―Fi与WAPI的矛盾。鉴于Wi-Fi是商业联盟,所以中国应该更多地培养和支持WAPI联盟的发展,通过WAPI联盟与Wi-Fi协商发展,推动二者的合作共赢。
WAPI工作组专家指出:“WAPI自身的技术先进性及其优势已逐步获得包括美国在内的国际社会和标准组织的认可。”所以中国应该倡导积极的外交政策,配合国内WAPI市场的良性发展。为WAPI在国际上的推广创造好的发展空间。
7 结束语
综上所述,WAPI作为中国积极倡导和发展的无线局域网标准,因其在无线网络安全上的优势,正受到越来越多的关注,与Wi-Fi倡导的IEEE 802.11i一起成为目前主流的无线局域网标准。相信不远的将来,WAPI将真正走入我们的生活。