關(guān) 閉

新聞中心

EEPW首頁 > 安全與國防 > 設(shè)計應(yīng)用 > WLAN標(biāo)準(zhǔn)GB15629.11安全機(jī)制—WAPI協(xié)議解析

WLAN標(biāo)準(zhǔn)GB15629.11安全機(jī)制—WAPI協(xié)議解析

作者:■北京六合萬通微電子技術(shù)有限公司 呂霞 楊軍 時間:2004-11-20 來源:電子設(shè)計應(yīng)用2004年第10期 收藏

摘    要:我國在2003年5月份提出了無線局域網(wǎng)國家標(biāo)準(zhǔn),其中最引人注目的就是由寬帶無線IP標(biāo)準(zhǔn)工作組制定的新的安全機(jī)制。本文主要就安全機(jī)制進(jìn)行了簡要介紹,并重點描述了WAI鑒別基礎(chǔ)結(jié)構(gòu)。
關(guān)鍵詞:802.11(WLAN);;

本文引用地址:http://butianyuan.cn/article/3914.htm

引言
安全問題一直是困擾在WLAN靈活便捷的優(yōu)勢之上的陰影,已成為阻礙WLAN進(jìn)入信息化應(yīng)用領(lǐng)域的最大障礙。國際標(biāo)準(zhǔn)為此采用了WEP、WPA、802.1x、802.11i、VPN等方式來保證WLAN的安全,但都沒有從根本上解決WLAN的安全問題。我國在2003年5月份提出了無線局域網(wǎng)國家標(biāo)準(zhǔn),引入一種全新的安全機(jī)制—WAPI,使WLAN的安全問題再次成為人們關(guān)注的焦點。WAPI機(jī)制已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認(rèn)可,并分配了用于該機(jī)制的以太類型號(IEEE EtherType Field)0x88b4,這是我國在這一領(lǐng)域向ISO/IEC提出并獲得批準(zhǔn)的唯一的以太類型號。

WAPI安全機(jī)制
無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)WAPI(WLAN Authentication and Privacy Infrastructure)由無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI(WLAN Privacy Infrastructure)組成。其中,WAI采用基于橢圓曲線的公鑰證書體制,無線客戶端STA和接入點AP通過鑒別服務(wù)器AS進(jìn)行雙向身份鑒別。而在對傳輸數(shù)據(jù)的保密方面,WPI采用了國家商用密碼管理委員會辦公室提供的對稱密碼算法進(jìn)行加密和解密,充分保障了數(shù)據(jù)傳輸?shù)陌踩?br/>WAPI充分考慮了市場應(yīng)用,根據(jù)無線局域網(wǎng)應(yīng)用的不同情況,可以以單點式、集中式等不同的模式工作,同時也可以和現(xiàn)有的運(yùn)營商系統(tǒng)結(jié)合起來,支持大規(guī)模的運(yùn)營級服務(wù)。此外,用戶的使用場景不同,WAPI的實現(xiàn)和工作方式也略有詫異。WAPI的用戶使用場景主要有以下幾種:
1. 企業(yè)級用戶應(yīng)用場景:有AP和獨立的AS(鑒別服務(wù)器),內(nèi)部駐留ASU(鑒別服務(wù)單元),實現(xiàn)多個AP和STA證書的管理和用戶身份的鑒別;
2. 小公司和家庭用戶應(yīng)用場景:有AP,ASU可駐留在AP中;
3. 公共熱點用戶應(yīng)用場景:有AP,ASU駐留在接入控制服務(wù)器中;
4. 自組網(wǎng)用戶應(yīng)用場景:無AP,各STA在應(yīng)用上是對等的,采用共享密鑰來實現(xiàn)鑒別和保密。

圖1  狀態(tài)轉(zhuǎn)換圖

WAI
與WAI相關(guān)的STA的狀態(tài)轉(zhuǎn)換圖
圖1給出了與WAI相關(guān)的STA的狀態(tài)轉(zhuǎn)換圖,與ISO/IEC 8802.11-1999的5.5相比,該狀態(tài)圖將原有的“鑒別”改為了“鏈路驗證”,此外新增了專用于處理WAI過程的“鑒別狀態(tài)”。這樣,STA總共需要維護(hù)三個狀態(tài)變量:鏈路驗證狀態(tài),關(guān)聯(lián)狀態(tài)和鑒別狀態(tài),由此決定了STA將會有四種本地狀態(tài),如圖狀態(tài)1~4所示。其中STA和AP之間的WAI鑒別過程處于狀態(tài)3。
鑒別系統(tǒng)結(jié)構(gòu)
圖2描述了鑒別請求者、鑒別器和鑒別服務(wù)實體之間的關(guān)系及信息交換過程。這里首先介紹幾個重要概念,有助于對鑒別系統(tǒng)結(jié)構(gòu)的理解。
鑒別器實體AE:駐留在AP中,在接入服務(wù)前,提供鑒別操作。
鑒別請求者實體ASUE:駐留在STA中,需通過鑒別服務(wù)單元ASU進(jìn)行鑒別。
鑒別服務(wù)實體ASE:駐留在ASU中,為鑒別器和鑒別請求者提供相互鑒別。
在圖2中,鑒別器的受控端口處于未鑒別狀態(tài),鑒別器系統(tǒng)拒絕提供服務(wù),鑒別器實體利用非受控端口和鑒別請求者通信。
受控與非受控端口可以是連接到同一物理端口的兩個邏輯端口,所有通過物理端口的數(shù)據(jù)都可以到達(dá)受控端口和非受控端口,并根據(jù)鑒別狀態(tài)決定數(shù)據(jù)的實際流向。
受控端口:只有當(dāng)該端口的鑒別狀態(tài)為已鑒別時,才允許協(xié)議數(shù)據(jù)通過。只有通過鑒別的STA才能使用的AP提供的數(shù)據(jù)端口為受控端口。
非受控端口:協(xié)議數(shù)據(jù)的傳送不受當(dāng)前鑒別狀態(tài)的限制。AP提供STA連接到鑒別服務(wù)單元ASU的端口即為非受控端口。
需要說明的是,除鑒別數(shù)據(jù)外,系統(tǒng)中AP與STA之間的網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的交換都是通過一個或多個受控端口來實現(xiàn)的。受控端口狀態(tài)由系統(tǒng)鑒別控制參數(shù)確定。
另一個重要概念是鑒別服務(wù)單元ASU,前面已經(jīng)提到,在整個WAI鑒別過程中,ASU作為第三方起著提供鑒別服務(wù)的作用。此外,ASU還擔(dān)當(dāng)著為STA和AP提供證書的頒發(fā)、認(rèn)證、吊銷等功能。一個ASU可以管理一個或多個BSS,在同一個ASU的管理范圍內(nèi),STA與AP之間需通過ASU實現(xiàn)證書的雙向認(rèn)證。

圖2  鑒別系統(tǒng)結(jié)構(gòu)

WAI鑒別基礎(chǔ)結(jié)構(gòu)
在BSS中,當(dāng)STA關(guān)聯(lián)或重新關(guān)聯(lián)至AP時,必須進(jìn)行相互身份鑒別。若鑒別成功,則AP允許STA接入,否則解除其鏈路驗證。整個鑒別過程包括證書鑒別、單播密鑰協(xié)商與組播密鑰通告。
STA與AP之間的鑒別數(shù)據(jù)分組利用以太類型字段為0x88B4的WAPI協(xié)議傳送,AP與ASU之間的鑒別數(shù)據(jù)報文通過端口號為3810的UDP套接口傳輸。
在WAI的整個過程中,涉及到數(shù)種加/解密和消息摘要等算法,可歸納如表1所示。
基于WAI的安全接入控制分類
根據(jù)WLAN的不同類型,可將基于WAI的安全接入控制作以下分類。
BSS(有AP)
WAI典型范例,采用公鑰密碼技術(shù)實現(xiàn)STA與AP之間的相互身份鑒別,證書鑒別成功后分單播密鑰協(xié)商和組播密鑰通告。
IBSS(Ad Hoc,無AP)
WAI采用共享密鑰完成STA之間的相互身份鑒別。網(wǎng)絡(luò)中各個STA約定一個共享密鑰,用戶通過設(shè)置(輸入)共享密鑰接入網(wǎng)絡(luò),和其他用戶交換信息。用戶輸入的為共享主密鑰。
WDS模式
WAI采用共享密鑰完成STA之間的相互身份鑒別。網(wǎng)絡(luò)中各個STA約定一個共享密鑰,用戶通過設(shè)置(輸入)共享密鑰接入網(wǎng)絡(luò),和其他用戶交換信息。用戶輸入的為共享主密鑰。

WPI
WPI采用國家密碼管理委員會辦公室批準(zhǔn)的用于WLAN的SSF43對稱分組加密算法對MAC子層的MSDU進(jìn)行加/解密處理,有兩種工作模式:用于數(shù)據(jù)保密的OFB模式和用于完整性校驗的CBC-MAC模式。
WPI封裝過程
數(shù)據(jù)發(fā)送時,WPI的封裝過程為:
1.利用加密密鑰和數(shù)據(jù)分組序號PN,通過工作在OFB模式的加密算法對MSDU(包括SNAP)數(shù)據(jù)進(jìn)行加密,得到MSDU密文;
2.利用完整性校驗密鑰與數(shù)據(jù)分組序號PN,通過工作在CBC-MAC模式的校驗算法對完整性校驗數(shù)據(jù)進(jìn)行計算,得到完整性校驗碼MIC;
3.封裝后再組幀發(fā)送。
WPI解封裝過程
數(shù)據(jù)接收時,WPI的解封裝過程為:
1.判斷數(shù)據(jù)分組序號PN是否有效,若無效,則丟棄該數(shù)據(jù);
2.利用完整性校驗密鑰與數(shù)據(jù)分組序號PN,通過工作在CBC-MAC模式的校驗算法對完整性校驗數(shù)據(jù)進(jìn)行本地計算,若計算得到的值與分組中的完整性校驗碼MIC不同,則丟棄該數(shù)據(jù);
3.利用解密密鑰與數(shù)據(jù)分組序號PN,通過工作在OFB模式的解密算法對分組中的MSDU密文進(jìn)行解密,恢復(fù)出MSDU明文;
4.去封裝后將MSDU明文遞交至上層處理。

結(jié)語
目前,我們已用軟件實現(xiàn)了STA的WAPI機(jī)制,運(yùn)行結(jié)果完全能夠滿足GB15629.11標(biāo)準(zhǔn)的要求。此外,我們還使用硬件描述語言Verilog HDL對WPI的封裝和解封裝過程進(jìn)行了RTL描述,并從數(shù)字電路設(shè)計的角度對其進(jìn)行了優(yōu)化??傮w而言,WPI硬件仿真結(jié)果較WPI軟件運(yùn)行在時間上體現(xiàn)了強(qiáng)大的優(yōu)勢,這對于保證無線局域網(wǎng)數(shù)據(jù)通信的高速性無疑是很重要的一點。當(dāng)然,WPI軟件可以與驅(qū)動程序相結(jié)合,體現(xiàn)低成本和易維護(hù)的特點。對于WAI,整個過程處在AP和STA之間網(wǎng)絡(luò)協(xié)議數(shù)據(jù)通信之前,因此對時間的要求要略遜一些,而過程相對繁雜,筆者認(rèn)為更宜用軟件實現(xiàn)。■



關(guān)鍵詞: 802.11(WLAN) GB15629.11 WAPI

評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉