WAPI：为无线局域网WLAN安全而生

图1 WAPI工作机制与运行过程

WAPI技术框架和关键构成

WAPI由WAI（WLAN Authentication Infrastructure，无线局域网鉴别基础结构)和WPI(WLAN Privacy Infrastructure，无线局域网保密基础结构）两部分组成。WAI提供安全策略协商、用户身份鉴别、接入控制的功能，而WPI则提供用户通信数据的保密性、完整性。WAPI的技术框架如下图所示：

图2 WAPI技术框架图

1、WAI (WLAN Authentication Infrastructure，无线局域网鉴别基础结构)

WAI主要包含两个部分：安全策略的发现与协商、鉴别和密钥协商协议。WAI不仅具有更加安全的鉴别机制、较为灵活的密钥管理技术，而且实现了整个基础网络的集中用户管理，从而满足更多用户和更复杂的安全性要求。

（1）安全策略的发现与协商

移动终端和网络接入点通过信标和探询响应帧来发现安全策略，移动终端和网络接入点在其发出的信标和探询响应帧中包含WAPI参数集合来通告安全策略，如下图所示：

图3 安全策略的发现与协商

在发现了安全策略后，移动终端和网络接入点将进行安全策略的协商。在BSS模式下，它们通过关联过程协商安全策略，在单播密钥协商过程中进行确认；在IBSS模式下，关联过程不一定存在，因此在单播密钥协商过程中进行协商和确认。

（2）鉴别及密钥协商协议

鉴别及密钥协商协议包含两种类型：基于证书的鉴别和密钥管理、基于预共享密钥的鉴别和密钥管理。通过三个过程来实现：证书鉴别、单播密钥协商和组播密钥通告。它们的关系如下图所示。

图4 证书与预共享密钥的关系

三个子过程详细工作流程如下图所示。

图5 子过程详细工作流程图

三个子过程成功完成后，双方均打开受控端口，允许通信数据利用协商或通告的单播或组播密钥进行保护传输。

2、WPI(WLAN Privacy Infrastructure，无线局域网保密基础结构)

WPI主要包含两个部分：WPI密码封装协议、密码算法。WPI用于保护通信数据，保密采用成熟的密码算法封装模式OFB，完整性校验采用CBC-MAC模式，分组算法使用128位的分组算法SM4，为我国国家密码管理局配给的算法。

WPI对MAC子层的MPDU进行加、解密处理，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

WAPI技术优势与特点

WAPI鉴别机制是完整的无线用户和无线接入点的双向认证，身份凭证为基于公钥密码体系的公钥数字证书；其加密机制是高强度分组加密算法，采用可控的会话协商动态密钥，可基于用户、基于认证、通信过程中动态更新，安全强度高。

与现有无线局域网安全体制相比，WAPI的技术能力与特点的优越性集中体现在以下几个方面：

（1）拒绝非授权终端接入；

（2）防止合法终端接入非法网络；

（3）提供终端与网络接入设备之间的双向身份鉴别；

（4）提供无线局域网数据链路层的安全防护密钥动态协商；

（5）有效保障无线局域网链路层数据通信的机密性、完整性以及抗抵赖性；

（6）提供身份集中管理能力，确保无线局域网可管可控。

更进一步地，WAPI作为TePA技术体系的一个有机组成，可以与TePA在其他领域应用的安全技术进行深度无缝地整合，使身份系统和信息安全系统趋向统一，让未来网络从链路层到应用层构建起一个高安全、高可靠、可防御的架构。

WAPI在网络中的应用与部署

典型的WAPI应用场景由终端（STA）、接入点（AP）以及鉴别服务器（AS）等产品构成，如下图所示：

图6 典型WAPI应用场景

一个完整的WLAN安全解决方案需要从公共认证标准、网络组件、通信过程、系统管理、扩展兼容性、性能测试和实现成本等方面综合权衡。WAPI在针对不同的用户需求，提出了一系列不同级别的无线安全技术策略，充分考虑和满足了单一的家庭用户、大中型企业、运营商等不同级别的安全需求。

图7 WAPI的全景应用示意图

结语：需加快WAPI的产业应用

无线局域网安全是网络安全体系的基础，对于保障移动互联网安全乃至维护整个网络安全体系的健壮性都是至关重要的。

如果把WAPI过去十多年的发展过程看成一个长期的研发积累阶段，那么目前WAPI已经进入了全面的市场开拓阶段。WAPI安全技术架构将作为一种广泛适用于无线局域网网络接入控制、支持无线局域网络承载层安全的体系架构，必将迎来更广泛的应用。 返回搜狐，查看更多