WAPI

WAPI

WAPI(WLAN Authentication and Privacy Infrastructure),即無線區域網路鑑別與保密基礎結構,它是針對IEEE802.11中WEP協定安全問題,經多方參加,反覆論證,充分考慮各種套用模式[傳播學中的模式],在中國無線區域網路國家標準GB15629.11中提出的WLAN安全解決方案。同時,本方案已由ISO/IEC授權的機構IEEE Registration Authority(IEEE註冊權威機構)審查並獲得認可,分配了用於WAPI協定的以太類型欄位,這也是中國目前在該領域惟一獲得批准的協定。

基本信息

標準

當前全球無線區域網路領域僅有的兩個標準,分別是美國行業標準組織提出的IEEE802.11系列標準(俗稱Wi-Fi,包括802.11a/b/g/n/ac等),以及中國提出的WAPI標準。WAPI是我國首個在計算機寬頻無線網路通信領域自主創新並擁有智慧財產權的安全接入技術標準。
本方案已由國際標準化組織ISO/IEC授權的機構IEEERegistrationAuthority(IEEE註冊權威機構)正式批准發布,分配了用於WAPI協定的以太類型欄位,這也是中國在該領域唯一獲得批准的協定。
WAPI同時也是中國無線區域網路強制性標準中的安全機制。
與WIFI的單向加密認證不同,WAPI雙向均認證,從而保證傳輸的安全性。WAPI安全系統採用公鑰密碼技術,鑒權伺服器AS負責證書的頒發、驗證與吊銷等,無線客戶端與無線接入點AP上都安裝有AS頒發的公鑰證書,作為自己的數字身份憑證。當無線客戶端登錄至無線接入點AP時,在訪問網路之前必須通過鑑別伺服器AS對雙方進行身份驗證。根據驗證的結果,持有合法證書的移動終端才能接入持有合法證書的無線接入點AP。
無線區域網路鑑別與保密基礎結構(WAPI)系統中包含以下部分:
1、WAI鑑別及密鑰管理
2、WPI數據傳輸保護
無線區域網路保密基礎結構(WPI)對MAC子層的MPDU進行加、解密處理,分別用於WLAN設備的數字證書、密鑰協商和傳輸數據的加解密,從而實現設備的身份鑑別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。
WAPI無線區域網路鑑別基礎結構(WAI)不僅具有更加安全的鑑別機制、更加靈活的密鑰管理技術,而且實現了整個基礎網路的集中用戶管理。從而滿足更多用戶和更複雜的安全性要求。

世貿規則

世界貿易組織的一個重要協定—貿易技術壁壘協定(WTO/TBT)規定WTO各成員國可以為本國安全、健康、環保等正當目標,在符合WTO總協定的有關標準和國際指南的前提下修改或制定出本國新的技術法規、標準等相關檔案。眾所周知,WAPI旨在加強無線網路的安全性,符合WTO上述規則。

WAPI概述

WAPIWAPI

WAPI是WLAN Authentication and Privacy Infrastructure的英文縮寫。它像紅外線藍牙GPRSCDMA1X等協定一樣,是無線傳輸協定的一種,只不過跟它們不同的是它是無線區域網路(WLAN)中的一種傳輸協定而已,它與現行的802.11B傳輸協定比較相近。

WAPI與802.11B的不同

WAPIWAPI
無線區域網路(WLAN)的傳輸協定有很多種,包括802.11A、802.11B、802.11G等等,其中以802.11B最為普及和流行,目前包括迅馳聯想最新的關聯電腦在內的大多數無線網路產品所採用的都是802.11B的傳輸協定,它是由美國非贏利機構WIFI組織制定和進行認證的,而WAPI則由ISO/IEC授權的IEEE Registration Authority審查獲得認可,兩者所屬的機構不同,其性質自然不一樣。其最大的區別是安全加密的技術不同:WAPI使用的是一種名為“無線區域網路鑑別與保密基礎架構(WAPI)”的安全協定,而802.11B則採用“有線加強等效保密(WEP)”安全協定。

WAPI標準的意義

1、出於安全性考慮。國家機密是最高的機密,它如果被泄露出去會直接損害整個國家和民族的利益,後果將不堪構想。但對於無線區域網路來說,偏偏在安全性方面非常脆弱,因為現行的無線網路產品大多數都採用802.11B作為無線傳輸協定,這種協定的優點是傳輸速率能達到11M,與有線區域網路的傳輸速度相近,而且覆蓋範圍達100米。正是其傳輸速度快,覆蓋範圍廣,才使它在安全方面非常脆弱。因為數據在傳輸的過程中都曝露在空中,很容易被別有用心的人截取數據包,雖然,3COM安奈特等國外廠商都針對802.11B制定了一系列的安全解決方案,但總得來說並不盡人意。WAPI由於由中國有關部門掌握著加密的核心技術,而且它的加密技術比802.11B更為先進,WAPI採用國家密碼管理委員會辦公室批准的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法,實現了設備的身份鑑別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。此外,WAPI從套用模式上分為單點式和集中式兩種,可以徹底扭轉目前WLAN採用多種安全機制並存且互不兼容的現狀,從根本上解決安全問題和兼容性問題。所以中國強制性地要求相關商業機構執行WAPI標準能更有效地保護數據的安全。
2、出於利益方面的考慮。中國是個經濟蓬勃發展的開發中國家,許多產品都擁有巨大的發展空間,尤其是高科技產品。但是,中國在高科技產品方面喪失了很多的機會,由於極少有自主核心技術和自己業界標準的產品,造成了頗為被動的局面。WLAN(無線區域網路)在中國是一個新興的新生事物,發展勢頭迅猛。中國目前只有800多個無線區域網路的熱點,使用WLAN的用戶雖然並不是很多,但增長速度比較快,因此,中國的WLAN的市場潛力很大。中國現在制定自己的WLAN傳輸協定標準,從長遠來看,將會取得很大的經濟利益。

WAPI的作用

WAPIWAPI
對於個人用戶而言,WAPI的出現最大的受益就是讓自己的筆記本電腦從此更加安全,因為WLAN在進行數據傳輸時是完全暴露在半空中的,而且信號覆蓋範圍廣,如果安全性不好,合法用戶的數據就很容易被非法用戶截獲和破解。同時,非法用戶還可以偽裝成合法用戶,和合法用戶共同使用網路資源,使合法用戶的利益蒙受損失。
另外,設備間互聯是運營商必須要考慮的問題。當前,雖然許多廠商的產品都宣稱通過了wi-fi兼容性測試,但由於各廠商所提出和採用的安全解決方案不同。例如,安奈特(AT-WR2411無線網卡)提供的是多級的安全體系,包括擴頻編碼和加密技術,安全的信息通過40和128位的Wired Equivalent Privacy (WEP) 加密方法;而3Com的無線網卡如果和3Com 11 Mbps無線區域網路Access Point 6000配合使用,則可以使用高級的動態安全鏈路技術,該技術與共享密鑰的方案不同,它會自動為每一個會話生成一個128位的加密密鑰。這樣,由於缺乏統一的安全解決方案標準,導致了不同的WLAN設備在啟用安全功能時無法互通,會造成運營商的設備管理極其複雜,需要針對不同的安全方案開發不同用戶管理功能,導致運營和維護成本大大增加,也不利於保護投資,而用戶因為無法在不同的安全AP(Access Point)間漫遊,而降低客戶滿意度,同時也會常常會令用戶的設備兼容性出現問題。

WAPI符合WTO法規

世界貿易組織的一個重要協定—貿易技術壁壘協定 (WTO/TBT)規定WTO各成員國可以為本國安全、健康、環保等正當目標,在符合WTO總協定的有關標準和國際指南的前提下修改或制定出本國新的技術法規、標準等相關檔案。眾所周知,WAPI旨在加強無線網路的安全性,符合WTO上述規則。

WAPI標準對世界的影響及阻力

WAPIWAPI
中國正式發布WAPI的時間是2003年5月12日,為了讓業界知道中國即將實施的新標準,信息產業部、國標委等八大部委2003年7月在北京聯合舉行了宣傳推廣活動,WAPI真正被廣受關注的起因是中國三大政府職能部門在短短五天之內兩度發布的公告:11月26日,中國國有質量監督檢驗檢疫總局聯合國家標準化管理委員會發布了“關於無線區域網路強制性國家標準(WAPI,筆者注)實施的公告”;12月1日,國家認證認可監督管理委員會則回應前一公告,“2004年6月1日起,對無線區域網路產品實施強制性認證”。
12月4日,華爾街日報報導說,“中國無線技術加密標準引發業界慌亂”,從此引起了媒體更多更為慌亂的報導。
12月9日,Paul Nikolich──前無線網國際標準制定者IEEE802與都市城域網路標準委會員主席──給中國標準化管理局局長李忠海和信息產業部部長王旭東發來一封信,信中警告說,“新標準的強制執行會對無線網路產品市場造成很大的衝擊,將全球市場一分為二;而且限制基於802.11標準的產品在中國地區的銷售將會縮小用戶購買產品時的選擇範圍,從而增加無線網路設備的成本。”
與7月份跨國公司集體保持沉默不同,飛利浦朗通環球湯姆森等歐洲廠商,紛紛向中國政府示好,表示“將會理解和支持中國WLAN新國家標準”,並稱儘快推出符合標準的產品。與此同時,戴爾也開始忙起來。“戴爾在研究新標準。”戴爾中國公司的一位高層人士表示,預計6個月的寬限期結束時,公司將暫停向中國發運受此政策影響的產品。
另外,據Wi-fi聯盟主席丹尼斯-伊頓(Dennis Eaton)稱,Wi-fi聯盟也已經派代表與中國政府多個部門進行了接觸,他們正就如何理解新標準,以及中國政府計畫如何執行新標準等問題進行初步探討。
美國是無線網路產品的最大供應商,因此WAPI標準的實施對於美國的利益將造成最大的影響。因此,中國推出WAPI遇到最大的阻力是美國方面的。美國不但派人來遊說中國放棄這一標準,而且其政府也介入了這場爭論之中。

WAPI與WiFi之爭

WAPIWAPI
WAPI是中國自主研發的,擁有自主智慧財產權的無線區域網路安全技術標準。相比WiFi,對於用戶而言,WAPI可以使筆記本電腦以及其他終端產品更加安全。

但現在,WiFi已主導市場。如果WAPI標準一旦在中國強制執行,現有迅馳筆記本電腦將無法使用。如果中國筆記本電腦全部使用WAPI標準,則無法在目前遍布WiFi熱點的機場五星級飯店星巴克或者歐美已開發國家使用。

WiFi還在快速擴充市場

與WAPI的集體失語比較,WiFi的中國進程則要高調很多。據悉,WiFi已宣布部署WIFI基站,讓家庭用戶隨時隨地接入網際網路。而此前WiFi熱點只覆蓋到機場、咖啡屋等有需求的地方。

不過,據記者了解,現在市面上套用WAPI安全協定標準的產品很少,無線路由器暫時沒有,筆記本電腦只有聯想、索尼方正曾經推出過,現在已經絕跡,而英特爾已經等不及802.11n的標準公布,強行將WIFI標準的802.11n植入最新的晶片。

專家認為,在實際操作中,WAPI一直處於未採用、邊緣化的狀態。而採用有嚴重缺陷的WiFi標準建設將使國家公共基礎設施網路存在極大的安全隱患和公共信息安全問題。

WAPI和WiFi能否兼容

早在2006年,著名電信專家、北京郵電大學教授闞凱力就表示,WAPI與WiFi的唯一區別就是在認證保密方面,WAPI比WiFi強。但WiFi與WAPI不兼容。如果WAPI強制套用,現有的迅馳筆記本電腦將不能使用,而套用WAPI標準的筆記本電腦或者其他終端產品,拿到外國也不能用,而外國的筆記本電腦拿到中國也不能使。

不過,WAPI聯盟的技術專家告訴記者,在國內全面推廣WAPI,最有可能受影響的是已經在國內銷售的千萬迅馳筆記本用戶,但並非需要購買單獨的網卡才可以使用WAPI。“只要英特爾願意在網上公布迅馳筆記本的WAPI軟體補丁或直接把驅動嵌入進作業系統中安裝,迅馳筆記本或者採用WiFi標準的無線產品都可以套用WAPI標準的無線網路。”該專家表示,“這件事對於英特爾來說是輕而易舉的事情。問題的關鍵是英特爾願不願意,而不是能不能!”

組成

WAPI包括兩部分:WAI(WLANAuthenticationInfrastructure)和WPI(WLANPrivacyInfrastructure)。WAI和WPI分別實現對用戶身份的鑑別和對傳輸的業務數據加密,其中WAI採用公開密鑰密碼體制,利用公鑰證書來對WLAN系統中的STA和AP進行認證;WPI則採用對稱密碼算法實現對MAC層MSDU的加、解密操作。

(1)WAPI接入控制實體

WAPI接入控制中包括以下4個實體。
鑑別服務單元ASU(authenticationserviceunit),基本功能是實現對用戶證書的管理和用戶身份的鑑別等,是基於公鑰密碼技術的WAI鑑別基礎結構中重要的組成部分。ASU管理的證書里包含證書頒發者(ASU)的公鑰和簽名以及證書持有者STA和AP的公鑰和簽名,並採用WAPI特有的橢圓曲線作為數字簽名算法。
鑑別器實體AE(AuthenticatorEntity),為鑑別請求者實體在接入服務之前提供鑑別操作的實體。該實體駐留在AP設備或者AC設備中。鑑別請求者實體ASUE(AuthenticationSUpplicantEntity),在接入服務之前請求進行鑑別操作的實體。該實體駐留在STA中。
鑑別服務實體ASE(AuthenticationServiceEntity),為鑑別器實體和鑑別請求者實體提供相互鑑別服務的實體。該實體駐留在ASU中。

(2)WAPI信息元素

為了使STA能夠識別啟用WAPI無線安全機制,在信標幀、關聯請求幀、重新關聯請求幀和探詢請求幀中攜帶WAPI信息元素。對於AP來說,需要在發出信標幀和探詢回響幀中,根據當前AP上WAPI的配置加入相應的WAPI信息元素。同時,解析關聯請求幀和重新關聯請求幀,只有在符合當前AP上WAPI的配置條件時才能和該STA進行後續的協商。WAPI信息元素的格式如圖1所示,該元素長度最大不超過255Byte。

如圖WAPI信息元素格式

WAPI 信息元素格式WAPI 信息元素格式
其中元素標識ID應為68。長度欄位標識WAPI信息元素中除元素標識ID和長度欄位以外欄位的位元組數。版本欄位標識WAPI協定的版本號,本規範中版本號為1,其他值保留。鑑別和密鑰管理(AKM)套件計數欄位標識STA支持的鑑別和密鑰管理機制個數。鑑別和密鑰管理(AKM)套件欄位包含STA支持的鑑別和密鑰管理機制,m為鑑別和密鑰管理套件計數欄位的值。單播密碼套件計數欄位標識STA支持的單播密碼算法個數。單播密碼套件欄位包含STA支持的單播密碼算法,n為單播密碼套件計數欄位的值。組播密碼套件欄位包含STA支持的組播密碼算法。WAPI能力信息,比特0為預鑑別標識位,其他位保留。BKID計數和列表欄位,BKID計數和列表欄位僅用於發往AP的關聯或重新關聯請求幀中。BKID計數欄位表示BKID列表欄位中包含的BKID個數。
WAPI 身份鑑別和密鑰協商WAPI 身份鑑別和密鑰協商
(3)WAPI身份鑑別和密鑰協商WAPI鑑別及密鑰管理的方式有兩種,即基於證書和基於預共享密鑰PSK。若採用基於證書的方式,整個過程包括證書鑑別、單播密鑰協商與組播密鑰通告;若採用預共享密鑰的方式,整個過程則為單播密鑰協商與組播密鑰通告。這幾個過程的互動如圖所示,
WAPI 身份鑑別和密鑰協商WAPI 身份鑑別和密鑰協商

WAPI 身份鑑別和密鑰協商WAPI 身份鑑別和密鑰協商
(4)WAPI報文封裝和加解密
WPI保密基礎結構對MAC子層的MPDU進行加、解密處理,但對於WAI協定分組不進行加解密處理。經過加密處理後的MPDU封裝結構如圖所示。
其中,MAC頭當地址4存在時,長度為30個位元組;當地址4不存在時,長度為24個位元組。當MAC頭包含服務質量控制(QoS)子欄位時,長度再增加兩個位元組,目前WAPI協定中沒有定義無線QoS的操作,即不支持無線QoS。KeyIdx表示USKID或MSKID或STAKeyID的索引值,這個報文使用的會話密鑰索引值,保留欄位默認值為0。PN欄位表示一個整數,標識數據分組
序號,該數據分組序號作為OFB、CBC-MAC模式下數據加密和校驗時所需的IV。數據分組序號PN欄位按照小端模式編碼傳送。PDU(數據)欄位為MPDU數據,最大長度為2278=2312-18(WPI頭)-16(MIC)。FCS欄位為MAC幀格式的幀校驗序列。MIC欄位是利用完整性校驗密鑰採用CBCMAC工作方式對完整性校驗數據計算得到,圖6為MIC計算時完整性校驗數據的組成結構。
WAPI 的MPDU 封裝結構WAPI 的MPDU 封裝結構
如圖 WAPI的MPDU封裝結構

區別

如下表所示

項目 WAPI IEEE 802.11(WIFI標準)
鑑別 鑑別機制 雙向鑑別(AP和MT通過AS實現相互的身份鑑別) 單向和雙向鑑別(MT和Radius之間),MT不能夠鑑別AP的合法性
鑑別方法 鑑別過程簡單易行;身份憑證為公鑰數字證書;無線用戶與無線接入點地位對等,不僅實現無線接入點的接入控制,而且保證無線用戶接入的安全性;客戶端支持多證書,方便用戶多處使用,充分保證其漫遊功能 鑑別過程較為複雜;用戶身份通常為用戶名和口令;AP後端的Radius伺服器對用戶進行認證;
鑑別對象 用戶 用戶
密鑰管理 全集中(區域網路內統一由AS管理) AP和Radius伺服器之間需手工設定共享密鑰;AP和MT之間只定義了認證體系結構,不同廠商的具體設計可能不兼容;實現兼容性的成本較高
安全漏洞 未查明 用戶身份憑證簡單,易被盜取,且被盜取後可任意使用;共享密鑰管理存在安全隱患
加密 密鑰 動態(基於用戶、基於鑑別、通信過程中動態更新) 動態
算法 國密辦批准的分組加密算法(SMS4) 128 bit AES和128 bit RC4

發展歷史

2008年 WAPI在中國電信和中國移動wlan入網測試規範中被定為A類必須滿足的測試項。
2008年3月 兩會期間全國人大代表、西安電子科技大學副校長郝躍提交《關於加速推進我國自主網路通信安全標準WAPI的建議》的議案。
2008年4月SC6會議期間 我國重啟WAPI國際標準進程,會議同意了WAPI進入研究階段;經過獨立標準、附錄、技術報告等多種方式的評估後,會議確定WAPI以獨立標準和技術報告(屬ISO標準文獻類)作為WAPI推進為國際標準的兩個最終考慮方案。
2008年7月16日 全球第一款WAPI+GSM雙模手持終端研製成功。
2008年8月北京奧運會期間 在奧運場館無線覆蓋項目中,WAPI取得“零故障、零投訴”的好成績。
2008年9月 WAPI產業聯盟面向套用市場推出WAPI SOM系列解決方案,並積極地開展面向運營商的示範網項目。
2008年10月21日至25日 在北京國際信息通信展覽會上,WAPI產業聯盟對外表示,從運營商建網需求角度講,WAPI已進入全新的發展階段。
2008年12月 WAPI聯盟廠商實現最低成本解決Wi-Fi網路及終端向WAPI平滑過渡。
2008年底 WAPI已被中國移動、中國電信和新聯通三大電信運營企業標準採納。
2009年1月 全球無線晶片知名廠商Marvell的核心晶片模組廠商海華科技推出了全系列配合WAPI套用的無線模組IC。
2009年2月 WAPI已成為中國移動和中國電信採購WLAN設備測試的必測項。
2009年4月 中國電信集團宣布,將大力推動WAPI的發展,並建立以WLAN全國漫遊認證中心,以實現WLAN用戶的漫遊需求。擬通過WAPI在大規模公眾網路的部署和開展運營,尤其是在手機端與CDMA網路結合與互補,構建廣覆蓋、高速率的寬頻無線網路。
2009年4月17日 工業和信息化部宣布今後國內所有2G和3G手機都可以使用WAPI技術。
2009年4月 第一款由海爾和中國電信共同打造的WAPI/Wi-Fi手機對外發布。
2009年4月 大唐電信、京信通信、廣州傑賽、烽火虹信、傲天動聯等8家WAPI產業聯盟成員企業共同對外宣布,他們的WAPI會聚型產品(瘦AP)已實現互聯互通。
2009年5月 中國移動、中國電信先後展開2009年WLAN網路設備招標,要求新建WLAN網路設備全部具有WAPI功能。
2009年6月1日至5日 在ISO/IEC JTC1/SC6日本東京會議上,WAPI獲得包括美、英、法等10餘個與會國家成員體一致同意,將以獨立文本形式推進其成為國際標準。
2009年6月18日 摩托羅拉宣布中國第一款支持WAPI高速無線網路接入的智慧型手機MOTO A3100正式上市。

產業鏈

WAPI產業內部人士介紹,WAPI其實不像外界想像的那樣,這些年停滯不前,實際上是在持續的發展和推進。目前,WAPI產業鏈已頗具厚度,具有WAPI功能的晶片全球出貨量累計已超過40億顆,移動終端產品型號超過7000款/近6億部。國內三大電信運營商建設的公共無線區域網路設備(AP/AC)均具備WAPI能力(累計約700萬個無線區域網路熱點),並已在電力、金融、教育等行業逐步推廣。
運營商
中國移動通信集團公司
中國電信集團公司
中國聯合網路通信集團有限公司
平台與機構
國家無線電監測中心
國家密碼管理局商用密碼研究中心
北京五龍電信技術有限公司
北京同耀通電科技有限公司
上海市數字證書認證中心有限公司
其它
國家密碼管理局商用密碼研究中心

電信知識

2008年5月25號晚間,繼三大部委發布電信業重組的《關於深化電信體制改革的通告》(以下簡稱《通告》)後,中國電信、中國聯通、中國移動、中國網通、中國衛通幾乎同時對外發布公告,確認即將進行重組,目前正在與其它相關運營商洽商。中國電信業重組可以說於我們的生活密切相關,那么,讓我們去認識它,了解它的相關知識。

相關搜尋

熱門詞條

聯絡我們