WAPI
网络安全标准结构
WAPI (Wireless LAN Authentication and Privacy Infrastructure)是无线局域网鉴别和保密基础结构,是一种安全协议,同时也是中国无线局域网安全强制性标准,最早由西安电子科技大学综合业务网理论及关键技术国家重点实验室提出。
标准
当前全球无线局域网领域仅有的两个标准,分别是美国行业标准组织提出的IEEE 802.11系列标准(包括802.11a/b/g/n/ac等),以及中国提出的WAPI标准。WAPI是我国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准。
本方案已由国际标准化组织ISO/IEC授权的机构IEEE Registration Authority(IEEE注册权威机构)正式批准发布,分配了用于WAPI协议的以太类型字段,这也是中国在该领域唯一获得批准的协议。
WAPI 同时也是中国无线局域网强制性标准中的安全机制。
与WIFI的单向加密认证不同,WAPI双向均认证,从而保证传输的安全性。WAPI安全系统采用公钥密码技术,鉴权服务器AS负责证书的颁发、验证与吊销等,无线客户端与无线接入点AP上都安装有AS颁发的公钥证书,作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果,持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。
无线局域网鉴别与保密基础结构(WAPI)系统中包含以下部分:
1、WAI鉴别及密钥管理
2、WPI数据传输保护
无线局域网保密基础结构(WPI)对MAC子层的MPDU进行加、解密处理,分别用于WLAN设备的数字证书密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
WAPI无线局域网鉴别基础结构(WAI)不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理。从而满足更多用户和更复杂的安全性要求。
世贸规则
世界贸易组织的一个重要协定—贸易技术壁垒协定(WTO/TBT)规定WTO各成员国可以为本国安全、健康、环保等正当目标,在符合WTO总协定的有关标准和国际指南的前提下修改或制定出本国新的技术法规、标准等相关文件。众所周知,WAPI旨在加强无线网络的安全性,符合WTO上述规则。
作用
1、出于安全性考虑。
2013年斯诺登曝光了美国棱镜门事件,同时也披露了美国包括NSA、国土安全部、FBI、CIA在内的十余家情报机构,通过与美国标准制定机构长期合作,将有明显技术缺陷的密码算法和安全机制方案埋入其主导并参与的国际标准,从而实施全球网络监控计划的技术标准控制路径。这为各国的网络与信息安全敲响了警钟,各国都开始重新审视WIFI安全性和美国阻击WAPI的真实用心,这也成为WAPI重获新生的机遇。
对于个人用户而言,WAPI的出现最大的受益就是让自己的笔记本电脑从此更加安全。无线局域网传输速度快,覆盖范围广,因此它在安全方面非常脆弱。因为数据在传输的过程中都曝露在空中,很容易被别有用心的人截取数据包。虽然,3COM、安奈特等国外厂商都针对802.11制定了一系列的安全解决方案,但总得来说并不尽人意,而且其核心技术掌握在别国人手中,他们既然能制定得出来就一定有办法破解,所以在安全方面成了政府和商业用户使用WLAN的一大隐患。WIFI加密技术经历了WEP、WPA、WPA2的演化,每一次都极大提高了安全性和破解难度,然而由于其单向认证的缺陷,这些加密技术均已经被破解并公布。WPA于2008年被破解。WPA2则于2010年上半年被黑客破解并在网上公布。
而WAPI由于采用了更加合理的双向认证加密技术,比802.11更为先进,WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法,实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。此外,WAPI从应用模式上分为单点式和集中式两种,可以彻底扭转WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。所以我国强制性地要求相关商业机构执行WAPI标准能更有效地保护数据的安全。
另外,设备间互联是运营商必须要考虑的问题。当前,虽然许多厂商的产品都宣称通过了wi-fi兼容性测试,但由于各厂商所提出和采用的安全解决方案不同。例如,安奈特(AT-WR2411无线网卡)提供的是多级的安全体系,包括扩频编码和加密技术,安全的信息通过40和128位的Wired Equivalent Privacy (WEP) 加密方法;而3Com的无线网卡如果和3Com 11 Mbps无线局域网Access Point 6000配合使用,则可以使用高级的动态安全链路技术,该技术与共享密钥的方案不同,它会自动为每一个会话生成一个128位的加密密钥。这样,由于缺乏统一的安全解决方案标准,导致了不同的WLAN设备在启用安全功能时无法互通,会造成运营商的设备管理极其复杂,需要针对不同的安全方案开发不同用户管理功能,导致运营和维护成本大大增加,也不利于保护投资,而用户因为无法在不同的安全AP(Access Point)间漫游,而降低客户满意度
2、出于利益方面的考虑。
我国是个经济蓬勃发展的发展中国家,许多产品都拥有巨大的发展空间,尤其是高科技产品。但是,在以前,我国在高科技产品方面丧失了很多的机会,由于极少有自主核心技术和自己业界标准的产品,造成了颇为被动的局面:DVD要被外国人收取大量的专利费,GPRS、CDMA1X等等的标准都掌握在外国人手里,我国只能乖乖地将大把的钞票送给人家去买人家的标准,而自己则像个替人“打工”的工人,只能去搞OEM、去帮人组装产品。所以,有人说“一流的企业卖标准、二流的企业卖技术、三流的企业卖产品”。
组成
WAPI包括两部分:WAI(WLANAuthentication Infrastructure)和WPI(WLAN Privacy Infrastructure)。WAI和WPI分别实现对用户身份的鉴别和对传输的业务数据加密,其中WAI采用公开密钥密码体制,利用公钥证书来对WLAN系统中的STA和AP进行认证;WPI则采用对称密码算法实现对MAC层MSDU的加、解密操作。
1、WAPI 接入控制实体
WAPI接入控制中包括以下4个实体。
(1)鉴别服务单元ASU(authentication service unit),基本功能是实现对用户证书的管理和用户身份的鉴别等,是基于公钥密码技术的WAI 鉴别基础结构中重要的组成部分。ASU管理的证书里包含证书颁发者(ASU)的公钥和签名以及证书持有者STA和AP的公钥和签名,并采用WAPI特有的椭圆曲线作为数字签名算法
(2)鉴别器实体AE(Authenticator Entity),为鉴别请求者实体在接入服务之前提供鉴别操作的实体。该实体驻留在AP 设备或者AC设备中。
(3)鉴别请求者实体ASUE(Authentication SUpplicant Entity),在接入服务之前请求进行鉴别操作的实体。该实体驻留在STA 中。
(4)鉴别服务实体ASE(Authentication Service Entity),为鉴别器实体和鉴别请求者实体提供相互鉴别服务的实体。该实体驻留在ASU 中。
2、WAPI 信息元素
为了使STA能够识别启用WAPI无线安全机制,在信标帧、关联请求帧、重新关联请求帧和探询请求帧中携带WAPI信息元素。对于AP来说,需要在发出信标帧和探询响应帧中,根据当前AP上WAPI的配置加入相应的WAPI信息元素。同时,解析关联请求帧和重新关联请求帧,只有在符合当前AP上WAPI的配置条件时才能和该STA进行后续的协商。WAPI信息元素的格式如图1所示,该元素长度最大不超过255Byte。
其中元素标识ID应为68。长度字段标识WAPI信息元素中除元素标识ID和长度字段以外字段的字节数。版本字段标识WAPI协议的版本号,本规范中版本号为1,其他值保留。鉴别和密钥管理(AKM)套件计数字段标识STA支持的鉴别和密钥管理机制个数。鉴别和密钥管理(AKM)套件字段包含STA支持的鉴别和密钥管理机制,m为鉴别和密钥管理套件计数字段的值。单播密码套件计数字段标识STA支持的单播密码算法个数。单播密码套件字段包含STA支持的单播密码算法,n 为单播密码套件计数字段的值。组播密码套件字段包含STA支持的组播密码算法。WAPI能力信息,比特0为预鉴别标识位,其他位保留。BKID计数和列表字段,BKID计数和列表字段仅用于发往AP的关联或重新关联请求帧中。BKID计数字段表示BKID列表字段中包含的BKID个数。
3、WAPI 身份鉴别和密钥协商
WAPI鉴别及密钥管理的方式有两种,即基于证书和基于预共享密钥PSK。若采用基于证书的方式,整个过程包括证书鉴别、单播密钥协商与组播密钥通告;若采用预共享密钥的方式,整个过程则为单播密钥协商与组播密钥通告。这几个过程的交互如图2中图2、图2中图3,图3所示,
4、WAPI 报文封装和加解密
WPI保密基础结构对MAC子层的MPDU进行加、解密处理,但对于WAI协议分组不进行加解密处理。经过加密处理后的MPDU封装结构如图4所示。
图4 WAPI 的MPDU 封装结构
其中,MAC头当地址4 存在时,长度为30个字节;当地址4不存在时,长度为24个字节。当MAC 头包含服务质量控制(QoS)子字段时,长度再增加两个字节,WAPI协议中没有定义无线QoS的操作,即不支持无线QoS。KeyIdx表示USKID或MSKID或STAKeyID的索引值,这个报文使用的会话密钥索引值,保留字段默认值为0。PN字段表示一个整数,标识数据分组
序号,该数据分组序号作为OFB、CBC-MAC模式下数据加密和校验时所需的IV。数据分组序号PN字段按照小端模式编码发送。PDU(数据)字段为MPDU数据,最大长度为2278=2312-18(WPI头)-16(MIC)。FCS字段为MAC帧格式的帧校验序列。MIC字段是利用完整性校验密钥采用CBCMAC工作方式对完整性校验数据计算得到,图5为MIC计算时完整性校验数据的组成结构。
图5 WAPI 的MPDU 封装结构
区别
如下表所示
(参考来源:)
发展历史
1992年,中国开始无线局域网研究
1994年,中国第一台WLAN样机,诞生于西安电子科技大学综合业务网理论及关键技术国家重点实验室,并通过部级鉴定。
2000年底,西电捷通成立——由西安电子科技大学(综合业务网理论及关键技术国家重点实验室)等发起成立的高科技股份制企业,无线局域网国家标准的起草者。
2001年6月,由于IEEE 802.11标准存在的严重安全技术漏洞,信息产业部开始下达无线局域网国家标准起草任务。
2001年8月,西电捷通发起成立中国“宽带无线IP标准工作组”,开发中国的无线局域网安全技术,同年11月完成标准草案。
2003年5月,国家强制标准GB 15629.11/1102-2003批准即WAPI发布,并宣布将于2003年底实施。英特尔等跨国公司以准备时间不足为由,要求推迟实施。
2003年11月,国家质监总局和国家标准化管理委员会发布公告,从2004年6月1日起,境内的无线局域网产品必须采用WAPI标准。但英特尔、博通等美国公司强烈抵制,并威胁将停止在中国开展无线业务,声称WAPI标准将迫使自己与中国公司共享敏感信息.
2004年3月,美国务卿鲍威尔、商务部长埃文斯、贸易代表佐立克联名致信,要求中国放弃WAPI标准。称这一标准是国际贸易的壁垒。
2004年4月,国家质检总局、国家认监委、国家标准委联合发布公告:2004年6月1日将延期强制实施WAPI标准。
2004年7月,中国向国际标准化组织ISO提交了WAPI提案,试图推进其成为国际标准,但遭到美国方面的强烈阻挠,包括阻止中方WAPI技术专家参加会议的方式。中国代表团中所有WAPI技术专家均被拒签,仅管理人员获得签证。中国代表团不得不寻求保护并将相关工作延迟至次年的德国法兰克福会议
2005年11月,发改委等八部委连续召开WAPI部际联席会议。12月,财政部等三部委联合 “关于印发无线局域网产品政府采购实施意见的通知”
2006年1月,国家质检总局颁布了无线局域网修改单GB 15629.11-2003/XG1-2006及其扩展子项国家标准GB 15629.1101-2006《无线局域网媒体访问控制和物理层规范:5.8GHz频段高速物理层扩展规范》、GB15629.1104-2006《无线局域网媒体访问控制和物理层规范:2.4GHz频段更高数据速率扩展规范》、GB/T 15629.1103-2006《无线局域网媒体访问控制和物理层规范:附加管理域操作规范》等三项补篇国家标准,形成了全面采用WAPI技术的WLAN国家标准体系。
2006年3月,国际标准化组织ISO的投票中,WAPI以悬殊的得票率负于美国标准802.11i.
2006年6月,质检总局、国标委联合发布《关于发布无线局域网国家标准的公告》
2008年 WAPI在中国电信和中国移动WLAN入网测试规范中被定为A类必须满足的测试项。
2008年3月 两会期间全国人大代表、西安电子科技大学副校长郝跃提交《关于加速推进我国自主网络通信安全标准WAPI的建议》的议案。
2008年4月,在ISO/IECJTC1/SC6日内瓦会议上,中国第二次启动WAPI提案。在这次会议上,国际标准组织认为802.11i仍无法满足无线网络的安全需求,同意了WAPI进入研究阶段;经过独立标准、附录、技术报告等多种方式的评估后,会议确定WAPI以独立标准和技术报告(属ISO标准文献类)作为WAPI推进为国际标准的两个最终考虑方案。
2008年7月,在包括ISO/IEC总部官员、中方代表、IEEE代表等参加的WAPI特别会议上,IEEE代表和美国代表改变原本坚决反对WAPI提案的立场,达成了WAPI可作为独立标准推进的共识。全球第一款WAPI+GSM双模手持终端研制成功。
2008年8月,北京奥运会期间 在奥运场馆无线覆盖项目中,WAPI取得“零故障、零投诉”的好成绩。
2008年9月,WAPI产业联盟面向应用市场推出WAPI SOM系列解决方案,并积极地开展面向运营商的示范网项目。
2008年10月21日至25日 在北京国际信息通信展览会上,WAPI产业联盟对外表示,从运营商建网需求角度讲,WAPI已进入全新的发展阶段。
2008年12月,WAPI联盟厂商实现最低成本解决Wi-Fi网络及终端向WAPI平滑过渡。
2008年底,WAPI被中国移动、中国电信和新联通三大电信运营企业标准采纳。
2009年1月,全球无线芯片知名厂商Marvell的核心芯片模组厂商海华科技推出了全系列配合WAPI应用的无线模块IC。
2009年2月,WAPI已成为中国移动和中国电信采购WLAN设备测试的必测项。
2009年4月,中国电信集团宣布,将大力推动WAPI的发展,并建立以WLAN全国漫游认证中心,以实现WLAN用户的漫游需求。拟通过WAPI在大规模公众网络的部署和开展运营,尤其是在手机端与CDMA网络结合与互补,构建广覆盖、高速率的宽带无线网络。
2009年4月,中国工信部召集手机厂商开会,宣布今后国内所有2G和3G手机都可以使用WAPI技术
2009年4月,第一款由海尔和中国电信共同打造的WAPI/Wi-Fi手机对外发布。大唐电信、京信通信、广州杰赛、烽火虹信、傲天动联等8家WAPI产业联盟成员企业共同对外宣布,他们的WAPI会聚型产品(瘦AP)已实现互联互通。
2009年5月 中国移动、中国电信先后展开2009年WLAN网络设备招标,要求新建WLAN网络设备全部具有WAPI功能。
2009年6月,在东京召开的ISO/IEC JTC1/SC6会议上,包括美、英、法等10余个与会国家成员体一致同意,将WAPI作为无线局域网络接入安全机制独立标准形式推进为国际标准。(其中美国代表杰西·沃克既是英特尔的安全架构师,也是802.11i标准的编辑者),从而获得打破IEEE垄断的希望。
2009年6月18日,摩托罗拉宣布中国第一款支持WAPI高速无线网络接入的智能手机MOTO A3100正式上市。
2010年6月,WAPI基础框架方法(虎符TePA)获国际标准化组织正式批准发布。
从2004到2011年,只要是在美国举办的国际标准化组织会议,老美均拒绝给中方WAPI技术人员签证。中方不得不多次推迟到下一次非美国本土举行的会议上。2013年斯诺登曝光棱镜计划为WAPI获得国际认可扫清了心理障碍
2013年12月,商务部公布的《第24届中美商贸联委会中方成果清单》显示WAPI的核心专利已在美国通过专利。至此,中德英法日韩美等多个国家已经承认相关专利。
2014年上半年,飞天联合、西南交大等单位和铁路部门一道,联合设计了一款基于WAPI标准的车内无线网络系统,火车上网有望实现。
2018年11月,支持WAPI的无线局域网芯片已超过400款型号、全球累计出货量超过110亿颗,移动终端和网络侧设备等已超过13000款。
截至2019年12月,全球无线局域网芯片均已支持WAPI,芯片达500多个型号,全球出货量超过140亿颗,具备WAPI安全能力的无线局域网产品超过14000款。
支持WAPI的手机:由于WAPI是中国无线局域网安全强制性标准,因此包括iPhone在内的智能手机均已支持WAPI标准(这些手机均同时支持WIFI标准)。
2023年8月,WAPI产业联盟发消息称我国自主研发的2项无线局域网接入控制技术——组网架构和调度平台技术由国际标准化组织和国际电工委员会(ISO/IEC)联合发布为国际标准。这是我国在无线通信网络云管理技术领域,围绕基础架构和组网模式提出并获得发布的首批国际标准。
与WIFI的竞争
WAPI是中国自主研发的,拥有自主知识产权无线局域网安全技术标准。相比WiFi,对于用户而言,WAPI可以使笔记本电脑以及其他终端产品更加安全。WAPI的安全性虽然获得了包括美国在内的国际上的认可,但是一直都受到WIFI联盟商业上的封锁,一是宣称技术被中国掌握不安全,所谓的中国威胁论;二是宣称与现有WIFI设备不兼容。由于美国的阻击,WiFi已主导市场。
市面上单纯应用WAPI安全协议标准的产品很少,无线路由器暂时没有,笔记本电脑只有联想、索尼和方正曾经推出过。在实际操作中,WAPI一直处于未采用、边缘化的状态。
实际上无线设备是可以同时支持WIFI和WAPI的标准的,只需要软件上添加WAPI证书就可以了,不存在硬件成本或者所谓的分裂整个无线世界的问题。而采用有严重缺陷的WiFi标准建设将使国家公共基础设施网络存在极大的安全隐患和公共信息安全问题。
WAPI和WiFi能否兼容
早在2006年,著名电信专家、北京邮电大学教授阚凯力就表示,WAPI与WiFi的唯一区别就是在认证保密方面,WAPI比WiFi强。虽然WiFi与WAPI不兼容,但应用WAPI标准的笔记本电脑或者其他终端产品,可以自动切换并接收WIFI信号,拿到国外也一样。
WAPI联盟的技术专家告诉记者,在国内全面推广WAPI,并非需要购买单独的网卡才可以使用WAPI。“只要英特尔愿意在网上公布迅驰笔记本的WAPI软件补丁或直接把驱动嵌入进操作系统中安装,迅驰笔记本或者采用WiFi标准的无线产品都可以应用WAPI标准的无线网络。”该专家表示,“这件事对于英特尔来说是轻而易举的事情。问题的关键是英特尔愿不愿意,而不是能不能。”
由于在WIFI联盟的抵制,为了兼容他们生产的设备,即使支持WAPI的设备,事实上也仍然用的WIFI加密标准,因此WAPI也就成了摆设。例如小米手机、iPhone是支持WAPI加密信号的,但是真要用,需要无线路由器也按WAPI协议发射信号。否则在WIFI网络环境下,手机终端仍然执行的WIFI协议,这也正是WAPI在国内没有存在感的原因。
产业链
WAPI产业内部人士介绍,WAPI其实不像外界想象的那样,这些年停滞不前,实际上是在持续的发展和推进。WAPI产业链已颇具厚度,具有WAPI功能的芯片全球出货量累计已超过40亿颗,移动终端产品型号超过7000款/近6亿部。国内三大电信运营商建设的公共无线局域网络设备(AP/AC)均具备WAPI能力(累计约700万个无线局域网热点),并已在电力、金融、教育等行业逐步推广。
运营商
平台与机构
其它
最新修订时间:2024-03-08 15:43
目录
概述
标准
参考资料