WLAN 安全协议 - WAPI
WAPI(WLAN Authentication and Privacy Infrastructure,无线鉴别和保密基础结构)
- 为了解决WEP中的安全漏洞,2003 年,由中国宽带无线IP 标准工作组所制订了无线局域网国家标准,即WAPI协议。
- WAPI 采用了SM4分组密码算法,ECDSA椭圆曲线数字签名算法以及ECDH密钥交换算法,根据不同的情况,也可以使用AES来替代SM4。
- WAPI 由WAI(WLAN authentication infrastructure,无线局域网鉴别基础结构)和WPI(WLAN privacy infrastructure,无线局域网保密基础结构)两部分组成。
WAI:WLAN中 身份鉴别和密钥协商管理的安全方案;采用公开密钥密码体制,利用公钥证书对STA和AP进行认证。
WPI:WLAN中 数据传输加密保护的安全方案;采用对称密码算法实现对MAC层MSDU的加解密。
WAPI 身份鉴别
WAPI 双向认证
- WAPI通过双向认证,保证传输的安全性。
- 鉴权服务器AS(Authentication Service)负责证书的颁发、验证与吊销等,STA与AP上都安装有AS颁发的公钥证书,作为自己的数字身份凭证。
- 当STA连接AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果,持有合法证书的STA才能接入持有合法证书的AP。
WAPI 接入控制
| 缩写 | 说明 |
|---|---|
| ASU(Authentication Service Unit) |
鉴别服务单元,实现用户证书的管理和用户身份的鉴别等功能 ASU管理的证书包含证书颁发者ASU与证书持有者STA和AP 的公钥和签名 |
| AE(Authenticator Entity) | 鉴别器实体, 在ASUE接入服务之前,为ASUE提供鉴别操作的实体,运行在AP 中 |
| ASUE(Authentication SUpplicant Entity) | 鉴别请求者实体,在接入服务之前请求进行鉴别操作的实体,运行在STA 中 |
| ASE(Authentication Service Entity) | 鉴别服务实体,为AE和ASUE提供相互鉴别服务的实体,运行在ASU 中 |
- WAPI 采用数字证书实现STA 和AP 之间的双向身份鉴别,采用可信任的第三方ASU 保证证书的合法性; 采用端口控制的方法进行受控和非受控接入。
受控端口:只有当STA的身份鉴别成功后,数据才会通过AE传送到网络中。
非受控端口:允许任何鉴别数据在网络中传送,主要用于AE和ASUE通信。 - 只有相互鉴别成功后,AP 才允许STA 接入, 同时STA 也才允许通过该AP 收发数据,否则解除链路验证。如果STA 重新关联至AP 时,需要重新进行相互身份鉴别。
- 在鉴别成功的基础上,STA 与AP 双方进行密钥协商, 协商产生用于随后的数据保密通信所需的单播会话密钥和组播会话密钥。
WAPI 身份鉴别和密钥协商流程
- WAPI身份认证及密钥管理包括:基于共享密钥(PSK) 和基于证书两种方式
基于共享密钥PSK方式
- 整个过程包括单播密钥协商与组播密钥通告。
单播密钥协商是通过基础密钥完成单播会话密钥的协商,建立USKSA。
单播密钥协商成功后,如果AP需要更新组播密钥,AP向STA通过发送组播密钥通告分组,通知所有STA更新主密钥,STA收到后回复响应分组。
基于证书方式
- 整个过程包括证书认证、单播密钥协商与组播密钥通告。
- 证书认证过程
- AP发送认证激活分组
- STA向AP 发送接入认证请求分组,包括STA证书,时间戳。
- AP向AS(认证服务器)发送证书认证请求分组,包括STA证书,AP证书,时间戳,AP签名。
- AS向AP发送证书认证响应分组,包括STA证书,STA认证结果,AP证书,AP认证结果,时间戳,ASE签名。
- AP向STA发送接入认证响应分组,包括STA证书,STA认证结果,AP证书,AP认证结果,时间戳,ASE签名。
- 单播密钥协商与组播密钥通告与PSK方式类似
WLAN 安全协议 - WAPI相关推荐
- 112.局部变量和全局变量在内存中是怎样存储的?113.WLAN无线传输协议
动态申请数据:堆 局部变量:栈 全局变量:静态区 网络传输介质:是指网络中发送方和接收方之间得到物理通路. 常见的有同轴电缆.光纤.双绞线. 无线网络协议 (Wireless Local Area N ...
- Win10 显示WLAN不安全,并且链路速度54/54 (Mbps),通过K3C路由器修改协议解决,无线网卡连接速度只有54Mbps
省流max 直接插网线吧,我用了两天之后发现还是会存在切换协议的情况,有时候866Mbps,有时候154Mbps,还是建议插网线. 省流 换个安全协议就好了. 使用有线等同隐私(WEP)或临时密钥完整 ...
- WAPI产业联盟:中国两项近场通信NFC安全技术成国际标准
日前,从WAPI产业联盟获悉,我国自主创新的近场通信(NFC)非对称实体鉴别(NEAU-A).NFC对称实体鉴别(NEAU-S)两项近场通信安全技术正式成为ISO/IEC国际标准,填补了国际上NFC身 ...
- WLAN——一篇让你从0到1了解无线局域网的文章
WLAN WLAN定义和基本架构 WLAN定义 WLAN基本架构 FAT AP FAT AP优劣及应用场景 FIT AP WLAN射频和信道 射频 信道 WLAN标准协议 WLAN常用概念 SSID( ...
- 有关WLAN与wifi、WPAN与Bluetooth、WPAN与802.15、wifi与802.11、WiMAX与802.16等关系的一点理解
http://blog.csdn.net/jbb0523/article/details/7269964 题目:有关WLAN与wifi.WPAN与Bluetooth.WPAN与802.15.wifi与 ...
- Wi-Fi 安全协议
无线网络的安全要求 机密性:确保数据不会泄露,防止数据被未经授权的第三者拦截. 帧主体加密机制(frame body encryption):主要用来提供机密性. 完整性:确保数据在传输过程中不被修改 ...
- 网络基础之网络协议,OSI,TCP/IP介绍
文章目录 1 概述 1.1 网络协议 1.2 OSI模型 1.2.1 应用层 1.2.2 表示层 1.2.3 会话层 1.2.4 传输层 1.2.5 网络层 1.2.6 数据链路层 1.2.7 物理层 ...
- WLAN快速上网指南
一.开通WLAN免费体验套餐 北京移动全球通.动感地带.神州行畅听卡(不含无线座机卡)和家园卡.神州行升级版标准卡客户发送短信TYWLAN到10086即可开通或变更至WLAN每月20小时免费体验套餐( ...
- Android WLAN (好文)
目录 一. 概览 应用框架 WLAN 服务 WLAN HAL 二. WLAN HAL 供应商 HAL 客户端 HAL Hostapd HAL WLAN 多接口并发 三. Wi-Fi Infrastru ...
- 电脑上的以太网连接,本地连接,宽带连接,无线WLAN连接的区别
以太网连接,本地连接,宽带连接,无线WLAN连接的区别 一.本地连接和以太网是同一个东西,都要插网线连接,都是配置网卡的寄存器 1.本地连接和以太网所代表的含义相同,仅为表述不同: 2."本 ...
最新文章
- 为什么使用LM386可以直接收听调频电台节目?
- 自学python有用吗-普通人学Python有用吗?学完能做什么?
- 【AI芯片格局最全分析】国内AI芯片百家争鸣,何以抗衡全球技术寡头
- 那是两个小时我不会回来
- IE与Firefox的CSS兼容大全~~论坛推荐~!!!
- set学习(系统的学习)
- 采用jqueryUI创建日期选择器
- ubuntu 系统学习
- 【优化预测】基于matlab遗传算法优化GRNN数据回归拟合【含Matlab源码 1401期】
- Latex:使用时遇到的一些问题解决
- 人人网是明文传输,所以只要抓包就能知道用户名和密码
- Brocade 光纤交换机配置命令
- gflags使用详解
- 纯干货:微软漏洞中国第一人黄正——如何用正确姿势挖掘浏览器漏洞(附完整 PPT)
- JS调用摄像头、实时视频流上传(一次不成功的试验)
- sherwood算法
- Conexant ADSL USB 三步走猫
- python3.6爬虫案例:爬取朝秀帮图片
- Oracle删除链接用户
- 基于微金字塔结构的压阻传感器的优化设计