中国制定的WLAN安全标准WAPI
针对WLAN安全问题,中国制定了自己的WLAN安全标准:WAPI。
与其他无线局域网安全机制(如802.11i)相比,WAPI主要的差别体现在以下几个方面:
• 双向身份鉴别
在WAPI安全体制下,无线客户端和WLAN设备二者处于对等地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可防止假冒的无线客户端接入WLAN网络,同时也可杜绝假冒的WLAN设备伪装成合法的设备。而在其它安全体制下,只能实现WLAN设备对无线客户端的单向鉴别,缺乏有效的WLAN设备身份鉴别手段。
• 数字证书身份凭证
WAPI 强制使用数字证书作为无线客户端和WLAN设备的身份凭证。
WAPI基本架构上和802.11i采用的AAA架构类似,也包括了三个实体,即鉴别请求者系统(WLAN终端)、鉴别器系统(WLAN设备)和鉴别服务系统。
图2:WAPI协议基本过程
详细的协议过程,请参考作者的另一篇文章:《基于痩AP架构实现WAPI》
整个WAPI协议过程主要包括两个阶段:
• WLAN终端和WLAN设备把各自证书发给鉴别服务器,后者负责判断证书的合法性;
• WLAN终端和WLAN设备通过报文交互,完成相互的身份认证和密钥协商;
WAPI一直致力于标准的国际化,但是一直遭遇很大的阻力。在搁浅5年之后的2009年,我国提出的无线局域网安全技术标准WAPI有望获国际认可,晋升国际标准。日前,WAPI产业联盟宣布,WAPI已获得国际标准组织ISO/IECJTC1/SC6的提案邀请,将作为独立标准重新进入国际标准流程。此外,工信部已经明确:只要支持WAPI,具有WiFi功能的手机就可以获得入网许可。总的看来,WAPI产业当前已经得到了很好的标准和政策支持。
为了推动WAPI的实际应用,H3C提出了WAPI Over EAP的WAPI部署方案,实现了WAPI和电信现有的Radius系统进行了很好地融合,节省了用户单独部署鉴别服务器的成本,简化了管理,实现了802.11i和WAPI用户的统一认证管理。