WAPI实施指南

WAPI（Wireless LAN Authentication and Privacy Infrastructure，无线局域网鉴别与保密基础结构）是中国推出的一种无线网络通信安全标准，目的在于提供比现有的Wi-Fi安全协议更加严密的无线网络安全解决方案。下面将详细介绍WAPI标准的实施指南，包括安全机制、密钥管理、认证过程和实施步骤。 1. 安全机制 WAPI的安全机制包括认证与加密两个方面。认证机制确保只有合法用户能够接入网络，而加密机制则确保数据传输的安全性。 2. 密钥管理 WAPI中的密钥管理包括动态密钥分发与更新机制。WAPI的密钥管理是基于公钥基础设施（PKI）的，每个终端设备都有一对公私密钥和相应的证书。认证过程会验证用户的身份并建立安全关联（SA），使用会话密钥来加密数据。 3. 认证过程 WAPI的认证过程主要分为两部分：WAI（Wireless Authentication Infrastructure，无线鉴别基础结构）和WPI（Wireless Privacy Infrastructure，无线保密基础结构）。 a. WAI鉴别及密钥管理 - 鉴别系统结构：WAI鉴别系统由终端（STA）、接入点（AP）和鉴别服务器（AS）组成。AS负责认证过程的管理和证书的发放。 - WAPI安全关联的管理：安全关联在STA和AS间建立，为后续数据传输提供密钥和安全策略。 - 证书：证书用于认证终端身份，WAPI中每个STA都配备有证书，证书包含了用户的身份信息和公钥等。 - WAI协议：WAI协议定义了STA与AS之间的通信流程，包括认证请求和应答等消息的交换。 b. WPI保密基础结构 - WPI-SMS4工作模式：SMS4是一种对称加密算法，WPI使用该算法来对数据进行加密保护。 - 密钥：数据传输的密钥通过WAI鉴别过程得到分发，确保了数据的机密性。 - 封装与解封装：发送方使用密钥对数据包进行封装，接收方则对应地进行解封装。 - 数据分组序号PN的使用规则：PN用于确保数据的完整性，防止重放攻击。 4. MAC数据平面结构 WAPI的媒体接入控制（MAC）层包含多种服务原语，用于支持链路的建立、维护和终止。 a. 链路验证 - MLME-AUTHENTICATE.request：该原语用于启动链路验证过程。 - MLME-AUTHENTICATE.confirm：该原语表明链路验证请求已被确认。 - MLME-AUTHENTICATE.indication：该原语指示链路验证过程已被指示。 b. 解除链路验证 - MLME-DEAUTHENTICATE.request：该原语用于启动解除链路验证过程。 - MLME-DEAUTHENTICATE.confirm：该原语表明解除链路验证请求已被确认。 - MLME-DEAUTHENTICATE.indication：该原语指示解除链路验证过程已被指示。 c. 关联 - MLME-ASSOCIATE.request：该原语用于请求与AP关联。 - MLME-ASSOCIATE.confirm：该原语表明关联请求已被确认。 - MLME-ASSOCIATE.indication：该原语指示关联过程已被指示。 d. 重新关联 - MLME-REASSOCIATE.request：该原语用于请求重新关联。 - MLME-REASSOCIATE.confirm：该原语表明重新关联请求已被确认。 - MLME-REASSOCIATE.indication：该原语指示重新关联过程已被指示。 e. 解除关联 - MLME-DISASSOCIATE.request：该原语用于请求解除关联。 - MLME-DISASSOCIATE.confirm：该原语表明解除关联请求已被确认。 - MLME-DISASSOCIATE.indication：该原语指示解除关联过程已被指示。 WAPI实施指南还提供了对WAPI各种机制的深入讲解，包括它们如何在实际应用中被实现以及与现有无线网络设备和标准的兼容性问题。文档提供了细致的指导，使得无线网络设备制造商能够按照标准实施WAPI，确保了无线网络的安全性和兼容性。WAPI作为一个完整的安全解决方案，旨在替代目前广泛使用的WEP和WPA等安全协议，为无线网络通信提供更高级别的安全保护。