淺析WAPI標準對漫游的安全防護

摘 要：WAPI是我國自主研發的無線局域網安全技術標準，本文通過該技術在漫游時的安全實現，解析WAPI標準，使讀者深入了解無線網絡安全技術，加強安全防范。

關鍵詞：WAPI；漫游；認證；密鑰協商

WAPI（WLAN Authentication and Privacy Infrastructure）是我國自主研發擁有自主知識產權的無線局域網安全技術標準，采用一種名為“無線局域網認證與保密基礎架構（WAPI）”的安全協議。WAPI的安全機制由WAI和WPI兩部分組成。WAI實現用戶身份認證，WPI實現傳輸數據加密功能。整個系統由接入點（AP）、站點（STA）和認證服務單元（ASU）組成。下面，從移動設備漫游的安全防護上來解析WAPI標準。

1、漫游造成的安全問題

在無線網絡中，由于用戶移動，經常會從會離開一個子網加入另一個子網，這就要求無線網絡提供漫游機制，通常采用移動IP技術來實現這種機制。

移動IP的基本原理在于地點注冊和報文轉發，采用兩個地址來實現。一個與地點無關的地址用于保持TCP/IP連接，保存在家鄉代理服務器上；而另一個隨地點變化的臨時地址用于訪問本地網絡資源，保存在外地代理服務器上。在移動IP系統中，當一個移動節點漫游到一個網絡時，就會獲得一個與地點有關的臨時地址，并注冊到外地代理上。外地代理會與家鄉代理聯系，通知家鄉代理有關移動結點的接入情況，家鄉代理同時將所有發往移動節點的數據包轉發到外地代理上。這種機制在實現時，會帶來兩類安全問題，一是攻擊者可以通過對注冊過程的重放等方式來獲取發送到移動節點的數據；二是攻擊者也可以模擬移動節點以非法獲取網絡資源。

2、WAPI標準的技術防護

對于由于終端漫游而產生的無線網絡的安全問題，WAPI標準分別采用WAPI認證和密鑰協商與數據加密技術對漫游產生的安全問題進行防護。

2.1 WAPI的安全認證過程防止移動節點被非法模擬

在WAPI安全體系中，站點指無線用戶終端設備，接入點指可通過無線媒體為關聯的站點提供訪問服務的實體，多指基站設備。認證服務單元是實現對站點用戶證書的管理和站點用戶身份的認證等。它作為可信任和具有權威性的第三方，保證公鑰體系中證書的合法性。

站點與接入點都安裝有認證服務單元發放的公鑰證書作為自己的數字身份憑證。站點訪問時LAN時，接入點提供受控端口和非受控端口兩類訪問服務。站點首先通過接入點提供的非受控端口連接到認證服務單元發送接入認證請求信息，只有通過認證的站點才能使用接入點提供的受控數據端口訪問網絡，防范了移動節點被非法模擬。認證實現過程如下：

（1）認證激活。當站點關聯至接入點時，由接入點發送認證激活以啟動整個認證過程。

（2）接入認證請求。站點向接入點發出認證請求，即將站點證書與站點當前的系統時間發往接入點，系統時間被作接入認證請求時間予以保存。

（3）證書認證請求。接入點收到站點接入認證請求后，首先記錄接入認證請求時間，然后向認證服務單元發出證書認證請求。即將站點證書、接入認證請求時間、接入點證書及接入點私鑰對他們的簽名構成“證書認證請求”發送給服務單元

（4）證書認證響應。認證服務單元收到接入點的證書認證請求后，驗證接入點的簽名和接入點證書的有效性。若不正確，則失敗；若正確，則進一步驗證。驗證完畢后，認證服務單元將“站點證書認證結果”（包括站點證書和認證結果）、“接入點證書認證結果”（包括接入點證書、認證結果、接入認證請求時間）以及認證服務單元對它們的簽名構成“證書認證響應”報文發回給接入點。

（5）接入認證響應。接入點對認證服務單元返回的“證書認證響應”進行簽名認證，得到站點證書的認證結果，根據結果對站點進行接入控制。

在這個過程中，站點和接入點建立關聯，是要經過嚴格站點和接入點的認證過程才能被允許的，非法的移動節點一般來講是沒有合法的認證證書的，很難通過接入點認證；即使僥幸發出證書認證請求，證書認證單元也會對其接入點的合法性進行辨識，杜絕非法訪問。

2.2、密鑰協商與數據加密保護移動節點數據的安全

站點與接入點認證成功后，就要進行數據的傳送，對數據的安全保護WAPI標準采用了密鑰協商和數據加密技術。一是接入點產生一串隨機數據，利用站點的公鑰加密后，向站點發出密鑰協商請求，請求包含接入點所有的備選會話算法信息，即各種加密方法。站點收到接入點發送來的密鑰協商請求后，首先進行會話算法協商：若站點不支持接入點所有備選會話算法，則向接入點響應會話算法失敗；否則站點在接入點提供的會話算法中選擇一種自己支持的算法。站點利用本地私鑰解密協商數據，得到接入點產生的隨機數，然后產生一個新的隨機數，站點利用接入點的公鑰對此隨機數加密后再發送給接入點。二是密鑰協商成功后，站點與接入點將自己與對方產生的隨機數據進行“模2加”運算生成會話密鑰，利用協商的繪畫算法對數據進行加密或者解密。為了進一步提高通信的保密性通信一段時間和交換一定數量的數據之后，站點與接入點之間將重新進行會話密鑰的協商。這樣，經過加密的移動節點數據即便被截取，被解密出來的可能性也大大降低了。

3.漫游時的其他安全防范措施

移動節點漫游時，因為不在家鄉代理的所屬地，站點認證和數據傳送過程都經過了多個基站轉接，除了依托網絡安全技術外，還要做好網絡布局的安全防范：（1）對無線接入點和網卡設置復雜的服務集標識符；（2）禁止無線接入點向外廣播其服務集標識符；（3）配置相應設備，檢查非法進入網絡的電磁波發生器，防止被干擾。

參考文獻

[1]劉建偉 王育民 網絡安全技術與實踐，清華大學出版社，2011年6月第2版

[2]WAPI協議及其安全性分析 鄭君杰 肖軍模 程林，電視技術，2004年第5期

作者簡介：

劉洋（1974-），女，漢族，河北蔚縣，大學本科，副教授，哈爾濱工業大學畢業，工作單位牡丹江大學信息與電氣工程學院。

（作者單位：牡丹江大學信息與電氣工程學院）