WAPI协议及其安全性分析
WAPI认证机制的性能和安全性分析
收稿日期:2004210208基金项目:国家自然科学基金重大计划(90204012);国家863计划资助(2002AA143021);2003教育部优秀青年教师资助计划;2003教育部科学技术研究重点项目资助作者简介:张 帆(19752),男,西安电子科技大学博士研究生.WA PI 认证机制的性能和安全性分析张 帆,马建峰(西安电子科技大学计算机网络与信息安全教育部重点实验室,陕西西安 710071)摘要:利用BAN 类逻辑(WK 逻辑),对中国无线局域网安全标准W API 的认证基础设施W AI 进行了形式化分析,指出其无法实现全部的认证及密钥协商目标.进一步分析表明,W AI 中存在诸多安全问题,如无法提供身份保护、无法抵抗密钥一致性等攻击、缺乏私钥验证、不能提供如PFS 、密钥控制等相应的安全属性等.因此,W API 无法提供足够级别的安全保护.最后对W API 与IEEE 802111i 在安全性和性能上进行了比较.关键词:BAN 类逻辑WK;无线局域网;W API ;IEEE 802111i ;认证;密钥协商中图分类号:TP393117 文献标识码:A 文章编号:100122400(2005)022*******On the security and performance of WAPIZH ANG Fan ,MA Jian 2feng(M inistry of Edu.K ey Lab.of C om puter Netw orks and In fo.Security ,X idian Univ.,X i ′an 710071,China )Abstract : With BAN 2like logic ,W AI ,the authentication in frastructure of W API which is the Chinese W LAN security standard ,is analyzed on the security.Results show that W AI is unable to com pletely realize the authentication and key agreement g oals.Further analysis indicates that W AI als o has many flaws ,such as inability to provide identity protection and resist key consistency attack ,lack of private key verification and desirable security attributes like PFS ,key control ,etc.We conclude that W API can not provide a su fficient level of security.Finally ,W API is com pared with IEEE 802111i about their security and per formance.K ey Words : BAN 2like logic WK;W LAN ;W API ;IEEE 802.11i ;authentication ;key agreement2003年中国推出了自己的无线局域网国家标准G B15629111.标准包含无线认证和保密基础设施W API (W LAN Authentication and Privacy In frastructure )机制[1].W API 是针对IEEE 802111中WEP 协议的安全问题提出的W LAN 安全解决方案,W AI (W LAN Authentication In frastructure )和WPI (W LAN Privacy Infrastructure )是其中的两个重要组成部分,分别实现对用户身份的鉴别和对传输数据的加密.笔者利用BAN 类逻辑WK [2]对W AI 的认证模型进行了分析,结果表明W AI 无法实现全部的认证及密钥协商目标.文中进一步指出其中存在的安全隐患,并对W API 与IEEE 802111i [3]进行了安全性和性能方面的比较.1 用WK 逻辑分析WAI 的安全性首先对W AI 认证协议进行形式化,将其转换成WK 逻辑所能理解的公式并消除冗余的信息:⑴ Psees (I D A ,K +A ,δ(K -S ;(I D A ,K +A)))⑵ Ssees (I D A ,K +A ,δ(K -S ;(I D A ,K +A )),I D P ,K +P ,δ(K -S ;(I D P ,K +P )),T A ,δ(K -P ;(X ,Y,T A )))2005年4月第32卷 第2期西安电子科技大学学报(自然科学版)J OU RNAL OF XID IAN UNIV ERS I TYApr.2005V ol.32 N o.2⑶ Psees(X,Y,TR A,TR P,δ(K-S;(X,Y,T A,TR A,TR P)))⑷ Asees(X,Y,TR A,TR P,δ(K-S;(X,Y,T A,TR A,TR P)))⑸ Psees(enc(K+P;N A))⑹ Asees(enc(K+A,N P))为了方便描述,记:X=I D A,I+A,δ(K-S;(I D A,K+A)),Y=I D P,K+P,δ(K-S;(I D P,K+P)),其中A代表客户端,P 代表接入点,S代表认证服务器.111 认证和密钥协商目标根据W AI协议的定义,可以看出消息⑴—⑷属于身份认证过程,其认证目的是实现客户端、接入点和认证服务器之间的相互认证.根据WK逻辑的形式化分析,其认证目标应为:S believes|K AA S believes|K PPS believes P says X P S believes A said X AP believes|K AA P believes A says X AP believes A believe|K PP A believes|K PPA believes P says X P A believes P believe|K A A 其中X A,X P分别表示客户端和接入点生成的消息.消息⑸,⑹属于密钥协商过程,当其结束时,密钥协商部分应当实现的目标为:A believes P says N A P believes A says N PA has K P has KA believes fresh(K)P believes fresh(K)A believes A∴K∴P P believes P∴K∴A112 初始化假设集接下来,分别给出客户端A,接入点P和认证服务器S的初始化假设集:A的初始化假设集:A believes|K AA A1A believes|K SS A2A has T A A3 A believes fresh(T A)A4 A believes fresh(N A)A5 (X,Y,T A,TR A,TR P)A≡(X,Y,T A,TR A,TR P)A6A believes S controlsα|K AA A7A believes S says TR A→A believes S believe|K AAA8A believes S controlsα|K PP A9A believes S says TR P→A believes S believes|K PPA10P的安装始化假设集:P believes|K PP P1P believes|K SS P2P has T A P3P believes fresh(T A)P4P believes fresh(N P)P5(X,Y,T A,TR P,TR P)P≡(X,Y,T A,TR A,TR P)P6P believes S controlsα|K PP P7P believes S says TR P→P believes S believe|K PPP8P believes S controlsα|K AA P9P believes S says TR A→P believes S believes|K AAP10112第2期 张 帆等:W API认证机制的性能和安全性分析 S的初始化假设集:S believes|K SS S1S believes fresh(T A)S3S believe(I D A,K+A)→S Believe|K AA S5S believe(I D P,K+P)→S believe|K PP S7S controls(I D P,K+P)S9S controls(I D A,K+A S2 S said(I D A,K+A)→S believe(I D A,K+A)S4 S said(I D P,K+P)→S believe(I D P,K+P)S6 (I D A,K+A)S≡(I D A,K+A)S8 (I D P,K+P)S≡(I D P,K+P)S10113 协议分析首先对S进行分析:2SE1S sees(I D A,K+A,δ(K-S;(I D A,K+A)))7 7SE1,H1S has I D A∧S has K+A8 8C5,E3δ(K-S;(I D A,K+A))s≡δ(K-S;(I D A,K+A)S)9 9,S8E2δ(K-S;(I D A,K+A)S)≡δ(K-S;(I D A,K+A))10 10C S believes S seesδ(K-S;(I D a,K+A))11 11,S1A2S believes S saidδ(K-S;(I D A,K+A))12 S4,5K S believes|K A A13与此相类似可得S believes|K P P14 2SE1S sees(δ(K-P;(X,Y,T A)))15 14A2S believes P said(X,Y,T A)16 16,S3F1S believes P says(X,Y,T A)17 17S A2S believes P says X18 17S A2S believes P says Y19 17S A2S believes P says T A20 由以上推导可以得到以下结论:S believes|K AA,S believes|K PP,S believes P says X,S believes P says Y以及S believes P says T A.但是无法进一步推得S believes A said T A,以及S believes A said X.其次对P进行分析:3SH1,H1P has X∧P has Y∧P has TR A∧has TR P21 21,P3C5,E3δ(K-S;(X,Y,T a,TR A,TR P))P≡δ(K-S;(X,Y,T a,TR A,TR P)P)22 22,P6E2δ(K-S;(X,Y,T a,TR A,TR P))P≡δ(K-S;(X,Y,T a,TR A,TR P))23 23C P believes P seesδ(K-S;(X,Y,T A,TR A,TR P))24 24,P2A2P believes S said(X,Y,T A,TR A,TR P)25 25,P4F1P believes S says(X,Y,T A,TR A,TR P)26 26S A2P believes S says X27 26S A2P believes S says Y28 26S A2P believes S says T A29 26S A2P believes S says TR A30 P9,P10J P believes|K A A31 26S A2P believes S says TR P32 P7,P8J P believes S believe|K P P33 由以上推导可得P believes|K AA,P believes S believes|K PP,P believes S says T A,P believes S believes|K AA,但无法推导出P believes A says T A,P believes A believe|K PP.212 西安电子科技大学学报(自然科学版) 第32卷类似地分析A 可以得到A believes |K PP ,A believes S believes |K AA ,A believes S says T A ,A believes S believes |K PP ,但无法推导出A believes P says T A ,A believes P believe |K PA.因此,W API 的认证部分未能实现全部的认证目标,其认证效果较弱,客户端和接入点存在着被冒充的可能.最后,对密钥协商消息⑸,⑹进行分析:5SE2P sees N A34P5F2P believes fresh (K )356SE2A sees N P36A5F2A believes fresh (K )37 但是,无法得到A believes P says N A ,P believes A says N P 以及A ∴K ∴P 的证据.所以,无法进一步得到A believes A ∴K ∴P ,P believes P ∴K ∴A.这表明消息⑸,⑹没有达到预期目标,即双方未能验证对方私钥,以及对会话密钥进行确认.结论:W API 认证协议只能完成部分的认证和密钥协商目标,其安全性较差.2 WAI 的其他安全缺陷⑴W AI 协议不具备身份保护的功能[4]:在认证阶段,ST A 将自己的数字证书以明文形式发送给AP 及AS ,因而会暴露用户的身份信息,无法实现认证时的匿名性.⑵在认证协议中缺乏私钥验证环节:W AI 对用户身份的验证只是通过验证其数字证书的合法性来完成,而没有验证该用户是否拥有与此相对应的私钥.任何具有合法证书的用户都可以通过AS U 的身份认证,有可能带来潜在的安全问题.⑶密钥协商过于简单,不具备相应的安全属性:W AI 的认证数据没能作为密钥协商的材料使用,而且密钥协商时没有对会话材料进行认证,也没有对会话密钥进行确认,从而导致该密钥协商算法缺乏相应的安全属性.例如在密钥一致性攻击[5]中,攻击者截获ST A 发来的消息,选用另一随机数r M 发送给AP ;同样,也截获AP 发来的消息,用随机数r ′M 取代r AP ,将消息发送给STA.最终导致ST A 与AP 生成不一样的会话密钥(k ST A =r ST A r ′M ,k AP =r M r AP ),而使协议失败.类似的,该协议无法抵抗重放攻击.⑷密钥协商算法的安全是基于加密算法的安全性:会话密钥的产生是基于两个随机数异或运算的结果,其安全性不是建立在已知的数学难题上,而是基于所使用的加密算法E ()的安全性.另外,异或运算可能使会话密钥与随机数间保持一种代数关系,在产生的会话密钥中可能有以不可忽略的概率被预测的弱密钥位存在,导致其安全性受到影响[6].⑸该算法不具有PFS 等安全属性也无法防止密钥控制(key control ):如果双方长期私钥泄露的话,攻击者可以通过解密密钥协商消息,从而获得以前的会话密钥.另外,密钥控制要求任何一方都无法控制会话密钥为一预选值,而如果采用异或运算的话,则接收者可以有目的地选用某一随机数,进而控制会话密钥的产生.⑹该算法使用时间戳来抵抗重放攻击:其安全性主要依赖于时间的同步.关于时间戳技术的实现困难和其他安全问题在文献[7]中已经详细给出.3 WAPI 与IEEE 802111i 的比较311 WAPI 与IEEE 802111i 的安全性比较 ⑴安全框架:W API 与IEEE 802111i 都采用基于端口的访问控制模式.⑵特征:W API 在ST A 和AP 间实现双向身份认证.不仅可以实现对AP 进行控制,而且可以保证ST A 接入的安全性.IEEE 802111i 在ST A 和AS 间实现双向身份认证,AP 被错误地认为是可信任的实体,缺乏对AP 的认证,有遭受假冒AP 攻击的可能.其安全性依赖于上层协议的安全,如果上层协议也使用单向认证的话,312第2期 张 帆等:W API 认证机制的性能和安全性分析整个框架就是不安全的.⑶身份凭证:W API仅使用公钥证书作为身份凭证,灵活性不够高.而IEEE802111i通常采用口令或数字证书等作为身份凭证.⑷认证与密钥协商:W API的认证与密钥协商部分脱节,且缺乏密钥确认过程,任何拥有合法证书的攻击者都可以通过认证.密钥协商算法依赖于算法安全性,不能抵抗重放攻击、密钥一致性攻击等,无法防止密钥控制,缺乏相应的安全属性.IEEE802111i经过多年发展,比较成熟.认证及密钥协商协议本身不存在大的安全问题,密钥协商算法通常会规约于已知的数学难题,且能够保证相关的安全属性.⑸加密算法:W API的加密算法采用国密办规定的认证的分组加密算法,具体细节未披露.IEEE802111i 的加密算法采用128位的AES算法,业已成为标准.312 WAPI与IEEE802111i的性能比较W API在ST A与AP间直接进行密钥协商,效率较高,减少了密钥在网络中传输的可能性.而IEEE 802111i在ST A与AS间协商密钥,ST A与AP必须依赖四步握手协议进行密钥确认,密钥协商效率较低,且认证服务器负载过大,有可能成为系统瓶颈.W API的交互轮数为2,但它没有提供相应的安全属性.如果考虑相应的私钥认证和密钥确认过程的话,其交互轮数至少在3轮以上.IEEE802111i的默认认证协议E AP2T LS,采用E AP协议进行封装,利用公钥证书作为认证凭证,其交互轮数为5;而如果采用四步握手协议进行密钥确认,还要再加上两轮的消息交互.W API和E AP2T LS的性能比较如表1所示,表2为预计算下两者的性能比较.表1 协议性能比较协 议客户证书交互轮数公钥加/解密(M N)指数运算(M N)签名(M N)验证签名及证书(M N)W API3Y≥32013/2#E AP2T LS(RS N)Y5(7)2111 注:113指出于安全考虑,在W API中加入私钥确认过程;21#指AS的证书在移动节点中存储时;31(7)指如采用RS N模型还需要加上两轮的四步握手协议.表2 预计算下协议性能比较协 议客户证书交互轮数公钥加/解密(预计算)指数运算(预计算)签名(M N)验证签名及证书(M N)W API3Y≥32013/2#E AP2T LS(RS N)Y5(7)0111 从表1和表2中可以看出,不考虑预计算时,W API的性能近似于E AP2T LS,但在预计算存在的情况下,其性能要逊色于E AP2T LS.4 结 论利用BAN类逻辑WK,对W AI的安全机制进行了分析,结果表明W AI无法提供足够级别的安全保护,在其中存在很多的安全缺陷,如无法提供身份保护、在认证环节缺乏私钥验证、不具备如PFS,N on2K CI,密钥控制等相应的安全属性,无法抵抗密钥一致性攻击等.文中指出其主要原因在于认证与密钥协商部分相脱节.文中还从安全性和性能两个方面对W API和IEEE802111i进行了比较.分析表明,W API的安全强度低于IEEE802111i,其性能在不考虑预计算时近似于E AP2T LS,但在预计算存在的情况下,要逊色于E AP2T LS.当然,有关部门已经注意到W API在安全机制中存在的潜在缺陷,并提出了相关改进实施方案.该方案在安全性能上已有显著改善,一些明显安全漏洞已经得到弥补.将在另一篇中具体讨论W API实施方案的性能和安全性问题.412 西安电子科技大学学报(自然科学版) 第32卷参考文献:[1]无线认证保密基础设施(W API ),中华人民共和国国家标准,G B15629111[S]12003.[2]G abriele W ,V olker K.F ormal Semantics for Authentication Logics [A ].C om puter Security 2ES ORIC 96:LNCS 1146[C ].Berlin :S pringer 2Verlag ,1996.2152241.[3]IEEE P802.11i D3.0.S pecification for Enhanced Security [DB/O L ].http ://w w /~mhshin/doc/802111/802111i 2D3101pd f ,2002211230.[4]余斌霄,王新梅1移动通信网中的认证与密钥建立协议[J ]1西安电子科技大学学报,2004,31(1):1242128.[5]Canetti R ,K rawczyk H.Analysis of K ey 2exchange Protocol and Their Use for Building Secure Channels[A ].Proceeding of Eurocrypt2001:LNCS 2045[C].Berlin :S pringer 2Verlag ,2001.4532474.[6]IEEE P1363:S tandard S pecifications for Public K ey cryptography[DB/O L ].http :///groups/1363,1999212220.[7]Diffie W ,O orschot P ,Wiener M.Authentication and Authenticated K ey Exchanges[J ].Designs ,C odes and Cryptography ,1992,2(2):1072125.(编辑:李维东) (上接第192页)仿真结果表明,文中算法对于去除模糊图像中的噪声以及对图像增强的效果是比较明显的.采用图1所示多算法模型数据融合技术,硬件系统的实时性主要取决于3种算法模型中运行时间最长的那一个;而基于卷积运算的上述3种算法又特别适用于FPG A 处理,所以系统实时性可以得到充分保证.常用的图像增强的算法虽然很多,但都有不足之处.采用这种方法增强图像,兼有滤除噪声和增强目标的双重作用,较理想地达到了预期的目的.参考文献:[1]徐 军,梁昌洪,张建奇1一种红外图像增强的新方法[J ]1西安电子科技大学学报,2000,27(5):5462549.[2]过润秋,李俊峰,林晓春1基于并行遗传算法的红外图像增强及相关技术[J ]1西安电子科技大学学报,2004,31(1):628,20.[3]T zannes A P ,Brooks D H.Detecting Small M oving Objects Using T em poral Hypothesis T esting[J ].IEEE T rans on Aerospace andE lectronic System ,2002,38(2):5702586.[4]Shim onomuar K,K ameda S ,Y agi T.S ilicon Retina System Applicable to R obot Vision[A].Proceedings of the 2002International JointC on ference on Neural Netw orks :V ol 3[C].Madrid :UAM ,2002.227622281.[5]Zhao Fang wei ,deS ilva C J e of the Laplacian of G aussian Operator in Prostate Ultras ound Image Processing[A].Proceedings of the20th Annual International C on ference of the IEEE Engineering in Medicine and Biology S ociety ,1998,20(2):8122815.[6]关 欣,唐小明1像素级图像融合方法分类与比较[J ]1火力与指挥控制[J ],2002,27(3):1612164.(编辑:齐淑娟) 512第2期 张 帆等:W API 认证机制的性能和安全性分析。
WAPI协议分析及移动终端设计
端 口访 问到无线局域 网了 。如果 S A 重新关联至 A T P时, 必
须重新进行相互身份 鉴别。若鉴别成功 , AP允许 S A接 则 T
入 , 则解 除 其 关 联 。 否
协议数据才会通过鉴 别器 传送到 网络 , 当受控制端 口是未鉴 别状态 时, 协议数据 就不能通 过鉴 别器传送 了, 别器实体 鉴 只能利用非受控端 口传送 鉴别数据 。 鉴别访 问者实体负责鉴 别信息 的发送 , II 鉴I I 务实体 负责 鉴别网络上发送来的鉴别
信 息 。当 S A 身 份 鉴 别 成 功 后 , 可 以ቤተ መጻሕፍቲ ባይዱ 用 A T 就 P提 供 的 受 控
即为这 种安全架构在无线局域 网中应用 的完美体现 。 2 Al .W P 简介 WA I 中国第一 个 自主 的无线 网络 安全接 入技 术标 P是
准 。2 0 03年 中 国 宽 带 无 线 I 准 工 作 组 制 定 了中 国 自己 的 P标 无 线 局 域 网 国 家 标 准 G 52 . 1标 准 , 即 WA I 议 。 B16 9 1 P协 WAP I机 制 已 由 IO IC 授 权 的 注 册 权 威 机 构 ( E S/ E I E E R gsai uh ry 审 查 获 得 认 可 , 分 配 了用 于 该 机 制 eirt nA t i ) t o ot 并
组 织 I N 也将 3 1 A A 80作为 WL N T PU A C / DP端 口号 ,这也
是 我 国 目前 在 该 领 域 惟 一 获 得 批 准 的协 议 。 P 采 用 国家 WA I
统 中的定义 了两类 端 口: 受控端 口和受控 端 口, 非 其中非受
控端 口允许任何鉴别数据 在网络 中传送 , 鉴别器实体就能够
WAPI协议详解
W API协议详解安全问题一直是困扰在WLAN灵活便捷的优势之上的阴影,已成为阻碍WLAN进入信息化应用领域的最大障碍。
国际标准为此采用了WEP、WPA、802.1x、802.11i、VPN等方式来保证WLAN的安全,但都没有从根本上解决WLAN的安全问题。
我国在2003年5月份提出了无线局域网国家标准GB15629.11,引入一种全新的安全机制—WAPI,使WLAN的安全问题再次成为人们关注的焦点。
WAPI机制已由ISO/IEC授权的IEEE Registration Authority审查获得认可,并分配了用于该机制的以太类型号(IEEE EtherType Field)0x88b4,这是我国在这一领域向ISO/IEC提出并获得批准的唯一的以太类型号。
WAPI安全机制无线局域网鉴别与保密基础结构WAPI(WLAN Authentication and Privacy Infrastructure)由无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)和无线局域网保密基础结构WPI(WLAN Privacy Infrastructure)组成。
其中,WAI采用基于椭圆曲线的公钥证书体制,无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别。
而在对传输数据的保密方面,WPI 采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密,充分保障了数据传输的安全。
WAPI充分考虑了市场应用,根据无线局域网应用的不同情况,可以以单点式、集中式等不同的模式工作,同时也可以和现有的运营商系统结合起来,支持大规模的运营级服务。
此外,用户的使用场景不同,WAPI的实现和工作方式也略有诧异。
WAPI的用户使用场景主要有以下几种:1. 企业级用户应用场景:有AP和独立的AS(鉴别服务器),内部驻留ASU(鉴别服务单元),实现多个AP和STA证书的管理和用户身份的鉴别;2. 小公司和家庭用户应用场景:有AP,ASU可驻留在AP中;3. 公共热点用户应用场景:有AP,ASU驻留在接入控制服务器中;4. 自组网用户应用场景:无AP,各STA在应用上是对等的,采用共享密钥来实现鉴别和保密。
企业用户部署WAPI无线网络的技术详析
企业部署WAPI无线网络的技术详析WAPI产业联盟随着无线局域网的普及和移动办公等的发展,企业办公走向移动化,以往的有线连网方式在很多企业正在被升级改造,建设更加方便、便捷、移动性强的无线接入网络是一大新趋势。
尽管建设内部网络的首要考虑因素便是安全。
然而,有不少企业目前仍采用有线等效保密协议(Wired Equivalent Privacy,简称WEP)、Wi-Fi网络保护访问(Wi-Fi Protected Access,简称WPA,有WPA 和WPA2两个标准)方式加密的网络(只验证密码),甚至无需密码的开放式网络,这类网络存在极易被钓鱼或者破解、攻击,信息被盗取等各类安全隐患。
引发这些安全隐患的根本原因在于WEP/WPA/WPA2等协议采用的加密方式,都是无线接入点(Access Point,简称AP)和终端(Station,简称STA)两个物理实体的两元架构,仅仅只是AP对STA进行单向鉴别,而STA并不知道AP 身份是否合法,这样就容易遭受无线钓鱼、中间人攻击(如伪基站、假AP)等安全威胁。
那么如何才能提高企业办公内网的安全性呢?最近某企业在建设无线办公网时,使用了一种高安全性的无线局域网鉴别与保密基础结构(Wireless LAN Authentication and Privacy Infrastructure ,简称WAPI)技术。
这种WAPI采用三元对等架构,有助于提高内网的安全性,让我们具体来看一看WAPI 技术是怎么进行安全防护的。
WAPI整个系统由STA、AP和认证服务单元(Authentication Service Unit,简称ASU)组成,其中ASU作为可信第三方,负责证书的发放、验证与吊销等,实体为WAPI鉴别服务器(Authentication Server,简称AS),STA与AP上都安装有AS 发放的证书,作为自己的数字身份凭证。
而WAPI 安全防护作用出众的原因在于,STA 接入无线网络时必须通过AS 进行双向身份验证。
WAPI安全机制浅析
系列 规 范主 要从 W L AN 的物理 层 ( PHY)和媒体 访 问控 制层 ( AC)两 个 层 面 制 订 系 列 规 范 ,历 M
经 了十 几 年 的 发 展 ,82 1 0 .1已经 从 最 初 的 8 2 1 、 0 .l 8 . l 、8 2 1b发 展到 了 目前 的 82 1i 一 系列 0 1a 0 .l 0 . 1等
圆 曲线签 名 算法 ,并 使 用 安全 的 消 息杂 凑 算法 保 障
消 息 的完 整 性 ,建立 相 互 信任 关 系 。移动 终 端 和无
线 接 入 点 在 公 信 第三 方 ( 证 服 务 器 AS 认 )的控 制
下 进行 互相 认证 。
s c r y o t d y’ S e wo k Wi Fi l n e e u i f r o a t n t r - Ala c Api i rl 29, 2005.
准协议 ,主要存在 以下安全弱 点 :
() 密 措 施 薄 弱 :82 1b协 议 采 用 1加 0 .1
W E ( rd q i ae t rv c P Wie E u v ln P ia y:有 线对 等保 密
) 密 标准 ,在 链 路层 进 行 对 称 加 密 ,采 用这 种 加 加 密方 式 的最 初 目的 是为 了 防止偶 然 的窃 听 ,很 难 应
话 算法 ,则 向请 求方 响 应 会话 算 法协 商 失败 ,否则
在 请求 方提 供 的 备选 算 法 中选 择 一种 自己支 持 的算
法 ;再 利用 本 地 的私 钥 解 密协 商 数据 ,得到 AP产
生 的 随机 数 据 ;然 后产 生 一 串随机 数 据 ,利 用 AP 的公 钥加 密 后 ,再 发 送给 AP。 密 钥协 商成 功 后 ,S TA 与 AP将 自己 与对 方分 别 产 生 的 随机 数 据 进 行 模 2和 运 算 生 成 会 话 密 钥 ,
wapi标准
wapi标准WAPI标准。
WAPI(无线局域网身份认证)是一种用于无线网络的身份认证和加密标准。
它是由中国国家密码管理局制定的,旨在提高无线网络的安全性和稳定性。
WAPI标准的制定对于推动无线网络技术的发展和应用具有重要意义。
WAPI标准的主要特点包括,首先,WAPI采用了国际先进的身份认证和加密技术,能够有效地防止网络黑客和恶意攻击。
其次,WAPI标准具有较高的安全性和稳定性,能够保障用户在无线网络上的通信安全。
最后,WAPI标准还具有良好的兼容性和可扩展性,能够与现有的无线网络设备和系统相兼容,并且能够满足未来无线网络技术的发展需求。
WAPI标准的应用范围非常广泛,涉及到无线局域网、移动通信、物联网等多个领域。
在无线局域网方面,WAPI标准可以应用于企业无线局域网、公共无线局域网等多种场景,为用户提供安全、稳定的无线网络服务。
在移动通信方面,WAPI标准可以应用于4G、5G等移动通信网络,为用户提供安全、高速的移动通信体验。
在物联网方面,WAPI标准可以应用于智能家居、智能城市、智能交通等多个物联网应用场景,为物联网设备提供安全、稳定的连接服务。
WAPI标准的推广和应用还面临一些挑战和问题,主要包括技术标准的统一、设备的兼容性、安全性的保障等方面。
针对这些问题,需要加强技术研发和标准制定,推动各方的合作和协调,加强安全技术的研究和应用,提高设备的兼容性和稳定性。
总的来说,WAPI标准作为一种先进的无线网络身份认证和加密标准,具有重要的推动作用和广阔的应用前景。
通过不断的技术创新和标准完善,WAPI标准将能够更好地满足用户对于无线网络安全和稳定性的需求,推动无线网络技术的发展和应用。
相信在不久的将来,WAPI标准将成为无线网络领域的重要标准和技术支撑。
无线局域网安全协议(WEP、WPA、WAPI)
⽆线局域⽹安全协议(WEP、WPA、WAPI)⽂章⽬录WLAN(Wireless Local Area Network)指应⽤⽆线通信技术将计算机设备互联起来,构成可以互相通信和实现资源共享的⽹络体系。
⼀、WEP(有线等效保密)WEP是Wired Equivalent Privacy的简称,有线等效保密(WEP)协议是对在两台设备间⽆线传输的数据进⾏加密的⽅式,⽤以防⽌⾮法⽤户窃听或侵⼊⽆线⽹络。
不过密码分析学家已经找出 WEP 好⼏个弱点,因此在2003年被 Wi-Fi Protected Access (WPA) 淘汰,⼜在2004年由完整的 IEEE 802.11i 标准(⼜称为 WPA2)所取代。
WEP有2种认证⽅式:开放式系统认证(open system authentication)和共有键认证(shared key authentication)。
开放式系统认证,不需要密钥验证就可以连接。
共有键认证,客户端需要发送与接⼊点预存密钥匹配的密钥。
共有键⼀共有4个步骤:注:循环冗余校验(Cyclic Redundancy Check, CRC)是⼀种根据⽹络数据包或计算机⽂件等数据产⽣简短固定位数校验码的⼀种信道编码技术,主要⽤来检测或校验数据传输或者保存后可能出现的错误。
它是利⽤除法及余数的原理来作错误侦测的。
⼆、WPA(Wi-Fi⽹络安全接⼊)WPA全名为Wi-Fi Protected Access,有WPA、WPA2和WPA3三个标准,是⼀种保护⽆线电脑⽹络(Wi-Fi)安全的系统。
WPA超越WEP的主要改进就是在使⽤中可以动态改变密钥的“临时密钥完整性协议”(Temporal Key Integrity Protocol,TKIP),加上更长的初向量,这可以击败知名的针对WEP的密钥截取攻击。
WPA的数据是以⼀把128位的钥匙和⼀个48位的初向量(IV)的RC4stream cipher来加密。
WAPI认证机制的性能和安全性分析
WAPI认证机制的性能和安全性分析
一、WAPI认证机制的性能深入分析
1、简单易用:WAPI认证机制易于开发和维护,可以支持多种设备,用户可以更轻松地搭建网络并实现无线认证。
3、高效安全:WAPI认证机制建立在基于加密的安全机制(AES)之上,能够保护用户信息的完整性,以及防止信息被窃取和篡改。
4、稳定性高:WAPI认证机制通过复杂的算法和数据加密技术,可以保证认证过程的稳定性,从而确保网络的稳定性。
二、WAPI认证机制的安全性深入分析
1、安全性高:WAPI认证机制建立在基于加密的安全机制(AES)之上,它可以有效地保护用户信息的完整性,防止信息泄露及篡改,任何未经授权的第三方都无法获取到用户真实信息。
2、防护能力强:在WAPI认证过程中,采用复杂的数据加密机制和算法,可以有效防止抵赖攻击、重放攻击和中间人攻击,确保网络安全。
3、防窃取能力:在使用WAPI认证机制时,会使用多重加密方式(TLS、AES)来保护网络信息,不仅可以防止信息被未经授权的人窃取。
认识无线WLAN安全规范:WEP、WPA和WAPI
认识无线WLAN安全规范:WEP、WPA和WAPI无线WLAN安全规范都包括哪些内容呢?这里我们就来详细介绍一下吧。
首先我们要知道无线WLAN安全规范,大致有三种,分别是WEP、WPA和WAPI。
那么针对每一种我们都来看看具体的内容吧。
无线WLAN安全规范1:WEPWEP(WiredEquivalentPrivacy)是802.11b采用的安全标准,用于提供一种加密机制,保护数据链路层的安全,使无线网络WLAN的数据传输安全达到与有线LAN相同的级别。
WEP采用RC4算法实现对称加密。
通过预置在AP和无线网卡间共享密钥。
在通信时,WEP 标准要求传输程序创建一个特定于数据包的初始化向量(IV),将其与预置密钥相组合,生成用于数据包加密的加密密钥。
接收程序接收此初始化向量,并将其与本地预置密钥相结合,恢复出加密密钥。
WEP允许40bit长的密钥,这对于大部分应用而言都太短。
同时,WEP不支持自动更换密钥,所有密钥必须手动重设,这导致了相同密钥的长期重复使用。
第三,尽管使用了初始化向量,但初始化向量被明文传递,并且允许在5个小时内重复使用,对加强密钥强度并无作用。
此外,WEP中采用的RC4算法被证明是存在漏洞的。
综上,密钥设置的局限性和算法本身的不足使得WEP存在较明显的安全缺陷,WEP提供的安全保护效果,只能被定义为“聊胜于无”。
无线WLAN安全规范2:WPAWPA(Wi-FiProtectedAccess)是保护Wi-Fi登录安全的装置。
它分为WPA和WPA2两个版本,是WEP的升级版本,针对WEP的几个缺点进行了弥补。
是802.11i的组成部分,在802.11i没有完备之前,是802.11i的临时替代版本。
不同于WEP,WPA同时提供加密和认证。
它保证了数据链路层的安全,同时保证了只有授权用户才可以访问无线网络WLAN。
WPA采用TKIP协议(TemporalKeyIntegrityProtocol)作为加密协议,该协议提供密钥重置机制,并且增强了密钥的有效长度,通过这些方法弥补了WEP协议的不足。
wapi标准
wapi标准WAPI标准。
WAPI(无线局域网认证及隐私保护)是中国自主研发的无线局域网安全标准,旨在保障无线网络的安全性和隐私保护。
WAPI标准的制定对于我国无线网络安全领域具有重要意义,下文将对WAPI标准的相关内容进行介绍和分析。
一、WAPI标准的背景。
WAPI标准的制定是为了解决无线网络安全性和隐私保护的问题。
在传统的无线网络中,存在着信息泄露、网络攻击等安全隐患,因此迫切需要一种更加安全可靠的无线网络标准,以保障用户的信息安全和隐私权益。
WAPI标准的出台填补了我国在无线网络安全领域的空白,对于促进无线网络的健康发展具有重要意义。
二、WAPI标准的主要内容。
WAPI标准主要包括认证和加密两大部分。
在认证方面,WAPI采用了一种基于身份的认证机制,通过身份验证来确认用户的合法身份,防止非法用户接入网络。
在加密方面,WAPI采用了一种高效的加密算法,能够有效保护用户数据的安全性,防止数据被窃取或篡改。
此外,WAPI还规定了无线网络设备的技术要求和测试方法,确保设备符合标准规范,提高了整个无线网络系统的安全性和稳定性。
三、WAPI标准的优势。
相比于其他无线网络安全标准,WAPI具有以下几点优势:1. 安全性高,WAPI采用了先进的加密算法,能够有效保护用户数据的安全性,防止数据泄露和攻击。
2. 隐私保护,WAPI注重用户隐私的保护,通过身份认证和加密技术,保障用户的隐私权益。
3. 国产化,WAPI是中国自主研发的无线网络安全标准,符合国家安全政策和法律法规要求,有利于我国信息安全的自主可控。
4. 兼容性好,WAPI标准与国际标准兼容,能够与其他无线网络设备进行良好的互操作,提高了无线网络的整体性能。
四、WAPI标准的应用前景。
随着无线网络的普及和应用,WAPI标准将在各个领域得到广泛应用,包括政府机构、企事业单位、公共场所等。
特别是在一些对信息安全要求较高的领域,如金融、医疗、军事等,WAPI标准将发挥重要作用,保障网络的安全和稳定运行。
wapi 原理
wapi 原理
WAPI(WLAN Authentication and Privacy Infrastructure)是一种无线网络安全协议,它用于确保无线局域网(WLAN)的数据传输安全。
WAPI采用基于公钥密码体系的证书机制进行身份认证和密钥交换,从而实现数据传输的机密性、完整性和真实性。
WAPI的工作原理可以分为以下几个步骤:
1. 用户接入认证:当用户接入WLAN时,WAPI需要进行用户接入认证,以确定用户的合法性。
认证过程中,用户会向接入点(AP)提交认证请求,AP会将认证请求转发到认证服务器。
2. 证书验证:认证服务器验证用户的证书,以确定用户的身份。
用户的证书由公钥证书和私钥组成,其中公钥证书由权威证书颁发机构(CA)颁发,私钥由用户自己持有。
3. 密钥协商:认证服务器验证用户证书无误后,会与用户进行密钥协商,生成一对会话密钥。
4. 数据传输加密:通过使用会话密钥,对传输的数据进行加密和解密,确保数据传输的机密性和完整性。
WAPI采用基于椭圆曲线密码算法的公钥密码体系,可以提供较高的安全性和较强的抗攻击能力。
此外,WAPI还支持用户多播密钥分发,可以实现快速漫游和无
缝切换。
总之,WAPI是一种安全可靠的无线网络安全协议,可以为用户提供高速、安全、可靠的无线局域网服务。
WAPI认证机制的性能和安全性分析
!@, 5 ) 与此相类似可得 = *@ *A, !0 *7 *7 *7 !D* /= J* !/= !/= !/=
8
用 27 逻辑分析 235 的安全性
首先对 0*3 认证协议进行形式化, 将其转换成 01 逻辑所能理解的公式并消除冗余的信息: ! "
Y Z Y ( 3X*, , (15 ( 3X*, ; ) ) ) 2<DD< 1* 1* ! Y Z Y Y Z Y Z ( 3X*, , (15 ( 3X*, ; ) ) , , (15 ( 3X2, ; ) ) , (12 (N, ; ) ) 5<DD< 1* 1* 3X2, 12 12 9*, [, 9*) ! ! !
!"") 年中国推出了自己的无线局域网国家标准 W.%,(!’7%% - 标准包含无线认证和保密基础设施 0*23 [%] (0E*/ *C=RD;=8MF=8@; F;B 2>8PFM? 3;A>F<=>CM=C>D) 机制 - 0*23 是针对 3666 &"!7%% 中 062 协议的安全问题提 出的 0E*/ 安全解决方案, (0E*/ *C=RD;=8MF=8@; 3;A>F<=>CM=C>D) 和 023 ( 0E*/ 2>8PFM? 3;A>F<=>CM=C>D) 是其中 0*3 的两个重要组成部分, 分别实现对用户身份的鉴别和对传输数据的加密 [!] 笔者利用 .*/ 类逻辑 01 对0 结果表明 0 *3 的认证模型进行了分析, *3 无法实现全部的认证及密钥协 [)] 商目标 - 文中进一步指出其中存在的安全隐患, 并对 0 进行了安全性和性能方面的比较 *23 与 3666 &"!7%%8
WAPI移动互联网应用方案
需要解决WAPI与现有移动通信技术的 兼容性问题,以及在推广过程中面临 的产业链合作、标准统一等问题。
05
如何利用WAPI技术提升 移动互联网应用体验
利用WAPI技术优化网络连接质量
自动选择最佳网络
WAPI技术可以自动检测周围可用的无线网络,并根据信号强度、网络速度等 因素为用户选择最佳的网络连接,确保用户在使用移动互联网应用时能够获得 更稳定、更快速的网络体验。
03
WAPI应用场景与优势
WAPI在移动互联网中的应用场景
家庭无线网络
WAPI技术可应用于家庭无线网络,提 供高速、安全和稳定的无线连接,方便
家庭成员共享互联网资源。
企业无线局域网
WAPI技术适用于企业无线局域网建 设,满足企业内网高速、安全的数据
传输需求。
公共场所网络接入
在公共场所如咖啡馆、图书馆、机场 等,WAPI可提供安全的无线接入服 务,保障用户数据安全。
WAPI技术是一种无线局域网安全协议标准,具有自主知识 产权,具有数据传输安全、设备认证和加密等特性。
要点二
详细描述
WAPI(WLAN Authentication and Privacy Infrastructure) 技术是一种无线局域网安全协议标准,用于保障无线局域网 通信的安全性。它具有自主知识产权,与Wi-Fi等国外标准采 用不同的安全机制,能够提供更加安全的数据传输保障。 WAPI技术通过设备认证和加密等方式,确保只有合法的设备 能够接入网络,并且数据的传输过程受到保护,防止被非法 截获或篡改。
挑战
不同厂商的设备对WAPI技术的支持程度不一,导致设备间兼容性问题。
解决方案
制定统一的WAPI技术实施规范,推动厂商遵循规范进行设备生产和测试。同时,建立设备兼容性测试平台,促 进不同厂商之间的设备互操作。
WAPI技术标准
WEP安全性分析(2) 安全性分析( ) 安全性分析
WEP协议为了保障无线数据在传输中的完整性,防止数据遭到窜改, 使用了CRC校验的办法。在传输数据前,发送方先计算明文的CRC 校验码,然后将明文与校验码串联后加密发送。接收方收到WEP加密 数据后,根据初始向量v和密钥k来产生RC4密钥流,用以实现解密。 该协议的在数据传输时,用于生成密钥流的初始向量v是明文的方 式。这样,侦听者就可以知道v的取值,而该向量只有24位,这就使 得在224个数据包后至少出现一次重复v值,并且在实际中v值重复的概 率远远大于1/224;例如在随机选择v值的情况下,v的取值空间为 224,那么根据生日悖论,大约212个数据包后出现相同的v值的概率将 大于0.5。假设处于繁忙工作状态下的访问点AP每秒钟可以发送出 1000个数据包,则五秒钟后相同v值出现的概率就大于0.5。即使初始 向量采用累加的取值方式,隔几小时也会出现相同v值。重复出现v值 的现象称为初始向量碰撞,这种现象对于数据机密性有极大的危害。
WLAN / WAPI技术标准 培训资料 技术标准
2008年7月 年 月
WLAN
计算机网络体系结构的概念
邮政系统中信件传递工作过程示意图
计算机网络体系结构的定义和研究意义
采用层次化网络体系结构具有以下一些特点。 ①各层之间相互独立。这样,某一高层只需 知道如何通过接口(界面)向下一层提出服 务请求,并使用下层提供的服务,并不需要 了解下层执行时的细节。 ②结构上独立分割。由于各层独立划分,因 此,每层都可以选择最合适的实现技术。 ③灵活性好。如果某一层发生变化,只要 接口的条件不变、则以上各层和以下各层的 工作均不受影响,这样,有利于技术进步和 模型的修改。
起初无线局域网的安全系数很低,主要采用以下几种安 全加密方法:服务集标识符(SSID),物理地址(MAC) 过滤,有线等效加密(WEP)等 。事实上,以上的安全解 决技术都存在着致命的漏洞。
wapi标准
wapi标准WAPI标准。
WAPI(无线局域网鉴权及隐私保护)是由中国自主研发的无线网络安全标准,旨在提高无线局域网的安全性和隐私保护水平。
WAPI标准的制定和推广对于保障用户信息安全、促进无线网络产业发展具有重要意义。
本文将对WAPI标准的相关内容进行介绍,以便更好地理解和应用这一标准。
首先,WAPI标准采用了一系列先进的加密算法,包括SMS4、MD5、SHA-1等,这些算法能够有效地保护无线网络数据的安全性,防止黑客攻击和信息泄露。
与传统的WEP加密相比,WAPI标准在安全性方面有了长足的进步,能够更好地满足用户对于无线网络安全的需求。
其次,WAPI标准在用户身份认证和访问控制方面也有着严格的规定。
用户在接入WAPI网络时,需要进行身份认证,只有通过认证的用户才能够访问网络资源,这有效地防止了未经授权的用户对网络的非法访问。
同时,WAPI标准还规定了访问控制列表(ACL)的设置方法,网络管理员可以根据实际情况对用户进行灵活的权限控制,保障网络资源的安全使用。
另外,WAPI标准还注重隐私保护,在用户数据传输和存储过程中采取了一系列保护措施,包括数据加密、隐私协议等,确保用户的个人隐私得到有效的保护。
这一举措不仅提高了用户对于无线网络的信任度,也有利于促进无线网络应用的发展和普及。
总的来说,WAPI标准在无线网络安全和隐私保护方面具有显著的优势,对于推动无线网络产业的发展和提升用户体验具有重要意义。
随着5G时代的到来,WAPI标准将继续发挥重要作用,为构建安全可靠的无线网络环境提供有力支持。
综上所述,WAPI标准的推广和应用对于提升无线网络安全性、促进产业发展、保护用户隐私具有重要意义。
我们应该充分认识到WAPI标准的重要性,积极推动其在无线网络领域的应用,共同营造安全、可靠的无线网络环境。
相信在不久的将来,WAPI标准将成为无线网络安全的重要保障,为用户提供更加安全、便捷的无线网络服务。
wapi标准
wapi标准WAPI标准。
WAPI(无线局域网身份认证)是由中国国家标准化管理委员会制定的一种无线局域网安全认证标准。
它的出现填补了我国在无线局域网领域的标准空白,对于保障无线局域网的安全具有重要意义。
本文将对WAPI标准进行详细介绍,包括其背景、原理、应用以及未来发展方向。
WAPI标准的背景。
WAPI标准的制定是为了解决无线局域网安全性的问题。
在过去,由于无线局域网的开放性和易受攻击的特点,用户的信息安全受到了严重威胁。
因此,制定一种能够有效保障无线局域网安全的标准就显得尤为重要。
WAPI标准的原理。
WAPI标准采用了一种基于身份认证的安全机制,通过对用户身份的验证来保障无线局域网的安全。
具体而言,WAPI标准采用了一种基于密码学的认证方法,通过对用户的身份信息进行加密和解密来实现用户身份的验证。
同时,WAPI标准还采用了一种基于密钥协商的安全通信机制,通过动态生成会话密钥来保障无线局域网通信数据的安全。
WAPI标准的应用。
WAPI标准已经被广泛应用于我国的无线局域网领域。
目前,许多无线局域网设备都支持WAPI标准,用户可以通过WAPI标准来实现对无线局域网的安全接入。
同时,WAPI标准还被应用于一些特定领域,如政府机关、金融机构等对信息安全要求较高的场所。
WAPI标准的未来发展方向。
随着无线局域网技术的不断发展,WAPI标准也在不断完善和发展。
未来,WAPI标准将更加注重对无线局域网安全的全面保障,包括对通信数据的加密、身份认证的可靠性以及对网络攻击的防范等方面的完善。
同时,WAPI标准还将更加注重与国际标准的对接,推动我国无线局域网安全标准走向国际化。
总结。
WAPI标准是我国无线局域网领域的重要标准之一,它的出现填补了我国在无线局域网安全领域的标准空白,对于保障无线局域网的安全具有重要意义。
通过对WAPI标准的详细介绍,相信读者对WAPI标准有了更深入的了解,同时也对无线局域网安全有了更清晰的认识。
基于WAPI安全协议下无线局域网证书管理系统的研究与实现的开题报告
基于WAPI安全协议下无线局域网证书管理系统的研究与实现的开题报告一、研究背景随着无线网络逐渐普及,越来越多的机构和企业开始使用无线局域网技术。
然而,无线网络的安全性问题成为了大家关心的焦点。
在无线网络中,由于无线信号可以在空中自由传播,攻击者很容易通过窃听、中间人攻击等方式来窃取无线网络中的数据信息。
因此,对无线局域网进行加密和身份验证是非常必要的,可以有效的保证无线网络的安全性。
无线局域网使用的安全协议有多种,其中WAPI(WLAN Authentication and Privacy Infrastructure)是我国制定的一种无线局域网安全协议,WAPI在认证和加密的过程中采用了国家密码算法,并且支持拓展新的算法,因此比其他协议更加安全。
WAPI采用的是数字证书认证方法,证书是指电子证书,也就是具有特定格式,并被私钥签名的含有公共信息主体身份信息的文件。
数字证书通过数字签名的方式可以保证证书的真实性和完整性。
因此,证书管理是WAPI协议中非常重要的一环,好的证书管理系统可以实现数字证书的安全发布、监管和撤销等功能,从而保证无线网络的安全性。
二、研究目的本课题旨在设计和实现一套基于WAPI安全协议下的无线局域网证书管理系统,实现数字证书的安全发布、监管和撤销等功能,从而保障无线局域网的安全性。
具体目标包括:1.分析WAPI安全协议,并了解证书管理系统的原理和需求。
2.设计证书管理系统的系统架构,包括证书吊销列表(CRL)的生成和更新,证书的签发和认证等功能。
3.实现证书管理系统,包括数字证书的生成,签发和认证等功能,并开发相应的管理界面,方便管理员进行管理操作。
4.测试证书管理系统的性能和安全性能,并对系统进行优化,提高系统的效率和安全性。
三、研究内容本课题涉及的主要内容包括:1. WAPI安全协议的分析和证书管理系统的原理和需求分析。
WAPI协议是我国制定的一种无线局域网安全协议,本文将对其进行分析,包括认证和加密的过程,证书的生成和验证,以及证书的管理。
新完善的WAPI协议安全性分析
新完善的WAPI协议安全性分析庞辽军;李慧贤;王育民【期刊名称】《东南大学学报(英文版)》【年(卷),期】2008(024)001【摘要】Based on thorough researches on the Chinese wireless local area network (WLAN) security standard,i.e.,WLAN authentication and privacy infrastructure (WAPI),the security of the authentication access process is analyzed with the CK (Canetti-Krawczyk) model and the BAN (Burrows-Abadi-Needham) logic.Results show that it can achieve the alleged authentication and key negotiation goals.Besides those alleged, further analyses indicate that the authentication access process can satisfy other security requirements,such as mutual identity authentication,mutual key control,key confirmation,message integrity check,etc.If the used elliptic curve encryption algorithm and the hash algorithm are secure enough,the protocol can efficiently realize mutual authentication between STAs (station) and APs (access point).Therefore,WAPI can be applied to replace the security mechanism used in the original WLAN international standard to enhance its security.%在深入研究中国无线局域网安全标准WAPI接入鉴别过程的基础上,利用CK模型并结合BAN逻辑,对其认证和密钥协商过程安全性进行了形式化分析,证明其能够实现所声称的各种认证及密钥协商目标.进一步的分析结果表明,WAPI不仅具有所声称的各种安全属性,同时还能够有效地实现实体间相互认证、密钥的相互控制、密钥确认、消息完整性校验等安全属性.如果协议中所采用的椭圆曲线加密算法和杂凑算法足够安全,则该协议能够实现STA和AP之间的相互身份认证,可以用于替代原来的无线局域网国际标准中的安全机制,以增强无线局域网的安全性.【总页数】4页(P25-28)【作者】庞辽军;李慧贤;王育民【作者单位】西安电子科技大学计算机网络与信息安全教育部重点实验室,西安,710071;西北工业大学计算机学院,西安,710072;西安电子科技大学计算机网络与信息安全教育部重点实验室,西安,710071【正文语种】中文【中图分类】TP309因版权原因,仅展示原文概要,查看原文内容请购买。
wapi标准
wapi标准WAPI标准。
WAPI(无线局域网身份认证)是一种用于无线局域网(WLAN)的身份认证和加密标准。
它旨在提供更高级别的安全性,以保护无线网络免受未经授权的访问和数据泄露。
WAPI标准是中国国家标准,用于保护无线网络通信的安全性和隐私性。
本文将介绍WAPI标准的相关内容,包括其背景、特点和应用。
WAPI标准的背景。
WAPI标准最初是由中国科学院计算技术研究所(ICT)开发的,旨在解决WLAN安全性方面的问题。
在过去,WLAN存在着安全性不足的问题,容易受到黑客攻击和数据泄露的威胁。
因此,WAPI标准的制定是为了提高无线网络的安全性,保护用户的隐私和数据安全。
WAPI标准的特点。
WAPI标准具有以下几个显著特点:1. 强大的加密算法,WAPI标准采用了先进的加密算法,包括SM2、SM3和SM4等,可以有效地保护无线网络通信的安全性。
2. 身份认证机制,WAPI标准采用了基于数字证书的身份认证机制,可以确保用户的身份信息得到有效验证,防止未经授权的访问。
3. 高效的密钥管理,WAPI标准采用了高效的密钥管理机制,可以确保密钥的安全生成和分发,保护通信数据的机密性。
4. 兼容性,WAPI标准与国际上的WLAN安全标准兼容,可以与其他无线网络设备进行互操作,保证通信的顺畅和安全。
WAPI标准的应用。
WAPI标准已经在中国国内得到了广泛的应用,包括政府机关、企业和个人用户的无线网络设备中。
通过使用WAPI标准,用户可以有效地保护自己的无线网络通信安全,防止黑客攻击和数据泄露的风险。
同时,WAPI标准也为中国无线网络设备的国际化提供了技术支持,使中国无线网络设备能够在国际市场上获得更广泛的应用。
结论。
WAPI标准是中国国家标准,用于保护无线网络通信的安全性和隐私性。
它具有强大的加密算法、身份认证机制、高效的密钥管理和兼容性等特点,已经在中国国内得到了广泛的应用。
通过使用WAPI标准,用户可以有效地保护无线网络通信的安全,防止黑客攻击和数据泄露的风险。
无线安全协议综述
无线网络安全综述摘要:介绍并分析了无线局域网安全技术,包括访问控制、认证、加密、数据完整性及不可否认性,介绍了目前流行的几种无线局域网安全技术标准(WEP,WPA,WAPI)并阐述了其优劣,最后对无线局域网安全测试系统进行了介绍。
1、引言随着无线局域网应用的日益广泛,其安全问题也越来越受到人们的关注。
对于有线网络,数据通过电缆传输到特定的目的地,通常在物理链路遭到破坏的情况下,数据才有可能泄露;而无线局域网中,数据是在空中传播,只要在无线接入点(AP)覆盖的范围内,终端都可以接收到无线信号,无线接入点(AP)不能将信号定向到一个特定的接收设备,因此无线局域网的安全问题显得尤为突出。
2、无线局域网安全技术研究为了保证安全通信,无线局域网中应采取必要的安全技术,包括访问控制、认证、加密、数据完整性及不可否认性等。
2.1 认证认证提供了关于用户的身份的保证,这意味着当用户声称具有一个特别的身份时,认证将提供某种方法来证实这一声明是正确的。
用户在访问无线局域网之前,首先需要经过认证验证身份以决定其是否具有相关权限,再对用户进行授权,允许用户接入网络,访问权限内的资源。
尽管不同的认证方式决定用户身份验证的具体流程不同,但认证过程中所应实现的基本功能是一致的。
目前无线局域网中采用的认证方式主要有PPPoE认证、WEB认证和802.1X认证。
2.1.1 基于PPPoE的认证PPPoE认证是出现最早也是最为成熟的一种接入认证机制,现有的宽带接入技术多数采用这种接入认证方式。
在无线局域网中,采用PPPoE认证,只需对原有的后台系统增加相关的软件模块,就可以到达认证的目的,从而大大节省投资,因此使用较为广泛。
图1是基于PPPoE认证的无线局域网网络框架。
PPPoE认证是一种成熟的认证方式,实现方便。
但是由于它是基于用户名/口令的认证方式,并只能实现网络对用户的认证。
安全性有限;网络中的接入服务器需要终结大量的PPP会话,转发大量的IP数据包,在业务繁忙时,很可能成为网络性能的瓶颈,因此使用PPPoE认证方式对组网方式和设备性能的要求较高;而且由于接入服务器与用户终端之间建立的是点到点的连接。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1HCKJHKCA % 和 !;, $!"#$ ;C>RDJF ,GZCD1HCKJHKCA % 两
部分组成 "!#, 和 !;, 分别实现对用户身份的鉴别 和对传输的数据加密 ! !#;, 能为用户的 !"#$ 系 统提供全面的安全保护 !
#"!
&’() 协议的安全性分析 !#;, 是 无 线 局 域 网 $!"#$ % 中 的 一 种 传 输 协
*+, &-./.0.1 .2 $%&’ %34 ’/5 6,07-8/9 %3:19585
U832B VG?TV,. ! W)’X VG?TC9 ! M832B 1,?
"!"# $%&’()*&+, -. /0&(%0( 1%2 3(04%-5-6, ! 71%8&%6 9:::;: ! !"#$% $
5
#"%
!#;, 协议及其安全性分析
什么是 &’() 协议 # 我国 早 在 <&&5 年 W 月 份 就 提 出 了 无 线 局 域 网
国家标准 UM9WX<Y(99 " 这是目前我国在这一 领域惟 一 获 得 批 准 的 协 议 ! 标 准 中 包 含 了 全 新 的 !#;, $!"#$ #KHOAGH>JDH>BG DGL ;C>RDJF ,GZCD1HCKJHKCA " 无 线 局 域 网 鉴 别 和 保 密 基 础 结 构 %安 全 机 制 "这 种 安 全 机 制 由 !#, $!"#$ #KHOAGH>JDH>BG ,GZCD [
"
!"#
无线局域网及其安全协议
无线局域网
"# 世纪 +# 年代以来 ! 随着个人数据通信的 发
展 ! 功能强 大的便携式 数据终端 以 及 多 媒 体 终 端 的 广泛 应 用 !为 了 实 现 任 何 人 在 任 何 时 间 ’任 何 地 点 均 能实现数据 通信的目标 ! 要求传统 的 计 算 机 网 络 由有线 向 无 线 "由 固 定 向 移 动 "由 单 一 业 务 向 多 媒 体 发 展 ! 更 进 一 步 推 动 了 无 线 局 域 网 (&,-./.00
了 ?@,; $?A40BCDE @AF ,GHAIC>HF ;CBHBJBE %"66/; $6BKGHAC !/BLA " 6M6 !/#6
;CBHBJBE %
和 !N#;
$!>CAEA11 NB+K1H #KHOAGH>JDHAL ;CBHBJBE %5 种 加 密 机制 ! 其中 ?@,; 采用 !:; 机制里的 N6P 作为核心 加密算法 " 可 通过在现有 的设 备 上 升 级 固 件 和 驱 动 程序的方法达到提高 !"#$ 安全的目的 ! 66/; 机 制基于 #:Q $#LRDGJAL :GJCF0H>BG QHDGLDCL % 加 密 算 法 和 66/ $6BKGHAC !/BLA " 6M6 !/#6 % 认 证 方 式 " 使 得 !"#$ 的 安全程度大 大提 高 " 是 实 现 NQ$ 的 强 制性要求 ! 但是由于 #:Q 对硬件要求比较高 " 因此
B7C 和 DC67 蜂窝电话 标准 ! 它在制 定 &1’2 标准
时更加关注语音业务 & 89:.;< 作为一种为家庭 网 络专门设计的标准在业界也有一定的影响力 &
!"!
无线局域网的安全协议 制约无线网 络得到广泛 应 用 的 因 素 ! 第 一 是 价
格 ! 第二是无 线网络的安 全性问题 & 目 前 主 要 有 两 种无线局域网的安全协议 &
&’() 再一次引起了人们的关注 &
! ) &3( 协议 )3334#"A!! 标 准 中 的 &3( (&,-.E 3FG,H>/.?I (-,H>JK ) 协议是 )3334#"A!!L 协议中最基本的无线
安全加密 措施 ! 其主要 用途包括 提 供 接 入 控 制 ! 防 止 未 授 权 用 户 访 问 网 络 *对 数 据 进 行 加 密 !防 止 数 据被 攻击者窃听 * 防止数据被 攻击者 中 途 恶 意 纂 改 或伪造 % 此外 !&3( 也提供认证功能 ! 当加密机制功 能启用 ! 客户端要尝试连 接上 ’( 时 !’( 会发 出一 个 MN>//.?O. (>JP.I 给客 户端 ! 客 户 端 再 利 用 共 享 密钥将此 值加密后送 回存取点以 进 行 认 证 比 对 ! 如 果正确无误 ! 才能获准存取网络的资源 % ’L9H.M>L/. 所 有 型 号 的 ’( 都 支 持 %$ 位 或 ( 与 )!"4 位 的 静 态
1’2 ! 简称 &1’2 ) 的发展 & 在众多的无线局域网标
准中 ! 人 们 知 道 最 多 的 是 )333 ( 美 国 电 子 电 气 工 程 师协会 ) 的 4#"5!! 系 列 ! 此 外 制 定 &1’2 标 准 的 组 织 还 有 367) ( 欧 洲 电 信 标 准 化 组 织 ) 和 89:.;< 工 作 组 !367) 提 出 的 标 准 有 8,=.-1>? 和 8,=.-1>?" !
!
引言
我 国 政 府 有 关 部 门 发 出 通 知 ! 截 至 "##$ 年 %
的影响力使 得在业界一 直得到最广 泛 的 支 持 ! 尤 其 在数据业务上 & 367) 是一个欧洲组织 ! 因此一直得 到欧洲政府的支持! 很多运营商也都很尊重它的
月止!所 有 公 司 和 商 业 性 机 构 都 禁 止 进 口"生 产 和 销售没有使用中国新 安全规范 $ #$ &’() 的无线 网 络设备 * 与此 同时 * 韩国政 府也正在积 极 制 定 相 关 类 似的标准 % 这个消息 一经发布 ! 立 即 在 业 界 引 起 了 轩然大 波 ! 特别是一 些目前掌 握无 线 局 域 网 核 心 技 术的国外公司 ! 纷纷发表不同的看法 ! 认为 &’() 协 议是中国政府为了保护国内的高科技企业而制定 的 ! 美 国 政 府 也 参 与 到 反 对 &’() 的 行 列 中 来 !
!"#$ %&’# ’()!*+, - )+&’./".."*’
文章编号 +!""#$%&’#(#""()#RS##@!T#@
$%&’ !"#$%&’() (
郑君杰 ! 肖军模 ! 程 林
"!!!#!#
" 中国人民解放军理工大学 ! 江苏 南京
技术分析 # #
$ 摘 要 % 介 绍了 无 线 局域 网 及 其两 种 安 全协 议 $ $ $ &3( 协 议 和 )333 4#"A!!, 标准 ! 并 对 这两 种 协 议的 安 全 性 进 行 了 分 析 ! 指 出 了不 足 % 介 绍了 &’() 协 议 产生 的 背 景与 算 法 原理 ! 分 析 了其 安 全 性 * 并 将 其 安全 性 与 &3( 和 )333 4#"A!!, 进 行 了 对比 ! 对 其 未来 的 发 展作 了 展 望 % $ 关 键 词 % &’() 标准 * 协 议 * 安全 * 分 析 $ 中 图 分 类 号 % !"#!) $文 献 标 识 码 % $
&3( 加密 ! 有效地防止数据被窃听盗用 % " ) )333 4#"A!!, 安全标准 )333 4#"A!! 的 , 工 作 组 致 力 于 制 订 被 称 为 )333 4#"A!!, 的新一代安全标准 ! 这种安全标准为
了增强 &1’2 的数据加密和认证性能 ! 定义了 ;72 (;9LG0I 7.JG-,IK 2.IQ9-P ) 概 念 ! 并 且 针 对 &3( 加
!#;, 标准 ! !#, 采 用 公 开 密 钥 密 码 体 制 " 利 用 证 书 来 对 !"#$ 系统中的 Q?# 和 #; 进行认证 ! !#, 定义了
一 种 名 为 #Q\ $#KHOAGH>JDH>BG QACR>JA \G>H % 的 实 体 "用 于 管 理 参 与 信 息 交 换 各 方 所 需 要 的 证 书 $包 括证书 的产生 # 颁发 # 吊销和 更 新 %! 证 书 里 面 包 含 有证书颁发者 $#Q\ % 的公钥和签名以及证书持有者 的公钥和签名 $ 这里的签名采用的是 !#;, 特有的 椭圆曲线数 字签名算法 %" 是 网 络 设 备 的 数 字 身 份 凭证 ! 在具体实现 中 "Q?# 在关联到 #; 之后 " 必须相 互进行身份鉴别 ! 先由 Q?# 将自己的证书和当前时 间提交给 #; "#; 将 Q?# 的证书 # 提交 时间 和 自 己 的证书一起 用自己的私 钥形成 签 名 " 并 将 这 个 签 名 连同这三部分一起发给 #Q\ ! 所 有 的 证 书 鉴 别 都 由 #Q\ 来 完 成 " 当 其 收 到
567/ # 安奈特等国外厂商都针对 %3’899+ 制定了一
系列安全解决方案 " 但总归并不尽人意 !
!:; 协
议 自 身 存 在 着 一 定 的 缺 陷 "认 证 比 较 简 单 "易 于 伪 造 " 降 低 了 总 体 安 全 性 " 而 ,::: %3<=99> 规 定 使 用