淺談WAPI較之于IEEE 802.11i

胡 暢 郭靈軍

【摘要】文章首先介紹了現行的國內外無線局域網安全問題的解決方案——WAPI與IEEE 802.11i，然后分別就兩個標準的認證、密鑰生成方式及加密算法做了分析，最后對發展WAPI提出了一些建議。

【關鍵詞】WAPI IEEE 802.11i WLAN TKIP Wi-Fi

1前言

無線局域網(Wireless Local Area Network)利用電磁波替代傳統的線纜進行信息傳輸，可以作為有線網絡的延伸、補充或替代。相比有線網絡，它具有移動性、靈活性、可伸縮性的優勢，因而得到廣泛的應用。但應用標準802.11b安全機制的缺陷，是制約其發展的關鍵因素，無線局域網的安全因素得到了國內外的廣泛關注。

國內方面，2003年底頒布了GBl5629.11，其中定義了與802.11標準不兼容的WAPI。該方案已由ISO／IEC授權機構IEEE Registration Authority審查并通過，作為中國自主知識產權的WLAN安全解決方案。

國外方面，在WEP退出WLAN市場之后。Wi-Fi聯盟聯合802.11i標準制定者推出WPA，作為過渡性的標準。為了大幅度提升WLAN安全，IEEE-SA(IEEE標準協會)最終于2004年6月發布了IEEE 802.11i標準。

WAPI與IEEE 802.11i分別作為國內外主導的無線局域網傳輸協議，近年來爭論不休，其中認證與加密是兩種協議的核心內容。

2IEEE 802.11i認證與密鑰生成

IEEE 802.11i(協議層級結構如圖1)規定使用802.1x認證和密鑰管理方式，在數據加密方面引入了TKIP和CCMP，TKIP采用WEP機制里的RC4算法作為核心加密算法，而CCMP基于AES加密算法和CCM認證方式。從安全性來說，CCMP要遠強于TKIP，但是由于其算法復雜。對硬件設備要求較高，無法通過網絡設備升級來實現；而TKIP只需要對現網的設備做固件和驅動升級就可以了。容易得到廠家的青睞。

EAP是PPP認證中的一個通用協議，802.1x認證協議采用EAP協議，即EAP消息封裝在802.1x消息里，成為EAPOL。EAP協議可支持多種認證協議，在802.11i中采用是EAP-TLS，因為它能提供雙向認證。并在認證中動態進行密鑰交換和生成密鑰。

(1)EAP-TLS認證

如圖2所示，其認證步驟為：

1)STA發EAP-start消息，請求認證。

2)AP回復STA。要求輸入用戶名。

3)STA響應AP。把用戶名發給AP。

4)AP將用戶信息封裝成Radius Acess Request包發給Radius服務器。

5)Radius服務器驗證用戶名合法后，發送自己的數字證書。

6)STA通過驗證Radius服務器身份。

7)STA向Radius服務器發送自己的證書。

8)服務器通過STA認證。到這里也就完成了雙向認證過程。

9)在雙向認證過程中，雙方獲得成對主密鑰(PMK)。

10)Radius服務器向AP發送accept信息，其中包含密鑰信息。

11)AP轉發accept信息給STA。

(2)密鑰生成與管理

密鑰生成可分為3個步驟：1)在AP和STA間綁定PMK。

2)在PMK基礎上，通過一個四次握手的協商過程，AP和STA獲得PTK，并完成單播密鑰安裝。

3)通過組密碼握手過程向STA分發AP產生的多播／廣播密鑰。

3WAPI認證與密鑰生成

WAPI安全機制由無線鑒別基礎結構WAI(WLAN Authentication Infrastructure)和無線局域網保密基礎結構WPI(WLAN Privacy Infrastructure)兩部分組成，分別用作用戶身份認證和數據加密。WAPI采用公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，高強度的加密算法提供設備身份鑒別、鏈路驗證、訪問控制和用戶信息在WLAN的安全保護。

(1)WAI

WAI認證體系核心采用公鑰密碼體制，在基于數字證書的公鑰體制下實現實體雙向認證和密鑰協商。具體協議執行過程見圖3。其中STA代表客戶端，AP代表接入點。ASU為認證服務單元的實體。由專門的服務器擔當，負責生成、頒發、吊銷、更新信息交換雙方在數據傳輸中所需要的各種證書。

WAI具體實現過程如下：

1)當STA與AP關聯或重新關聯時，STA接受AP發送的認證激活，啟動認證過程。

2)STA向AP發送接入鑒別請求，將STA證書發送給AP，AP接收STA證書，并登記系統時間。

3)AP向ASU發送證書鑒別請求。并把STA證書、AP證書、AP對ST_A的簽名和系統時間一同發送。

4)ASU驗證AP簽名和STA證書的有效性，然后把STA證書、AP證書、STA鑒別結果、AP鑒別結果、ASU簽名及系統時間發送給APo

5)AP接收到ASU的認證反饋后，進行簽名驗證，得到STA認證結果，同時把ASU反饋轉發給STA。STA得到AP證書的認證結果，據此決定是否接入AP。到這里也就完成了雙向認證過程。

(2)WPI

當STA與AP雙向認證結束以后，雙方要通過密鑰協商。WPI具體實現過程如下：

1)STA與AP協商數據傳輸過程所要采用的密鑰算法。STA產生一個隨機數random_sta，利用AP公鑰加密后，發送給AP。

2)收到STA的密鑰協商請求后，AP先進行會話算法協商確定自己支持的算法。利用本地私鑰解密協商數據，得到random_sta，然后自己產生新的隨機數random_ap。利用STA公鑰加密后，發送給STA。

3)STA和AP將雙方的隨機數據(random_sta、random_ap)模2運算結果作為會話密鑰。

4)STA和AP利用這個會話密鑰以及協商好的算法對傳輸數據進行加密。

由于會話密鑰不單獨在網絡中傳輸，不會被竊?。徊⑶襍TA與AP在一定時間或交換一定數量的數據后，會重新協商會話密鑰：這兩點將大大增強網絡的安全性。

4WAPI與IEEE 802.11i的加密算法

由于WLAN設備受硬件性能限制不能由軟件升級的方式使用CCMP，因而目前基于802.11i的WLAN設備使用TKIP協議。TKIP協議實際上是對WEP協議的修改。仍然采用RC4算法。由于RC4算法本身的漏洞，TKIP協議的安全性依舊受到質疑。WAPI采用國家密碼管理委員會辦公室批準的用于WLAN的SSF43對稱分組加密算法，其算法的保密性較之于TKIP有很大的提高，本文不再就加密具體算法進行詳述。

表1是WAPI與IEEE 802.11i的比較：

5WAPI的國際標準發展歷程

目前大多數無線網絡產品所采用的都是IEEE 802.11i傳輸協議，該協議由Wi－Fi組織倡導。WAPI則是中國擁有自主知識產權的無線局域網標準，WAPI和IEEE 802.11i在認證方式上都采用雙向認證，其主要的區別在于安全加密技術的不同。

2004年7月。中國向國際標準組織ISO／IEC JTCI和SC6提交WAPI國際標準提案；2005年2月的法蘭克福會議上，WAPI被撒出國際標準提案，中方代表為抗議不公正待遇而退出會議；2006年6月8日，布拉格“投票分析會”上，WAPI中國代表團被強行制止發言：中國的WAPI一直走著一條艱辛的路。究其原因在于WAPI發動了一場利益格局的變革。而對于習慣掌握話語權的國外利益團體來說，中國式的WAPI是讓他們最為不安的。——顯而易見，WAPI標準的出臺將直接妨礙Wi－Fi在中國坐收漁利。然而中國市場的廣大和無線局域網技術的高速發展，終將打破世界無線局域網技術的壟斷格局。

采用美國標準802.11i的wi-Fi信息安全漏洞太大，也給了WAPI一個新的機遇。

2D06年9月11日的一次無線局域網安全技術研討會上，有人利用網上下載的工具演示了在5分鐘內破解Wi－Fi的保護口令。在俄羅斯，一家公司甚至可以利用NVIDIA顯卡的強大運算能力，將上述破解Wi-Fi密碼的時間縮短10倍。最近，俄羅斯另一家公司還推出了“密碼恢復”工具。進一步促使NVlDIA顯卡的通用計算加速。

實際上，WAPI對于無線局域網的應用和發展來說，是一個很好的補充和發展。WLAN網絡的安全需要WAPI。在今年2月的ISO／IEC JTCl，SC6日內瓦會議上，WAPI代表團重提WLAN安全仍然面臨嚴重威脅的說法。這一次。連IEEE802.11i的代表也表示了認同。

今年6月的東京會議上，美、英、法等10余個與會國家成員體一致同意將WAPI作為WLAN網絡接入安全機制獨立標準形式推進為國際標準，WAPI的國際標準之爭終于結束。

在無線局域網技術高速發展的今天，技術的領先意味著掌握了主動權。無線局域網的安全是用戶關注的重點，相關統計表明。目前有50％的無線局域網用戶對網絡安全不滿意。在未使用WLAN的人群中，有40％的人表示會因為網絡安全而不選擇使用。這說明現代人越來越關注無線局域網的安全，而WAPI在安全加密方面的優勢是明顯的。當然，我們不能僅僅局限于作為技術的生力軍，在保證技術先進性的同時。WAPI如果在市場推廣方面有更果斷的措施，很有可能突破Wi－Fi的重圍，成為無線局域網領域的主導技術。

6對發展WAPI的建議

(1)擴展WAPI聯盟，發揮WAPI聯盟的平臺作用

近年來。WAPI產業聯盟的規模不斷擴大。已經由早期的22家發展到了如今58家的水平，不少海外無線局域網芯片和設備廠商紛紛加入了WAPI陣營，發展勢頭良好。

Wi—Fi主導廠商英特爾去年已承諾在迅弛芯片中加入WAPI功能。這可以說是給WAPI芯片廠家注射了一針強心劑。國外手機終端廠家也不甘落后，自摩托羅拉推出國內首款支持Wi－Fi／WAPI的A31D0后，諾基亞也在中國發布了其首款支持Wi-Fi／WAPI的5530XpressMusic，索尼愛立信也在今年7月宣布將推出支持WAPI和TD-SCDMA標準的手機。

但是我們也不能盲目樂觀。幾乎所有的國外WAPI終端都兼容Wi－Fi。在雙方互利互惠、互補發展的同時，如果不能將WAPf的技術優勢轉化為市場優勢。就可能在表面上共贏的局面下，WAPI最終為Wi-Fi“做嫁衣裳”。因而在號召更多國外廠家加入的同時，應該做好WAPI技術推廣工作，健全WAPI聯盟的產業鏈，讓WAPI良性發展。

對于國內廠家來說，WAPI聯盟應該為他們做好穿針引線的工作。自從WAPI聯盟與工信部寬帶無線標準IP標準工作組聯合制定了《匯聚無線控制技術指導性文件》后，2009年4月。大唐電信、京信通信、廣州杰賽、烽火虹信、傲天動聯等八家WAPI產業聯盟成員企業共同對外宣布，他們的WAPI會聚型產品(瘦AP)已實現互聯互通。此舉打破了當前無線局域網設備供應商各自為政、部分廠商把持技術形成變相壟斷的現狀。

(2)發揮WAPI的“可運營、可管理”特性，促進運營商在WAPI發展中起關鍵作用

WAPI良好的安全性本身就蘊含了良好的管理和運營能力，因此中國移動、中國電信在其網絡及產品標準中均強烈要求支持WAPI。藉此給予用戶可選擇和防范安全風險的權力。到2008年底，WAPI已被中國移動、中國電信和新聯通等電信運營企業標準采納；2009年初，WAPI進一步成為中國移動、中國電信的A類必測項。運營商大力投入，也正是看好基于WAPI的WLAN技術能夠滿足未來運營市場的業務需求。

未來中國的WLAN建設規模會比較大。目前，中國移動、中國電信在WLAN建設規模上尚屬試水階段。在網絡規劃和運營之前要做好定位，保證客戶的感知度和信任感，保證WAPI的市場競爭力。除了繼續擴大無線熱點建設外，運營商要迅速實施Wi-Fi熱點軟改造，使其兼容WAPI，改造工作要落到實處。據了解，無線熱點的改造難度不大。成本也不會太高。最后。運營商要與廠家在技術交流、產品互聯方面做好溝通工作，這在實際布網和后續應用方面會有較大的便利。

運營商是資源的整合者，在未來通信行業的發展中起核心作用。國內運營商要廣泛參與WAPI聯盟，應該在WAPI聯盟里成為領頭羊。包括在推動WAPI未來技術演變發展中扮演積極倡導者和推動者的角色。

(3)國家推動WAPI發展的策略

在政策監管方面，國家已明確提出支持Wi-Fi標準的終端如需入網，必須支持WAPI標準，這點無論從國家層面還是監管層面都是毋庸置疑的，這也是WAPI在中國能夠順利推行的重要保障。

Wi－Fi聯盟的市場霸權態度，與中國政府的強制措施，激化了Wi—Fi與WAPI的矛盾。鑒于Wi-Fi是商業聯盟，所以中國應該更多地培養和支持WAPI聯盟的發展，通過WAPI聯盟與Wi-Fi協商發展，推動二者的合作共贏。

WAPI工作組專家指出：“WAPI自身的技術先進性及其優勢已逐步獲得包括美國在內的國際社會和標準組織的認可。”所以中國應該倡導積極的外交政策，配合國內WAPI市場的良性發展。為WAPI在國際上的推廣創造好的發展空間。

7結束語

綜上所述，WAPI作為中國積極倡導和發展的無線局域網標準，因其在無線網絡安全上的優勢，正受到越來越多的關注，與Wi-Fi倡導的IEEE 802.11i一起成為目前主流的無線局域網標準。相信不遠的將來，WAPI將真正走入我們的生活。