摘要:
无线局域网鉴别与保密基础结构(
WLAN Authentication and Privacy Infrastructure
,
WAPI
)技术经过多年发展,已经形成技术体系,本文重点基于安卓手机,详解
WAPI
证书安装使用过程。
关键词:
安卓手机,
WAPI
,证书安装
来源:WAPI产业联盟
无线局域网鉴别与保密基础结构(
WLAN Authenticationand Privacy Infrastructure
,
WAPI
)技术经过多年发展,已经形成技术体系,与
Wi-Fi
的单向鉴别不同,
WAPI
真正实现了终端和接入点的对等双向鉴别,保障了用户和网络的接入安全。自
2003
年
5
月
WAPI
被纳入中国无线局域网
GB15629.11
系列国家标准以来,全球目前支持
WAPI
功能的无线局域网(
Wireless Local Area Network
,
WLAN
)芯片出货量已达
70
亿颗,手机型号达
9000
余款。
就手机终端的通信安全而言,
WAPI
技术采用证书作为身份凭证进行身份鉴别,确保了合法用户接入合法网络,即:合法的手机终端接入合法的接入点,而且这一切对于用户来说都是用户无感知的,用户只需保证证书安装成功,鉴别过程和数据加密传输无需用户干预。证书的成功安装是后续一切过程的前提,那么证书如何安装?从安卓系统来看,不同手机厂商都根据自身需求对安卓原生系统进行了定制化开发,导致证书的安装过程不尽相同,下面以三星
Galaxy Nexus GT-I9250
手机为例,详述
WAPI
证书的安装方式。
介绍之前,有必要先说明一下,
WAPI
鉴别技术是基于三元对等安全架构,三元分别为鉴别服务器、无线接入点和移动终端,介绍如下:
鉴别服务器
—— 英文全称为
Authentication Server
,简称
AS
,是在传统无线局域网二元网络结构基础上引入的可信第三方实体,
AS
的主要作用有两个,一是颁发证书,证书可作为实体的身份凭证,颁发的证书有根证书(即
AS
自己的身份凭证)、无线接入点的证书和终端设备证书;二是对实体的身份进行鉴别,检验其是否合法。
AS
是实现“合法用户接入合法网络”功能的关键实体。
无线接入点
——
英文全称为
AccessPoint
,简称
AP
,与
AS
通过有线连接。
AP
属于网络接入设备,与移动终端用户通过无线电波进行信息的交互完成鉴别过程,交互内容包括与密钥相关的一些信息、身份认证信息等。
移动终端
——
英文全称为
STAtion
,简称
STA
,如智能手机和平板电脑等,通过和
AP
进行无线交互完成认证,从而接入网络。
由于
AS
的证书颁发和
AP
的证书安装的操作都是由网络管理员来完成的,终端用户无需干预,所以下面主要介绍
STA
上的证书安装过程。证书从颁发成功到安装进终端设备的过程中,对终端设备而言,证书的获取方式有所不同,但安装步骤大同小异,详细如下:
-
方式一、将证书拷贝至电脑,通过数据线安装
(1)首先在电脑上安装手机驱动,是否安装成功,可以从“设备管理器”里得到验证,如下图
1
所示:
图
1
(2)将证书拷贝至
/sdcard
目录下,其中
as.cer
是
AS
的根证书,
sta.cer
是手机终端的证书,如下图
2
所示:
图2
(3)通过“证书管理”安装证书
在
WLAN
设置界面里点击“高级”,进入“高级
WLAN
设置”界面,如下图
3
所示;点击“
WAPI
证书管理”,进入“
WLAN
证书”管理页面,再点击“添加”,弹出导入证书界面,如下图
4
所示;选取相应的证书,即可完成证书导入,如下图
5
所示。
(4)在网络列表中选择相应的证书模式的服务集标识符(
Service Set Identifier
,简称
SSID
),如下图
6
所示;点击
SSID
后,弹出证书模式配置界面,如下图
7
所示;选择步骤
3
导入的证书,手机顺利接入证书模式的网络,如下图
8
所示。
-
方式二、通过邮件发送证书
邮件发送方式只把证书拷贝的动作换成了发送邮件,安装及连接过程大同小异:
(1)证书以邮件附件形式存在,如下图
9
所示;点击“
STAUser.cer
”(系统自动识别并安装
as.cer
证书),弹出“为证书命名”界面,可为证书命名,方便管理。如下图
10
所示;输入名字并确定后,进入证书管理界面,界面显示已安装的证书,如下图
11
所示:
(2)在网络列表中选择相应的证书模式的
SSID
,如下图
12
所示;点击
SSID
后,弹出证书模式配置界面,如下图
13
所示;选择步骤
1
导入的证书,手机顺利接入证书模式的网络,如下图
14
所示。
-
方式三、
APP
推送
为实现证书自动安装,最大化地减少人工干预,
WAPI
技术研发机构投入精力着手研发能实现证书自动推送的应用软件,由于实现证书自动推送需要打开安卓系统相应的软硬件接口,而不同厂商的手机中的
WLAN
芯片和安卓系统都不尽相同,要达到不同厂商都统一接口这一目标,还需要产业多方配合共同努力。目前这一应用已具备演示功能,可实现证书的推送和安装。
希望能通过以上介绍,能对想要体验
WAPI
技术的用户有所帮助
。
链接:关于
WAPI
技术
如今,无线热点接入几乎已成为各商业场所的标配,机场、酒店、餐馆、咖啡厅等,绝大多数都提供无线网络接入服务,无线局域网技术使人们随时随地畅享网络的同时,也带来另外一个不容忽视的问题——安全。由于无线信号以空气为媒质向四面八方传播,不论信号中的数据要发送到哪里,任何无线终端在无线信号覆盖的范围内都可接收到,而且公共热点几乎都是开放式接入,或是加密手段较弱,这样就给别有用心者留下可趁之机,早前央视等各大媒体曾报道,消费者在公共场所通过
WiFi
热点接入互联网,导致银行账户失窃。
使用
WAPI
安全技术可以杜绝这一问题的发生。
WAPI
是基于身份对等的安全架构,真正实现了移动终端和无线接入点的双向认证,也就是说,除了网络对用户身份合法性的鉴别外,用户也要验证网络的合法性,鉴别是双向的,通过这种手机和接入点之间的双向身份鉴别和密钥协商过程,实现安全接入控制和保密通信,并且能够在完成身份鉴别的同时不暴露被鉴别者的身份信息,充分保护被鉴别者的隐私与安全,有效解决网络接入和数据传输中的安全问题,杜绝安全漏洞和网络攻击,满足“合法终端接入合法网络”的安全需求,确保用户信息的完整性、安全性。
WAPI
技术得以在手机终端上大规模应用的核心技术因素在于,
WAPI
技术真正实现了用户身份鉴别和数据加密传输,保证了用户的信息安全,
WAPI
技术从以下两点保证用户通信安全:
-
身份鉴别
WAPI
典型基础架构由终端(
STA
)、无线接入点(
AP
)和鉴别服务器(
AS
)组成,
WAPI
在
WLAN
网络中创新性地引入了证书形式的认证机制,数字证书是一种经公钥基础设施(
PublicKey Infrastructure
,
PKI
)证书授权中心签名的、包含公钥及用户相关信息的文件,是网络用户的数字身份凭证。鉴别服务器
AS
负责证书的颁发、验证与吊销等,移动终端与无线接入点上都安装有
AS
颁发的公钥证书,作为自己的数字身份凭证。开始建立连接之前,
STA
和
AP
需要预先安装由
AS
为他们颁发的证书,连接过程中,由
AS
鉴别对
STA
、
AP
双方的合法性进行鉴别。
-
数据加密传输
WAPI
采用国家密码管理局发布的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法,分别用于
WLAN
设备的数字证书、证书鉴别、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
如果有兴趣对
WAPI
技术标准进行更全面的了解,近期由网络大
V
“奥卡姆剃刀”撰写的一篇名为《国际标准战争的技术真相》的文章,推荐大家阅读,链接见下,希望会对大家有所帮助。
http://weibo.com/ttarticle/p/show?id=2309404046881234796162