Download
1 / 30
300 likes | 469 Views
WAPI Technology. HungLin Chou hlchou@mail2000.com.tw. China WLAN National Standard History. 2001 中國資訊產業部成立了 中國寬帶無線IP標準工作組 ( China Broadband Wireless IP Standard Group) 進行中國 WLAN 國家標準起草工作 . 由西安西電捷通 ( CHINA IWNCOMM CO.,LTD) 主導 . 2003 5/12
E N D
WAPI Technology HungLin Chouhlchou@mail2000.com.tw
China WLAN National Standard History • 2001 • 中國資訊產業部成立了中國寬帶無線IP標準工作組(China Broadband Wireless IP Standard Group) 進行中國WLAN國家標準起草工作. • 由西安西電捷通(CHINA IWNCOMM CO.,LTD) 主導. • 2003 • 5/12 • 由資訊產業部(Ministry of Information Industry)報送國家標準化管理委員會(Standardization Administration of China)於5/12正式頒佈兩項WLAN國家標準,其中包括了 WAPI (WLAN Authentication and Privacy Infrastructure). • 11/26 • 國家質量監督檢驗檢疫總局 (General Administration of Quality Supervision, Inspection and Quarantine of the People‘s Republic of China)與國家標准化管理委員會 (Standardization Administration of China) 公告,宣佈關於WAPI的兩項強制性國家標准將於2003年12月1日開始執行. • 公告明確要求:即日起禁止進口、生產和銷售不符合強制性國家標准的無線局域網產品。對於此前已經生產的產品,將寬限期設為2004年6月1日,屆時將全面禁止.
China Broadband Wireless IP Standard Group • 中國寬帶無線IP標準工作組 • 創始成員包括以下十家企業 • (1)西安西電捷通無線網路通信、(2)中國電子技術標準化研究所、(3)西安電子科技大學、(4)北京郵電大學、(5)西安交通大學、(6)西安郵電學院、(7)武漢漢網公司、(8)桂林電子工業學院、(9)國家商用密碼研究中心、(10)國家無線電監測中心 • 西安西電捷通無線網路通信是工作組組長 • 其後又陸續加入六家企業 • (1)北京六合萬通微電子、(2)聯想、(3)北京長信嘉資訊技術、(4)中興通訊、(5)上海思波通訊科技、(6)廣州傑賽科技 • 採集體表決制度,同意是否接受新成員申請參與標準制定 • 此次WAPI標準制定,並沒有任何一家外國企業參與
WAPI licensed • WAPI加密技術將免費轉移給 11(24)家指定企業 • 其中包括 • (1)聯想集團、(2)華為科技公司、(3)深圳明華澳漢科技股份有限公司、(4)無錫電腦技術研究院、(5)上海格爾軟體股份有限公司、 (6)深圳中興積體電路設計有限公司、(7)SDT電信集團、(8)成都衛士通資訊產業股份有限公司、(9)西安西電捷通無線網路通信有限公司、(10)瀋陽東軟股份公司、(11)北京握奇數據系統有限公司 • 外國企業必須與中國企業合作才能取得WAPI加密技術
China WLAN National Standard • China WLAN National Standard include • GB15629.11-2003 • 《資訊技術系統間遠程通信和資訊交換局域網和城域網特定要求第11部分:無線局域網媒體訪問控制和物理層規範》 • GB15629.1102-2003 • 《資訊技術系統間遠程通信和資訊交換局域網和城域網特定要求第11部分:無線局域網媒體訪問控制和物理層規範: 2.4GHz頻段較高速物理層擴展規範》 • WAPI部分主要定義在GB15629.11-2003 第八章
WAPI Architecture 鑑別請求者系統 鑑別器系統 鑑別服務系統 鑑別請求者實體 (ASUE) 鑑別器系統提供的服務 鑑別器實體 (AE) 鑑別服務實體 (ASE) UDP Port: 9000 未鑑別受控端口 非受控端口 Ethernet Type: 0x88B4 WLAN ASUE (Authentication Supplicant Entity)AE (Authenticator Entity)ASE (Authentication Service Entity)
WAPI • WAPI • 包括無線局域網鑑別與保密基礎結構(WLAN Authentication and Privacy Infrastructure) • 無線局域網鑑別基礎結構 • WAI (WLAN Authentication Infrastructure) • 採用公鑰密碼技術,用於STA與AP之間的相互身份鑑別 • 無線局域網保密基礎結構 • WPI (WLAN Privacy Infrastructure) • 採用 國家密碼管理委員會辦公室 核准的WLAN對稱密碼演算法,對網路封包進行加解密處理.
WLAN Authentication Infrastructure AP STA ASU After Associate to AP 初始化認證流程 身份認證 要求登入認證程序 證書認證請求 證書認證回應 回應登入認證程序 密鑰協商 密鑰協商請求 密鑰協商回應 Connect to internet ASU (Authentication Service Unit)
802.11i and WPA • WPA (Wi-Fi Protected Access) is a subset of 802.11i • 802.11i support • Authentication Procedure • EAP Authentication Procedure • MD5/TLS/TTLS/PEAP….etc • Private Algorithm • TKIP • AES
802.11i Authentication Procedure AP STA AS After Associate to AP 要求登入認證程序 要求 Identity 身份認證 回應 Identity 確認 Identity EAP-Request Radius Access Challenge EAP-Response Radius Access Request 認證成功 認證成功 密鑰協商 Pairwise Key Handshaking Group Key Handshaking Connect to internet AS (Authentication Server)
802.11i Information Element DD160050F20101000050F20201000050F20201000050F202WPA_IE_TAG=0xDD (Information Element Tag) WPA_IE_LENGTH=0x16 (22 bytes Information Element) OUI= 0050F201 (For WPA OUI) IE Version=0100 Multicast=0050F202 (Multicast support TKIP) Unicast suite OUI count=0100 (Support 1 OUI in unicast) Unicast suite OUI=0050F202 (Unicast support TKIP) Authentication suite count=0100 (Support 1 authentication method) Authentication algorithm type=0050F202 (Support WPA-PSK)
WAPI Topology AP1 CertificateAP2 CertificateSTA1 CertificateSTA2 CertificateSTA3 CertificateSTA4 Certificate ASU AP1Certificate AP2Certificate AP1 AP2 STA4Certificate STA1Certificate STA3Certificate STA2Certificate STA1 STA4 STA2 STA3
WAPI Topology AP1 CertificateSTA1 CertificateSTA2 CertificateSTA3 Certificate Support authentication service AP1 STA3Certificate STA1Certificate STA3 STA2Certificate STA1 STA2
Basic Packet format#1 (Supplicant<->AP) 0 1 2 3 4 byte Destination MAC Protocol Type 0=Auth-Start 1=Auth-Request 2=Auth-Response 3=Auth-Key-Request 4=Auth-Key-Response Destination MAC Source MAC Source MAC Ethernet type(0x88B4) Version Protocol Type Reserved Data Length Data
Basic Packet format#2 (AP<->ASU) 0 1 2 3 4 byte Protocol Type 5=Auth-Request 6=Auth-Response IP/UDP (port 9000) Version Protocol Type Reserved Data Length Data
Auth-Request (Supplicant<->AP) 當STA連線到AP端後,會由AP向STA發出要求初始化認證流程的封包(Protocol Type=0x00), 之後STA向AP發出進行認證請求(Protocol type=0x01),並將STA憑證與STA目前系統時間傳 給AP,其中系統時間稱為進行認證請求時間。 0 1 2 3 4 0 1 2 3 4 byte byte Version Sequence Num Destination MAC Sequence Num Hash Alg. Sign Alg. Destination MAC Source MAC Publisher’s name Source MAC Ethernet type(0x88B4) Version Publisher’s public key Protocol Type = 1 Reserved Start Time Data Length Data End Time Owner’s name Owner’s public key Certificate Type Extension Publisher’s Signature Auth-Request Time
Auth-Request (Supplicant<->AP) • Hash Algorithm (1 byte) • 1 = 國加密碼管理委員會批准用於WLAN雜湊演算法 • Signature Algorithm (1 byte) • 1 = 192bits 橢圓曲線數位簽名演算法 • 2 = 224bits 橢圓曲線數位簽名演算法 • 3 = 256bits 橢圓曲線數位簽名演算法 • Certificate Type (2bytes) • 0 = 為STA憑證 • 1 = 為AP憑證 • 2 = 為ASU憑證 • Extension (2bytes) • Reserved
Auth-Request (AP<->ASU) AP收到STA進行認證請求封包後,向ASU(Authentication Server Unit)發出憑證認證請 求封包(Protocol type=0x05),並將STA憑證、進行認證請求時間、AP憑證並利用AP的 私鑰對它們簽名構成憑證認證請求封包傳送給ASU。 0 1 2 3 4 0 1 2 3 4 byte byte STA Certificate IP/UDP (port 9000) Version Protocol Type = 5 AP Certificate Reserved Data Length Data Start Time AP’s Signature
Auth-Response (AP<->ASU) ASU收到AP的憑證認證請求後,驗證AP的簽名以及AP和STA憑證的合法性。 驗證完畢後,ASU將STA憑證認證結果資訊(包括STA憑證、認證結果及ASU對它們的簽名)、 AP憑證認證結果資訊(包括AP憑證、認證結果、接入認證請求時間及ASU對它們的簽名) 形成憑證認證回應封包(Protocol type=0x06)傳遞給 AP。 0 1 2 3 4 0 1 2 3 4 byte byte STA CertificateAuthentication Result IP/UDP (port 9000) Version AP CertificateAuthentication Result Protocol Type = 6 Reserved Data Length Data ASU’s Signature
Auth-Response (Supplicant<->AP) AP收到ASU送回的憑證認證回應封包後,進行簽名驗證,得到STA憑證的認證結果。 AP將STA憑證認證結果資訊、AP憑證認證結果資訊以及AP對它們的簽名組成接入認 證回應封包(Protocol type=0x02)傳送至STA。STA驗證ASU的簽名後,得到AP憑證的 認證結果。STA根據該認證結果決定是否接入該AP。 0 1 2 3 4 0 1 2 3 4 byte byte STA CertificateAuthentication Result Destination MAC Destination MAC Source MAC STAResult Source MAC AP CertificateAuthentication Result Ethernet type(0x88B4) Version Protocol Type = 2 Reserved Data Length Data APResult Start Time ASU’s Signature
Auth-Response (Supplicant<->AP) • STA Result (1 byte) and AP Result (1 byte) • 0 = 表示憑證有效 • 1 = 表示憑證未啟用 • 2 = 表示憑證已過期 • 3 = 表示憑證的發佈者不明確 • 4 = 表示簽名錯誤
Auth-Key-Request (Supplicant<->AP) 在認證過程結束後,就需要針對AP與STA兩端之後要用來對封包加密的金鑰進行驗證。 STA與AP都需要確認彼此是否擁有合法有效的憑證,加密金鑰認證封包(Protocol type=0x03) 包含即時產生的亂數,請求彼此數位簽名,以驗證對方是否擁有該憑證的私鑰。該請求可由AP或STA發起。 0 1 2 3 4 0 1 2 3 4 byte byte Key negotiation data Destination MAC Destination MAC Source MAC Source MAC Ethernet type(0x88B4) Version Key Alg.number Key Algorithm Protocol Type = 3 Reserved Data Length Data
Auth-Key-Request (Supplicant<->AP) • Key Algorithm Number (1 byte) • 0 = 不加密 • 1 = 國加密碼管理委員會辦公室批准的WLAN對稱加密演算法
Auth-Key-Response (Supplicant<->AP) 加密金鑰回應封包(Protocol type=0x04),包含對私鑰驗證請求中隨即資料的簽名, 提供自己是憑證合法持有者的證明。 0 1 2 3 4 0 1 2 3 4 byte byte Key negotiation data KeyResult Destination MAC Destination MAC Source MAC Source MAC Ethernet type(0x88B4) Version Protocol Type = 3 Reserved Data Length Data
WAPI Product • 大陸 • 華大電子、六合萬通 投入研發 WLAN 基頻、射頻晶片 • 2003年,六合萬通推出符合IEEE802.11b標準的萬通1、2號 晶片組, 並通過Agilent Wi-Fi認證 • 2004年,六合萬通依據萬通2號成果,經由MAC部分軟體置換和測試過程,生產完全符合WAPI標準的萬通3號晶片 • 聯想、方正、紫光集團亦將推出WAPI相關產品 • 台灣 • 力竑科技 (www.lifeview.com.tw) • 領先台灣同業 推出WAPI產品 • 與西安科技大學轉投資的西電捷通合作 • 明基與友訊 亦宣布將投入WAPI相關產品
WAPI Certification • 國家認證認可監督管理委員會依據《中華人民共和國認證認可條例》、《強制性產品認證管理規定》發佈公告(編號:CNCA—11C—048 ) ,指定負責無線網路產品三家認證機構和一家檢測機構 • 認證機構 • 中國品質認證中心、中國電磁相容認證中心和中國電子技術標準化研究所產品認證中心 • 檢測機構 • 國家無線電頻譜監測和檢驗中心 • 認證機構負責對型式檢驗、工廠審查結果進行綜合評價,評價合格者,由認證機構對委託人頒發認證證書(每一個認證單元頒發一個認證證書)。 • 認證程序為,委託人向指定的檢測機構委託型式試驗;型式試驗合格後,委託人向指定的認證機構委託認證;認證機構審查有關資料,並進行初始工廠審查;認證機構對型式試驗、工廠審查結果進行綜合評價,評價合格後向委託人頒發認證證書;認證機構對獲證後的產品進行定期的監督。
Conclusion • 有助形成中國國內無線網路產業鏈 • 對國內網通品牌業者而言,可藉此拓展中國市場 • Problems for WAPI • 加密演算法的取得 • WAPI產品能否即時推出、普及 • 大陸無線網路市場容量與商用軟體支援 • 現有HotSpot與使用者端產品升級問題
