目录
一:专有名词解析
AE 鉴别器实体(authentication entity)
AP 接入点(access point)
AS 鉴别服务器(authentication server)
ASU 鉴别服务单元(authentication service unit)
ASUE 鉴别请求者实体(authentication supplicant entity)
IBSS 独立基本服务集(independent basic service set)
SSID 服务集标识(service set identifier)
STA 站点(station)
WAI 无线局域网鉴别基础结构(WLAN authentication infrastructure)
WAPI 无线局域网鉴别与保密基础结构(WLAN authentication and privacy infrastructure)
WPI 无线局域网保密基础结构(WLAN privacy infrastructure)
二:网络结构
一般组网分为三种:
1. fat ap + as,第一种胖ap模式,不需要使用ac对ap进行统一管理,这种情况非常少,ap的模式有两种:
(1)路由模式,自己作为网关,不需要再去别的设备额外配置网关
(2)桥接模式,选择其他设备上面设置网关,ip地址可以手动配置为静态也可以使用dhcp来获取
这种的缺点显而易见,没有ac,不便于管理,当ap数量少时还行,可以一台台去配置,当ap数量多时,就不便于管理了。
2.fit ap + ac + as
这个也是最经典的组网方式,ap通过ac统一管理,然后通过ac统一下发mqtt证书,让ap与ac关联
3.fit ap + wacs
wacs是将ac与as两种机器的功能集合成一台,在进行配置时,不需要在ac和as上来回进行切换
三:wapi认证过程
WAPI认证过程分为关联触发、证书鉴别、密钥协商三个阶段,涉及6种核心报文
阶段1:关联触发
1.1 关联请求(Association Request)
-
方向:STA → AP
-
作用:STA声明支持WAPI认证,请求关联。
-
关键字段:
-
Authentication Type设为 WAPI(普通Wi-Fi通常为WPA2/WPA3)。 -
Supported Cipher Suites包含SM4加密算法。
-
1.2 关联响应(Association Response)
-
方向:AP → STA
-
作用:AP确认开启WAPI流程,但暂未允许联网。
-
关键字段:
-
Status Code设为 WAPI Authentication Required(要求先完成认证)。 -
Authentication Server Address:鉴别服务器(AS)的IP地址(AP可能透传给STA)。
-
阶段2:证书鉴别
2.1 鉴别激活(Authentication Activation)
-
方向:AP → STA
-
作用:AP通知STA开始证书交换。
-
关键字段:
-
Random Challenge(随机数R1):AP生成的随机数,用于防重放攻击。 -
AP Certificate:AP的数字证书(包含公钥、颁发机构等信息)。
-
2.2 证书鉴别请求(Certificate Authentication Request)
-
方向:STA → AP
-
作用:STA提交自身证书供验证。
-
关键字段:
-
STA Certificate:STA的数字证书(X.509格式)。 -
Random Challenge(随机数R2):STA生成的随机数,用于双向验证。 -
Signature1:STA用私钥对(R1 + R2)的签名,证明证书持有者身份。
-
2.3 证书鉴别响应(Certificate Authentication Response)
-
方向:AP → STA
-
作用:AP向STA返回鉴别结果。
-
关键字段:
-
Status Code:证书是否有效(成功/失败)。 -
Signature2:AP用私钥对(R1 + R2)的签名,供STA验证AP真实性。 -
后台交互:
-
AP将STA证书和R1/R2发送给鉴别服务器(AS)。
-
AS检查证书吊销列表(CRL)并验证签名,返回结果给AP。
-
-
阶段3:密钥协商
3.1 单播密钥协商请求(Unicast Key Negotiation Request)
-
方向:STA → AP
-
作用:STA发起密钥生成请求。
-
关键字段:
-
Key Data:包含用AP公钥加密的临时参数(用于生成基础密钥BK)。 -
Key MIC:消息完整性校验码(防止篡改)。
-
3.2 单播密钥协商响应(Unicast Key Negotiation Response)
-
方向:AP → STA
-
作用:AP确认密钥生成,下发组播密钥。
-
关键字段:
-
BK Derivation Data:AP生成的参数,与STA参数共同计算基础密钥(BK)。 -
MK(组播密钥):用BK加密后传输给STA。 -
Key MIC:校验数据完整性。
-
阶段4:安全通信
-
UK(单播密钥)生成:STA和AP基于BK和随机数动态生成UK,用于加密单播数据。
-
数据加密:后续所有数据帧使用SM4算法加密,帧头标记为
WAPI Encrypted。
四:关键报文总结
| 报文类型 | 方向 | 核心作用 | 技术细节 |
|---|---|---|---|
| 关联请求(Association Request) | STA → AP | 声明WAPI支持,触发认证流程 | 携带认证类型、加密套件 |
| 鉴别激活(Authentication Activation) | AP → STA | 启动证书交换,发送AP证书和随机数 | 包含R1和AP证书 |
| 证书鉴别请求(Certificate Auth Request) | STA → AP | 提交STA证书和签名 | 含R2、STA证书、签名1(R1+R2签名) |
| 证书鉴别响应(Certificate Auth Response) | AP → STA | 返回证书验证结果和AP签名 | 含签名2(R1+R2签名)、状态码 |
| 单播密钥协商请求(Unicast Key Request) | STA → AP | 发起密钥生成,传递加密参数 | 用AP公钥加密临时参数 |
| 单播密钥协商响应(Unicast Key Response) | AP → STA | 确认密钥生成,下发组播密钥 | 含BK参数、加密的MK、MIC校验 |
五:对比传统WPA2的差异
-
证书替代预共享密钥:WAPI用数字证书取代WPA2的PSK(密码),避免密码猜测攻击。
-
双向认证报文:WPA2只有AP验证STA,WAPI通过
证书鉴别请求/响应实现双向验证。 -
密钥协商独立阶段:WAPI的密钥协商通过专用报文(Unicast Key Negotiation)完成,而WPA2的4次握手同时完成认证和密钥协商。
六:常见问题
-
证书失效导致关联失败:
-
检查STA/AP证书是否过期或被CRL列入黑名单。
-
-
密钥协商超时:
-
确认AP和STA的SM4算法配置一致,时钟同步正常(影响随机数生成)。
-
-
兼容性问题:
-
部分国际设备仅支持WAPI证书模式,不支持预共享密钥(PSK)混合模式。
-
扫一扫
1478
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
