西電捷通：wapi技術(shù)如何在windows上實(shí)現(xiàn)（一）

《西電捷通：wapi技術(shù)如何在windows上實(shí)現(xiàn)（一）》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。

1、西電捷通：WAPI技術(shù)如何在Windows上實(shí)現(xiàn)（一）西電捷通技術(shù)研究自WindowsVista系統(tǒng)以來(lái)，微軟對(duì)其無(wú)線網(wǎng)絡(luò)架構(gòu)進(jìn)行了重犬調(diào)整，尤其是在網(wǎng)絡(luò)安全方面，越來(lái)越重視與不同安全協(xié)議間的結(jié)合，通過(guò)開(kāi)放接口的形式,試圖增強(qiáng)自身產(chǎn)品與外部技術(shù)間的融合度，提高其網(wǎng)絡(luò)安全兼容性及適用性。微軟對(duì)網(wǎng)絡(luò)I辦議接口的開(kāi)放，似乎也從側(cè)而佐證了其現(xiàn)冇操作系統(tǒng)，在無(wú)線網(wǎng)絡(luò)安全方面，確實(shí)存在需要加強(qiáng)和完善的地方。XP時(shí)代的缺憾在WindowsXP時(shí)代，系統(tǒng)未對(duì)無(wú)線網(wǎng)絡(luò)安全提供擴(kuò)展接口，所有的無(wú)線網(wǎng)絡(luò)軟件，皆以獨(dú)立的應(yīng)

2、用程序運(yùn)行，大家都是遵循Windows的體系架構(gòu)，通過(guò)調(diào)用系統(tǒng)網(wǎng)絡(luò)API函數(shù)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的連接和控制，但只能局限于系統(tǒng)已有的安全和網(wǎng)絡(luò)配置方式，無(wú)法對(duì)系統(tǒng)無(wú)線網(wǎng)絡(luò)的安全協(xié)議進(jìn)行擴(kuò)展，更無(wú)法根據(jù)新的安全協(xié)議，定制用戶接口（包括界面和操作方法）。新的無(wú)線網(wǎng)絡(luò)架構(gòu)，針對(duì)第三方安全協(xié)議及網(wǎng)絡(luò)配置，提供了一整套的適配接口；從而解決了從用戶輸入、網(wǎng)絡(luò)配置，直到協(xié)議傳輸?shù)雀鲗哟喂δ軘U(kuò)展的問(wèn)題，使第三方安全協(xié)議能與系統(tǒng)的無(wú)線網(wǎng)絡(luò)管理很好結(jié)合，從而達(dá)到無(wú)縫銜接。用戶在應(yīng)用外部安全協(xié)議吋，不再需要單獨(dú)開(kāi)啟其它網(wǎng)絡(luò)應(yīng)用程

3、序，完全可在系統(tǒng)的無(wú)線網(wǎng)絡(luò)管理屮，完成所有的安全配置和管理操作。美國(guó)BusinessInsider這樣評(píng)價(jià)微軟的這種轉(zhuǎn)變，微軟前CEO史蒂夫?鮑爾默已吸取了教訓(xùn)，開(kāi)發(fā)者是微軟生態(tài)系統(tǒng)屮最重要的一員。在微軟的鼎盛時(shí)期，他們?yōu)閃indows開(kāi)發(fā)的各種應(yīng)用為其賦予了極大的實(shí)用性。在微軟邊入新時(shí)代Z際，他們開(kāi)發(fā)的應(yīng)用也將對(duì)微軟的各種設(shè)備和服務(wù)起到同樣的作用。就安全木身而言，不同吋期的安全協(xié)議和標(biāo)準(zhǔn)，有著不同的背景和要求，隨著技術(shù)的不斷發(fā)展和演進(jìn)，促使人們對(duì)于安全的考慮越來(lái)越深入，由于無(wú)線網(wǎng)絡(luò)在通信的過(guò)程屮，

4、難免會(huì)存在這樣或那樣的安全問(wèn)題，早期的Windows依據(jù)Wi-Fi標(biāo)準(zhǔn)，在其系統(tǒng)先后實(shí)現(xiàn)了WEP、WPA、WPA2和802.1X安全協(xié)議，但事實(shí)上，從安全角度講，目前的系統(tǒng)安全管理雖然可以滿足一定程度的用戶需求，但仍然無(wú)法從根木上解決接入各方的身份鑒別問(wèn)題，導(dǎo)致系統(tǒng)架構(gòu)上存在明顯的安全隱患。也正是鑒于這一原因，在WindowVista之后，微軟開(kāi)放了系統(tǒng)在無(wú)線網(wǎng)絡(luò)安全方而的接口，使得其他第三方安全協(xié)議可以通過(guò)此種形式，對(duì)無(wú)線安全進(jìn)行擴(kuò)展和補(bǔ)充，試圖借此完善系統(tǒng)在無(wú)線安全方面的缺陷。WAPI和未開(kāi)放的

5、XPWAPI在Windows上的實(shí)現(xiàn)，恰好彌補(bǔ)了這方面的缺陷。WAPI全稱無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)，該安全協(xié)議可分為：WAI和WPI兩大過(guò)程。其中，WAI主要負(fù)責(zé)無(wú)線數(shù)據(jù)通信前的安全鑒別，工作在系統(tǒng)的應(yīng)用層或內(nèi)核層；WP1主要完成無(wú)線數(shù)據(jù)通信過(guò)程中的安全傳輸，其一般工作在系統(tǒng)的內(nèi)核層或硬件物理層。二者緊密結(jié)合，使系統(tǒng)的無(wú)線通信達(dá)到安全可信。從通信各方的角色承擔(dān)來(lái)說(shuō)，WAPI實(shí)現(xiàn)了參與各方的身份鑒別和認(rèn)證，并由此進(jìn)行密鑰推導(dǎo)和管理，從而真正達(dá)到了互信互通的目的。在無(wú)線安全架構(gòu)演進(jìn)過(guò)程屮，Windo

6、ws系統(tǒng)先后經(jīng)丿力了封閉對(duì)外接口和開(kāi)放接口的兩個(gè)階段，而在這兩個(gè)時(shí)期，根據(jù)系統(tǒng)的不同特點(diǎn)，WAPI安全協(xié)議的部署和設(shè)計(jì)也略冇不同，下面我們就來(lái)介紹一下WindowsXP時(shí)代，WAPI與系統(tǒng)的無(wú)線網(wǎng)絡(luò)結(jié)合的方式（方案有多刑「，木文只闡述其屮之一，即通過(guò)協(xié)議驅(qū)動(dòng)完成WAI鑒別過(guò)程）。女卜是WAPI安全機(jī)制在Ndis5.x（NetworkDriverInterfaceSpecification,網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范）中的結(jié)構(gòu)示意。上述結(jié)構(gòu)示意圖中，主要體現(xiàn)了3個(gè)層次：系統(tǒng)應(yīng)用層，系統(tǒng)協(xié)議/內(nèi)核層，網(wǎng)絡(luò)的物理層

7、；其中，各層次之間的功能作用和層次關(guān)系如下：系統(tǒng)應(yīng)用層：涉AWAPI相關(guān)設(shè)置/配置等，來(lái)源于用戶操作，以及需要體現(xiàn)給用戶WAPI網(wǎng)絡(luò)通信的狀態(tài)等信息，均由WAPI應(yīng)用層軟件來(lái)實(shí)現(xiàn)。這里可收集來(lái)自于用戶對(duì)網(wǎng)絡(luò)連接的要求，并進(jìn)一步將用戶配置傳遞至下層的WAPI

8、辦議層,用于WAPI的連接控制，并等待網(wǎng)絡(luò)連接結(jié)果；系統(tǒng)協(xié)議/內(nèi)核層：這里主要完成對(duì)協(xié)議的處理，并完成對(duì)密鑰的協(xié)商和設(shè)置。當(dāng)協(xié)議層接收到來(lái)自上層的WAPI用戶設(shè)置后，會(huì)根據(jù)用戶設(shè)置，進(jìn)行相應(yīng)的WAPI連接和鑒別過(guò)程。協(xié)議層將根拯用戶的設(shè)置，進(jìn)行預(yù)

9、共享密鑰或證書(shū)模式的安全連接，并對(duì)具冇0x88B4的以太網(wǎng)類型字段的I辦議幀，進(jìn)行WAI鑒別處理。待完成鑒別過(guò)程，以及協(xié)商出密鑰后，協(xié)議層將會(huì)將該密鑰以及相關(guān)信息下設(shè)至miniport驅(qū)動(dòng)層。（若網(wǎng)卡硬件具有SM4的加/解密算法,貝U會(huì)由miniport進(jìn)一步將WAPI密鑰傳遞至網(wǎng)卡硬件）網(wǎng)絡(luò)的物理層：當(dāng)miniport接收到來(lái)口協(xié)議層的密鑰，以及其他相關(guān)控制信息后，將由miniport完成WPI力口/解密過(guò)程，并進(jìn)入WAPI實(shí)際的無(wú)線數(shù)據(jù)通信過(guò)程。若網(wǎng)卡硬件具有SM