資源描述:
《西電捷通:wapi技術(shù)如何在windows上實(shí)現(xiàn)(一)》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1、西電捷通:WAPI技術(shù)如何在Windows上實(shí)現(xiàn)(一)西電捷通技術(shù)研究自WindowsVista系統(tǒng)以來(lái),微軟對(duì)其無(wú)線網(wǎng)絡(luò)架構(gòu)進(jìn)行了重犬調(diào)整,尤其是在網(wǎng)絡(luò)安全方面,越來(lái)越重視與不同安全協(xié)議間的結(jié)合,通過(guò)開(kāi)放接口的形式,試圖增強(qiáng)自身產(chǎn)品與外部技術(shù)間的融合度,提高其網(wǎng)絡(luò)安全兼容性及適用性。微軟對(duì)網(wǎng)絡(luò)I辦議接口的開(kāi)放,似乎也從側(cè)而佐證了其現(xiàn)冇操作系統(tǒng),在無(wú)線網(wǎng)絡(luò)安全方面,確實(shí)存在需要加強(qiáng)和完善的地方。XP時(shí)代的缺憾在WindowsXP時(shí)代,系統(tǒng)未對(duì)無(wú)線網(wǎng)絡(luò)安全提供擴(kuò)展接口,所有的無(wú)線網(wǎng)絡(luò)軟件,皆以獨(dú)立的應(yīng)
2、用程序運(yùn)行,大家都是遵循Windows的體系架構(gòu),通過(guò)調(diào)用系統(tǒng)網(wǎng)絡(luò)API函數(shù)來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的連接和控制,但只能局限于系統(tǒng)已有的安全和網(wǎng)絡(luò)配置方式,無(wú)法對(duì)系統(tǒng)無(wú)線網(wǎng)絡(luò)的安全協(xié)議進(jìn)行擴(kuò)展,更無(wú)法根據(jù)新的安全協(xié)議,定制用戶接口(包括界面和操作方法)。新的無(wú)線網(wǎng)絡(luò)架構(gòu),針對(duì)第三方安全協(xié)議及網(wǎng)絡(luò)配置,提供了一整套的適配接口;從而解決了從用戶輸入、網(wǎng)絡(luò)配置,直到協(xié)議傳輸?shù)雀鲗哟喂δ軘U(kuò)展的問(wèn)題,使第三方安全協(xié)議能與系統(tǒng)的無(wú)線網(wǎng)絡(luò)管理很好結(jié)合,從而達(dá)到無(wú)縫銜接。用戶在應(yīng)用外部安全協(xié)議吋,不再需要單獨(dú)開(kāi)啟其它網(wǎng)絡(luò)應(yīng)用程
3、序,完全可在系統(tǒng)的無(wú)線網(wǎng)絡(luò)管理屮,完成所有的安全配置和管理操作。美國(guó)BusinessInsider這樣評(píng)價(jià)微軟的這種轉(zhuǎn)變,微軟前CEO史蒂夫?鮑爾默已吸取了教訓(xùn),開(kāi)發(fā)者是微軟生態(tài)系統(tǒng)屮最重要的一員。在微軟的鼎盛時(shí)期,他們?yōu)閃indows開(kāi)發(fā)的各種應(yīng)用為其賦予了極大的實(shí)用性。在微軟邊入新時(shí)代Z際,他們開(kāi)發(fā)的應(yīng)用也將對(duì)微軟的各種設(shè)備和服務(wù)起到同樣的作用。就安全木身而言,不同吋期的安全協(xié)議和標(biāo)準(zhǔn),有著不同的背景和要求,隨著技術(shù)的不斷發(fā)展和演進(jìn),促使人們對(duì)于安全的考慮越來(lái)越深入,由于無(wú)線網(wǎng)絡(luò)在通信的過(guò)程屮,
4、難免會(huì)存在這樣或那樣的安全問(wèn)題,早期的Windows依據(jù)Wi-Fi標(biāo)準(zhǔn),在其系統(tǒng)先后實(shí)現(xiàn)了WEP、WPA、WPA2和802.1X安全協(xié)議,但事實(shí)上,從安全角度講,目前的系統(tǒng)安全管理雖然可以滿足一定程度的用戶需求,但仍然無(wú)法從根木上解決接入各方的身份鑒別問(wèn)題,導(dǎo)致系統(tǒng)架構(gòu)上存在明顯的安全隱患。也正是鑒于這一原因,在WindowVista之后,微軟開(kāi)放了系統(tǒng)在無(wú)線網(wǎng)絡(luò)安全方而的接口,使得其他第三方安全協(xié)議可以通過(guò)此種形式,對(duì)無(wú)線安全進(jìn)行擴(kuò)展和補(bǔ)充,試圖借此完善系統(tǒng)在無(wú)線安全方面的缺陷。WAPI和未開(kāi)放的
5、XPWAPI在Windows上的實(shí)現(xiàn),恰好彌補(bǔ)了這方面的缺陷。WAPI全稱無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu),該安全協(xié)議可分為:WAI和WPI兩大過(guò)程。其中,WAI主要負(fù)責(zé)無(wú)線數(shù)據(jù)通信前的安全鑒別,工作在系統(tǒng)的應(yīng)用層或內(nèi)核層;WP1主要完成無(wú)線數(shù)據(jù)通信過(guò)程中的安全傳輸,其一般工作在系統(tǒng)的內(nèi)核層或硬件物理層。二者緊密結(jié)合,使系統(tǒng)的無(wú)線通信達(dá)到安全可信。從通信各方的角色承擔(dān)來(lái)說(shuō),WAPI實(shí)現(xiàn)了參與各方的身份鑒別和認(rèn)證,并由此進(jìn)行密鑰推導(dǎo)和管理,從而真正達(dá)到了互信互通的目的。在無(wú)線安全架構(gòu)演進(jìn)過(guò)程屮,Windo
6、ws系統(tǒng)先后經(jīng)丿力了封閉對(duì)外接口和開(kāi)放接口的兩個(gè)階段,而在這兩個(gè)時(shí)期,根據(jù)系統(tǒng)的不同特點(diǎn),WAPI安全協(xié)議的部署和設(shè)計(jì)也略冇不同,下面我們就來(lái)介紹一下WindowsXP時(shí)代,WAPI與系統(tǒng)的無(wú)線網(wǎng)絡(luò)結(jié)合的方式(方案有多刑「,木文只闡述其屮之一,即通過(guò)協(xié)議驅(qū)動(dòng)完成WAI鑒別過(guò)程)。女卜是WAPI安全機(jī)制在Ndis5.x(NetworkDriverInterfaceSpecification,網(wǎng)絡(luò)驅(qū)動(dòng)接口規(guī)范)中的結(jié)構(gòu)示意。上述結(jié)構(gòu)示意圖中,主要體現(xiàn)了3個(gè)層次:系統(tǒng)應(yīng)用層,系統(tǒng)協(xié)議/內(nèi)核層,網(wǎng)絡(luò)的物理層
7、;其中,各層次之間的功能作用和層次關(guān)系如下:系統(tǒng)應(yīng)用層:涉AWAPI相關(guān)設(shè)置/配置等,來(lái)源于用戶操作,以及需要體現(xiàn)給用戶WAPI網(wǎng)絡(luò)通信的狀態(tài)等信息,均由WAPI應(yīng)用層軟件來(lái)實(shí)現(xiàn)。這里可收集來(lái)自于用戶對(duì)網(wǎng)絡(luò)連接的要求,并進(jìn)一步將用戶配置傳遞至下層的WAPI
8、辦議層,用于WAPI的連接控制,并等待網(wǎng)絡(luò)連接結(jié)果;系統(tǒng)協(xié)議/內(nèi)核層:這里主要完成對(duì)協(xié)議的處理,并完成對(duì)密鑰的協(xié)商和設(shè)置。當(dāng)協(xié)議層接收到來(lái)自上層的WAPI用戶設(shè)置后,會(huì)根據(jù)用戶設(shè)置,進(jìn)行相應(yīng)的WAPI連接和鑒別過(guò)程。協(xié)議層將根拯用戶的設(shè)置,進(jìn)行預(yù)
9、共享密鑰或證書(shū)模式的安全連接,并對(duì)具冇0x88B4的以太網(wǎng)類型字段的I辦議幀,進(jìn)行WAI鑒別處理。待完成鑒別過(guò)程,以及協(xié)商出密鑰后,協(xié)議層將會(huì)將該密鑰以及相關(guān)信息下設(shè)至miniport驅(qū)動(dòng)層。(若網(wǎng)卡硬件具有SM4的加/解密算法,貝U會(huì)由miniport進(jìn)一步將WAPI密鑰傳遞至網(wǎng)卡硬件)網(wǎng)絡(luò)的物理層:當(dāng)miniport接收到來(lái)口協(xié)議層的密鑰,以及其他相關(guān)控制信息后,將由miniport完成WPI力口/解密過(guò)程,并進(jìn)入WAPI實(shí)際的無(wú)線數(shù)據(jù)通信過(guò)程。若網(wǎng)卡硬件具有SM