WAPI部署流程详细介绍.doc

WAPI过程流程介绍公开WAPI工作流程介绍 拟制:Prepared by日期：Date20010-01-21审核:Reviewed by日期：Date审核:Reviewed by日期：Date批准:Granted by日期：DateH3C技术有限公司H3C Technologies Co., Ltd.版权所有 侵权必究All rights reserved目 录Table of Contents 1.1WAPI架构31.2准备工作31.3标准WAPI工作流程101.4支持基于RADIUS扩展的WAPI鉴别方式12 2010-2-20版权所有，侵权必究All rights reserved 第2页,共14页Page 2 , Total14 WAPI工作流程介绍公开WAPI工作流程介绍1.1 WAPI架构WAPI鉴别体系包括了如下逻辑实体：l 鉴别请求者系统（ASUE authentication supplicant unit entity）即无线客户端l 鉴别器系统（AE authenticator entity)为AP或AC，负责控制STATION的接入，和ASUE协商用户会话key等l 鉴别服务器(ASE authentication service entity)基于证书为鉴别器和鉴别请求者提供身份鉴别服务的实体，逻辑上独立于AAA。WAPI支持两种格式的证书：X.509 v3 和GBW 证书。其中， X.509 v3 采用的是椭圆曲线加密算法。1.2 准备工作基于WAPI的系统在工作前需要进行如下准备：l 准备无线客户端无线网卡必须通过WAPI认证，如西电捷通公司的无线网卡。安装了网卡的驱动后，系统一般就自动使能对该无线网卡采用WAPI认证。然后通过IE导入客户端和服务器根证书，其中根证书是用来帮助验证证书的有效性。l 配置鉴别器系统（AE authenticator entity)通过命令行配置AP或AC对某个SSID使能WAPI认证，配置WAPI认证的相关参数。此外，还需要通过命令行把设备（AP或AC）的证书和CA的根证书导入到该设备中。鉴别服务器(ASE authentication service entity)必须能够支持X.509 v3 （支持椭圆曲线加密算法） 或GBW 证书，支持WAPI认证协议。l 鉴别服务器下面以H3C的ASE为例进行说明。1) 接入设备配置1在iMC配置台的业务标签中的接入业务中选择接入设备配置2在接入设备配置页面中选择添加接入设备。在弹出页面中的起始IP地址中输入接入设备的IP地址，结束IP地址可以不输入，配置完成点击确定。完成上述配置，需要在业务参数配置中点击系统配置手工生效2) 证书配置1在接入业务的业务参数配置中选中证书配置，在证书配置列表中选择WAPI证书配置，点击动作。2在根证书配置页面中通过浏览选择一个根证书文件,点击下一步。在服务器证书配置页面中配置服务器证书和私钥文件（使用附件中的root.cer和root.key），点击下一步在服务器证书私钥密码配置页面中输入私钥密码，如果没有则不需要输入（附件中的证书没有私钥密码），点击下一步配置完成点击确定1.3 标准WAPI工作流程l 无线客户端首先和WLAN接入设备进行802.11链路协商该过程遵循802.11标准中定义的协商过程。无线客户端主动发送探测请求消息或侦听WLAN设备发送的Beacon帧，藉此查找可用的网络，支持WAPI安全机制的AP将会回应或发送携带有WAPI信息的探测应答消息或Beacon帧；在搜索到可用网络后，无线客户端继续发起链路认证交互和关联交互。l WLAN接入设备触发对无线客户端的鉴别处理无线客户端成功关联到WLAN接入设备后，WLAN接入设备在判定该用户为WAPI用户时，则会向无线客户端发送鉴别激活触发消息，触发无线客户端发起WAPI鉴别交互过程。对于FIT AP, AC将通过AP设备向无线客户端发送鉴别激活触发消息。无线客户端与WLAN接入设备之间的鉴别数据利用以太类型字段为0x88B4 的WAPI 协议进行传送。l 通过证书鉴别无线客户端和WLAN接入设备身份无线客户端在发起接入鉴别后，WLAN接入设备会向远端的ASE发起证书鉴别，鉴别请求消息中同时包含有无线客户端和WLAN接入设备的证书信息。这些信息通过UDP 套接口传输，ASE的端口号为3810。ASE对WLAN接入设备和客户端的身份进行认证，并首先把他们的身份验证结果通过认证响应报文发给WLAN接入设备，再由WLAN接入设备发给客户端。为了防止携带认证结果的报文被中途非法篡改，ASE将对该响应报文进行数字签名。当WLAN接入设备收到响应报文后，如果发现报文被篡改（通过检查数字签名合法性）或无线客户端身份非法(ASE已经在响应报文中指出了无线客户端身份是否合法)，将中断该无线客户端的无线连接。如果上述检查均通过，WLAN接入设备将把认证响应报文发给客户端。客户端收到响应报文后，如果发现报文被篡改或WLAN接入设备为非法的(ASE已经在报文中指出了WLAN接入设备是否合法)，将中止无线连接。如果上述检查均通过，将进入密钥协商过程。对于FAT AP, 该WLAN接入设备指FAT AP。对于FIT AP, 该WLAN接入设备指AC设备。l 密钥协商如果经ASE认证成功，WLAN接入设备会发起与无线客户端的密钥协商交互过程，先协商出用于加密单播报文的单播密钥，然后再协商出用于加密组播报文的组播密钥。整个密钥协商过程不再要ASE参与。l 用户授权只有当上述接入认证和密钥协商均成功后，WLAN接入设备才认为该无线客户端完成认证，才会授权该客户端使用WAPI网络。l 用户计费WLAN设备触发AAA服务器开始计费。1.4 支持基于RADIUS扩展的WAPI鉴别方式H3C WLAN接入设备同时支持自定义的、基于RADIUS扩展的X.509v3证书鉴别方式，即将WAI协议报文承载在RADIUS报文上进行传输，作为RADIUS报文的一个私有属性来承载。Radius协议具有很好扩展性，Radius支持新的认证协议主要通过扩展其属性字段实现的。新的属性将分配一个Type值来唯一标示该属性是针对WAPI的扩展（如上图），在value中填写WAPI认证报文。该属性在Access-Request (从无线设备到AAA服务器)和Access-Challenge (从AAA服务器到无线设备)中携带和传递。在这种实现方式下，WAPI认证服务器的处理逻辑和功能没有任何变化，只是需要额外增加从Radius报文中（该私有属性）取得或填写认证消息。这样无线设备和认证服务器间将基于标准的Radius协议进行通讯，可以重用有线网络中已部署的H3C AAA Server，保护用户投资。用户不需要额外再部署单独的WAPI认证