1、Science and Technology&Innovation科技与创新2023 年 第 20 期111文章编号:2095-6835(2023)20-0111-03基于 WAPI 技术的安全执法仪通信模块设计谢琼香1,李 翔1,陈 滔1,刘云根2(1.珠海供电局,广东 珠海 519000;2.广东电网有限责任公司,广东 广州 510500)摘要:在 WLAN(Wireless Local Area Network,无线局域网)中,同一基础业务集内的 2 个终端往往要进行大量的数据交换,使得网络的整体性能降低,影响到网络的安全性。因此,设计了基于WAPI(Wireless LANAuthen
2、tication and PrivacyInfrastructure,无线局域网鉴别和保密基础结构)技术的安全执法仪通信模块。首先,建立通信模块的硬件部分,选取SitaraTM 系列的工业级 ARM(Advanced RISC Machine)处理器作为硬件核心;其次,设计通信模块的软件部分,利用证书鉴别对通信的双方进行身份验证,进行密钥协商过程,实现 WAPI 安全接入。测试实验表明,通信模块设计在保证识别成功率的基础上,在保证通信安全的前提下,该设计的安全性能达到了 97.22%。关键词:WAPI;安全执法仪;通信模块;网络安全中图分类号:TP202;TN9文献标志码:ADOI:10.15
3、913/ki.kjycx.2023.20.033随着智能电网建设的不断推进,无线终端接入需求增加,急需建设安全、可靠的 WAPI 安全执法仪通信模块来实现无线终端的接入1。为了解决移动互联网的安全与可控问题,中国推出了具有自主知识产权的国家标准 WAPI,即无线局域网鉴别与保密基础结构,该标准已由 ISO/IEC 授权机构审查并获得认可2。WAPI 安全体系使用公开密钥加密技术,鉴别服务器(Authentication Service,AS)承担证书的发放、认证和撤销等工作,而无线设备端和 WAPI 接入点均装有AS 颁发的公共密钥证书,作为其自身的数字身份证明3WAPI由WAI(WLAN A
4、uthentication Infrastructure,无线局域网鉴别基础结构)和 WPI(WLAN PrivacyInfrastructure,无线局域网保密基础结构)2 个部分组成。WAI 采用数字认证技术,既能提高安全性,又能灵活地进行密钥控制,对整个网络进行统一的用户管理,这样可以满足越来越多的使用者更加复杂的安全需求;WPI 的完整性校验代码计算中包括了源地址、目的地址和信息编号,并且使用 CBC-MAC 模型来保证数据的完整性和来源识别,避免重复攻击。本文选取SitaraTM系列的工业级ARM处理器作为硬件核心,利用证书鉴别对通信的双方进行身份验证,进行密钥协商,实现 WAPI
5、安全接入。本文为解决 WAPI 在现实中的部署问题,深度探索了 WAPI 的应用方式及工业化实践经验。1通信模块硬件设计在硬件平台上,以 SitaraTM 系列工业 ARM 处理器为主要硬件,对 ARM 处理器、无线模块、终端接口电路、存储SD卡、ICSP(In Circuit Serial Programmable,在线串行编程)复位电路、SPI(Software ProcessImprovement,软件过程改进)加密电路、PMIC(PowerManagement Integrated Circuit,电源管理集成线路)进行了硬件模块的分析与设计,依据硬件结构,完成软件系统的开发。该系统具
6、有很好的扩展能力,可以满足安全执法仪通信模块中基于WAPI技术的基本需求。通信模块硬件的具体设计如图 1 所示。图 1通信模块硬件设计图从图 1 中可以看出,ARM 处理器可以分析 AT 指令(应用于终端设备与 PC 应用之间的连接与通信的指令)及终端设备的指令,完成 SM3 的局部运算,实现逻辑操作;无线模块的主要功能是接收和发出通信信号,SPI 电路主要实现电路的解密及加密任务,整个模块由 PMIC 电源电路提供,ICSP 复位电路主要负责完成下载重置通信的调试与复位。该模块采用 UART(UniversalAsynchronous Receiver/Transmitter,通用异步收发器
7、)与 ARM 处理器相结合,采用 SPI 与 ARM230 MHz/1 800 MHz科技与创新Science and Technology&Innovation1122023 年 第 20 期处理器相结合的方式进行了加密,并利用ICSP与ARM处理器进行了纠错与重置。2通信模块软件设计2.1证书鉴别证书鉴别分为 5 个步骤,即通过证书的方式来认证通信双方的安全性。在无线局域网中,认证服务器和终端设备的身份呈现双向模式,以确保用户的通信安全。证书鉴别过程如图 2 所示,具体如下:无线访问装置传送通信启动程序,在终端装置收到通信激活请求后,基于自身的信息判断是否有必要访问无线网络;在接收到由终端
8、装置发出的访问认证请求之后,无线访问装置对其中的一些数据进行必要的确认,然后将它所持有的凭证及终端装置的凭证等信息组建为整体认证请求,并发送至认证服务器;通信服务器在收到证书识别请求之后,通过确认终端装置和无线访问装置的证书是否为该认证装置所发出,并向该无线访问装置发出访问识别结果;在接收到证书识别应答之后,无线访问装置对数据进行分析,并基于访问结果做出访问应答,将该访问应答传送至终端装置;在接收到访问识别响应之后,终端装置将根据访问结果产生一个基本密钥,或者取消访问请求。图 2证书鉴别过程2.2密钥协商在终端设备经过证书鉴别认证后,将进行密钥协商,产生单播和多播 2 种密钥。同时,基于点对点
9、加密存取的特点,完成 3 个方面的安全性验证,即鉴别实体、鉴别服务实体、鉴别请求实体。图 3 为验证三元组的关系。在通过终端设备和无线接入设备认证的情况下,通过 WAPI 技术实现了远程身份验证。使用对称算法,在证书中生成一个任意的数值,然后被密钥协商发送到通信双方。图 3验证密钥其中,单播密钥主要用于加密、解密终端设备与无线接入设备的单播数据中,从而避免了数据的泄露。多播密钥主要是为了保障无线访问设备所传输的广播帧等数据的安全性,该方案首先向终端装置发送单播密钥协商请求,表示将进行单播密钥的磋商;当接收到来自无线访问装置的请求时,该终端装置将处理接收到的数据,并将对应的单点关键应答数据发送给
10、终端装置;当接收到单播密钥应答数据时,无线接入设备将生成单播密钥应答信息,并根据该数据生成单播密钥应答包。假设传输信道误码率为 pe,若同步头长为 n,种子密钥长度为 m,那么 m+n 则代表在通道中传送密码达到同步的概率,加密模块的密码同步成功率 p 由公式(1)表示:p=(1pe)m+n(1)终端设备收到单播密钥确认分组后,根据其中的信息生成对密钥进行解密协商,以方便报文的 WAPI安全接入。2.3WAPI 安全接入WAPI 安全性访问需要支持下列关键技术的识别服务器和无线访问装置:鉴别服务器和无线接入设备支持 WAI 协议,支持认证和预共享的密钥识别;鉴别服务器和无线接入设备支持 WPI
11、 协议、WPI-SMS4加密包,WAPI 证书可以通过 X.509v3 的形式进行配置;支持白名单,设定无线存取装置为白名单IP,使用者可以在不经验证的情况下存取无线存取装置凭证;为满足不同移动终端 WAPI 访问的识别服务器和无线访问装置之间的兼容性,所述装置需要经过 WAPI 操作的认证。图 4 为用于验证终端装置安全访问 WAPI 的过程。根据 WAPI 安全接入流程,通过设置一定的条件,在直接连接时可以迅速地将终端装置放入一个独立的基础业务集合模型中;非必要时,再重新使终端设备置于独立基本服务集模型中,WAPI 的安全访问时延可以确保在可接受的范围内。本文所提出的方法能够有效改善数据的
12、传送速度,同时也能大大改善整个网路WAPI未鉴别受控端口安全协议非受控端口Science and Technology&Innovation科技与创新2023 年 第 20 期113的吞吐能力,但同时也会造成转换延迟。图 4WAPI 安全接入流程图3测试实验3.1实验准备在现有的无线局域网上进行模块设计的部署和验证,测试实验中使用的主要设备参数如表 1 所示。表 1实验主要设备参数设备名称关键参数证书管理服务器Linux 系统开发WAPI 控制器H3C LS8M1WCMA0WAPI 接入点H3C WA2620E终端设备honor 8为了验证基于 WAPI 技术的安全执法仪通信模块具有明显优越性
13、,需要对它进行测试,实验系统部署如图 5 所示。图 5测试实验部署其中,利用安全执法仪高价值、高流动性和分散的特点,对其远程通信功能进行检测,并采用纸质文件和电子数据表做出实验记录。3.2实验结果为了保证本次实验结果具有客观性,需要保证基于 WAPI 技术的安全执法仪的通信距离,以及智能仪器设备通信数量一致。与此同时,在本次测试过程中进行了 5 次实验,测试前后的实验结果如表 2 所示。表 2测试前后实验结果实验项目测试前测试后通信距离/m5050通信设备数量/台66通信成功率/%86.3596.42通信安全率/%89.1297.22从表 2 的实验结果可知,当识别距离为 50 m,通信装置数
14、目为 6 台时,测试后基于 WAPI 技术的安全执法仪通信模块设计通信成功率与安全率有了明显提升。因此,基于 WAPI 技术的安全执法设备通信模块设计在确保识别成功率的前提下,保证了通信的安全性,安全率达 97.22%,满足无线专网需求。4结束语基于 WAPI 技术的安全执法仪通信模块设计的优点是保密性、识别效率高、设备穿透性强、适应环境迅速。本文建立通信模块的硬件部分选取 SitaraTM 系列的工业级 ARM 处理器作为硬件核心;设计通信模块的软件部分利用证书鉴别对通信的双方进行身份验证,进行密钥协商过程,实现 WAPI 的安全接入。该模块能满足专用无线网络的要求,确保数据在传输过程中的安全性,并为安全执法仪的通信技术发展提供支持和帮助。参考文献:1郭鑫,梁永文.基于物联网的通信电源参数采集系统设计J.长江信息通信,2022,35(6):114-117.2范子涛,祁欣学,李媛,等.基于 WAPI 协议标准的无线网络在乌鲁木齐供电公司电力系统中的应用J.中国新通信,2021,23(21):70-71.3张璐璐,赵子军.WAPI 产业联盟团体标准化发展实践J.中国标准化,2021(19):6-15.作者简介:谢琼香,女,广东河源人,硕士研究生,高级工程师,从事变电运行方面的工作。(编辑:丁琳)
浙ICP备2021020529号-1 | 浙B2-20240490 
