WAPI産業聯盟

随着無線局域網的普及和移動辦公等的發展，企業辦公走向移動化，以往的有線連網連網方式在很多企業正在被升級改造，建設更加方便、便捷、移動性強的無線接入網絡是一大新趨勢。盡管建設内部網絡的首要考慮因素便是安全。然而，有不少企業目前仍采用有線等效保密協議（Wired Equivalent Privacy，簡稱WEP）、Wi-Fi網絡保護訪問（Wi-Fi Protected Access，簡稱WPA，有WPA和WPA2兩個标準）方式加密的網絡（隻驗證密碼），甚至無需密碼的開放式網絡，這類網絡存在極易被釣魚或者破解、攻擊，信息被盜取等各類安全隐患。引發這些安全隐患的根本原因在于WEP/WPA /WPA2等協議采用的加密方式，都是無線接入點（Access Point，簡稱AP）和終端（Station，簡稱STA）兩個物理實體的兩元架構，僅僅隻是AP對STA進行單向鑒别，而STA并不知道AP身份是否合法，這樣就容易遭受無線釣魚、中間人攻擊（如僞基站、假AP）等安全威脅。那麼如何才能提高企業辦公内網的安全性呢？最近某企業在建設無線辦公網時，使用了一種高安全性的無線局域網鑒别與保密基礎結構（Wireless LAN Authentication and Privacy Infrastructure ，簡稱WAPI）技術。這種WAPI采用三元對等架構，有助于提高内網的安全性，讓我們具體來看一看WAPI技術是怎麼進行安全防護的。

WAPI整個系統由STA、AP和認證服務單元（Authentication Service Unit，簡稱ASU）組成，其中ASU作為可信第三方，負責證書的發放、驗證與吊銷等，實體為WAPI鑒别服務器（Authentication Server，簡稱AS），STA與AP上都安裝有AS發放的證書，作為自己的數字身份憑證。而WAPI安全防護作用出衆的原因在于，STA接入無線網絡時必須通過AS進行雙向身份驗證。根據驗證的結果，隻有持有合法證書的STA能接入持有合法證書的無線接入點AP。這樣不僅可以防止非法STA接入AP訪問網絡，而且還可以防止擁有合法身份的STA接入非法AP而造成信息洩漏。采用三元對等安全鑒别架構，STA、AP、AS均有自己的獨立身份，通過可信第三方AS，不但AP要檢查STA的身份是否合法，STA同樣也要檢查AP的身份是否合法，使“合法終端接入合法網絡”。這是WAPI（采用三元對等安全鑒别架構）與其它安全模式如WEP/WPA /WPA2（采用兩元架構）的最大區别，可以說從架構原理上，WAPI屏蔽了中間人攻擊和僞造接入點（如僞基站、假AP）的可能。

WAPI網絡結構示意圖如下：

圖1 WAPI網絡結構示意圖

WAPI安全無線網絡的組網搭建過程和Wi-Fi網絡基本相同。類似用于802.1x認證的證書服務器，WAPI安全無線網絡中需要部署WAPI鑒别服務器。WAPI鑒别服務器實體可以作為獨立的一台服務器存在，也可以内置在無線路由器中。在企業級安全無線局域網應用中，基于用戶數量、組網結構、擴展性等方面的考慮，應當配置一立的WAPI AS。具體部署時，無線網絡采用無線控制器AC和FIT AP的方式進行部署。而外部網絡接入網關，網關、AC、FIT AP、AS接入同一交換機，配置LAN口地址為同一網段IP地址保證互通。再到覆蓋方面，AP在空曠環境中覆蓋直徑20-30米，根據環境、用戶規模酌情确定使用數量和分布。采用WAPI技術的安全無線局域網區别于其它安全模式（如WPA/WPA2等）的重點配置如下：

WAPI鑒别服務器頒發證書

使用高安全的WAPI證書模式需要給路由器和終端設備安裝證書。證書是從AS頒發的，如下圖2所示。無線路由器安裝的是ASU證書和鑒别器實體（Authenticator Entity，簡稱AE）證書，終端安裝的則是ASU證書和鑒别請求者實體（Authentication SUpplicant Entity，簡稱ASUE）證書，在頒發時需選擇對應類型并将證書保存在本地。

圖2 AS導出ASU證書，頒發AP證書、用戶證書

無線路由器/接入點配置

無線安全配置選擇WAPI證書模式（WAPI-Cert）。紅框處可選的安全類型還有常見的WPA/WPA2等（隻需設置密碼），我們推薦選擇最高安全級别的WAPI-Cert即WAPI證書模式。

圖3 WAPI安全類型配置

每個無線路由器/接入點需要安裝ASU證書和AE證書，AS IP地址填入内網配置的AS服務器地址，證書由AS服務器頒發。配置完所有WAPI無線路由器/接入點之後，WAPI網絡部署完畢。

圖4 WAPI無線路由器/接入點AS IP地址、證書安裝頁面

終端配置和連接WAPI-Cert網絡

企業辦公環境的主要終端有兩類，一類是生産工具即台式計算機、筆記本；另一類是BYOD自帶設備，如手機等移動設備。終端想要接入WAPI-CERT安全模式的無線網絡需要安裝證書（安裝ASU證書和ASUE證書）。

目前，市面上的絕大部分手機終端都支持WAPI，手機終端先安裝證書，證書安裝後點擊對應的WAPI-Cert安全模式的網絡服務集标識（Service Set Identifier，簡稱SSID），選擇證書後确定連接，一次認證成功後即可一鍵連接。對使用Windows/Linux操作系統的台式計算機/筆記本，首先需要配備一塊支持WAPI功能的無線網卡，如：

圖5 WAPI無線網絡安全客戶端實物（USB接口）

以Windows系統為例，在台式計算機/筆記本上插上WAPI網卡後安裝配套的WAPI客戶端程序，安裝完成後打開如下客戶端：

圖6 WAPI無線網絡安全客戶端軟件操作界面

第一步點擊進入高級配置選項，在證書管理窗口通過“WAPI證書自動獲取”或“安裝”選項來安裝證書。如下圖7所示：

圖7 證書管理

第二步點擊“WAPI證書自動獲取”選項來安裝證書：首先在彈出的“證書自動獲取”窗口中輸入證書頒發機構（AS）提供的用戶名和密碼，再選擇“高級”，輸入服務器的IP地址和端口号。輸入完成後點擊“獲取證書按鈕”，便可通過證書頒發服務器自動獲取并安裝證書。

圖8 WAPI證書自動獲取

如果想使用AS頒發後下載到本地的證書，則點擊“安裝”選項來安裝證書。在提示請選擇用戶證書的窗口中點擊“是”，浏覽選擇所要安裝的證書，選擇用戶證書後，程序會自動在用戶證書目錄下匹配頒發者證書并安裝（需把用戶和頒發者證書放到一個目錄下）。證書安裝完畢，且校驗有效則證書信息出現在“證書管理”窗口中：

圖9 證書管理窗口顯示已安裝的證書

證書安裝後，在 無線移動安全à無線網絡 中，雙擊前面配置的WAPI-Cert網絡SSID，客戶端自動選擇證書來進行認證連接。

圖10 連接無線移動安全à無線網絡 中的WAPI-Cert網絡

WAPI安全架構具有更高級的安全鑒别機制、靈活的密鑰管理技術，而且實現了整個基礎網絡的集中用戶管理。WAPI技術在無線通信應用中最大的優勢：從原理上屏蔽了中間人攻擊和僞造接入點的可能。用戶能獲得高效且可靈活擴展的無線接入與安全防護，為上層承載的各種應用安全、高效地運行提供了可靠的保障。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!