企业用户部署WAPI无线网络技术详析.docx

企业部署WAPI无线网络的技术详析WAPI产业联盟随着无线局域网的普及和移动办公等的发展，企业办公走向移动化，以往的有线连网方式在很多企业正在被升级改造，建设更加方便、便捷、移动性强的无线接入网络是一大新趋势。尽管建设内部网络的首要考虑因素便是安全。然而，有不少企业目前仍采用有线等效必威体育官网网址协议（Wired Equivalent Privacy，简称WEP）、Wi-Fi网络保护访问（Wi-Fi Protected Access，简称WPA，有WPA和WPA2两个标准）方式加密的网络（只验证密码），甚至无需密码的开放式网络，这类网络存在极易被钓鱼或者破解、攻击，信息被盗取等各类安全隐患。引发这些安全隐患的根本原因在于WEP/WPA/WPA2等协议采用的加密方式，都是无线接入点（Access Point，简称AP）和终端（Station，简称STA）两个物理实体的两元架构，仅仅只是AP对STA进行单向鉴别，而STA并不知道AP身份是否合法，这样就容易遭受无线钓鱼、中间人攻击（如伪基站、假AP）等安全威胁。那么如何才能提高企业办公内网的安全性呢？最近某企业在建设无线办公网时，使用了一种高安全性的无线局域网鉴别与必威体育官网网址基础结构（Wireless LAN Authentication and Privacy Infrastructure ，简称WAPI）技术。这种WAPI采用三元对等架构，有助于提高内网的安全性，让我们具体来看一看WAPI技术是怎么进行安全防护的。WAPI整个系统由STA、AP和认证服务单元（Authentication Service Unit，简称ASU）组成，其中ASU作为可信第三方，负责证书的发放、验证与吊销等，实体为WAPI鉴别服务器（Authentication Server，简称AS），STA与AP上都安装有AS发放的证书，作为自己的数字身份凭证。而WAPI安全防护作用出众的原因在于，STA接入无线网络时必须通过AS进行双向身份验证。根据验证的结果，只有持有合法证书的STA能接入持有合法证书的无线接入点AP。这样不仅可以防止非法STA接入AP访问网络，而且还可以防止拥有合法身份的STA接入非法AP而造成信息泄漏。采用三元对等安全鉴别架构，STA、AP、AS均有自己的独立身份，通过可信第三方AS，不但AP要检查STA的身份是否合法，STA同样也要检查AP的身份是否合法，使“合法终端接入合法网络”。这是WAPI（采用三元对等安全鉴别架构）与其它安全模式如WEP/WPA/WPA2（采用两元架构）的最大区别，可以说从架构原理上，WAPI屏蔽了中间人攻击和伪造接入点（如伪基站、假AP）的可能。WAPI网络结构示意图如下：图1 WAPI网络结构示意图WAPI安全无线网络的组网搭建过程和Wi-Fi网络基本相同。类似用于802.1x认证的证书服务器，WAPI安全无线网络中需要部署WAPI鉴别服务器。WAPI鉴别服务器实体可以作为独立的一台服务器存在，也可以内置在无线路由器中。在企业级安全无线局域网应用中，基于用户数量、组网结构、扩展性等方面的考虑，应当配置一台独立的WAPI AS。具体部署时，无线网络采用无线控制器AC和FIT AP的方式进行部署。而外部网络接入网关，网关、AC、FIT AP、AS接入同一交换机，配置LAN口地址为同一网段IP地址保证互通。再到覆盖方面，AP在空旷环境中覆盖直径20-30米，根据环境、用户规模酌情确定使用数量和分布。采用WAPI技术的安全无线局域网区别于其它安全模式（如WPA/WPA2等）的重点配置如下：WAPI鉴别服务器颁发证书使用高安全的WAPI证书模式需要给路由器和终端设备安装证书。证书是从AS颁发的，如下图2所示。无线路由器安装的是ASU证书和鉴别器实体（Authenticator Entity，简称AE）证书，终端安装的则是ASU证书和鉴别请求者实体（Authentication SUpplicant Entity，简称ASUE）证书，在颁发时需选择对应类型并将证书保存在本地。图2 AS导出ASU证书，颁发AP证书、用户证书无线路由器/接入点配置无线安全配置选择WAPI证书模式（WAPI-Cert）。红框处可选的安全类型还有常见的WPA/WPA2等（只需设置密码），我们推荐选择最高安全级别的WAPI-Cert即WAPI证书模式。图3 WAPI安全类型配置每个无线路由器/接入点需要安装ASU证书和AE证书，AS IP地址填入内网配置的AS服务器地址，证书由AS服务器颁发。配置完所有WAPI无线路由器/接入点之后，WAPI网络部署完毕。图4 WAPI无线路由器/接入点AS IP地址、证书安装页面终端配置和连接WAPI-Cert网络企业办公环境的主要终端有两类，一类是生产工具即台式计算