WAPI与Wi-Fi,请相信中国造

2017/3/7 来源:www.arpun.com 作者:小白

自信锐技术无线控制器3.2版本发布以来, 其中有一条新功能很快引起了大家的关注:全面支持WAPI(支持WAPI个人认证、企业认证)。 期间有很多用户带着对这个功能的好奇咨询到阿信, 为了让大家更加全面的了解WAPI, 了解这个功能的作用, 今天就让我们完完整整地解开关于它的秘密。

那么问题就来了, 什么是WAPI?WAPI和Wi-Fi又是什么关系?WAPI个人、企业认证又是什么?

WAPI与Wi-Fi,请相信中国造

一、WAPI的由来

 

首先来给大家解释一下什么是WLAN, 它的全称是Wireless Location Area Network, 中文就是无线局域网络。 之所以要首先解释这一个参数, 是因为WLAN并不是一种具体的网络标准, 而是一种网络类型, 我们平时在咖啡厅、公司、自己家里使用的无线网络都属于WLAN, WLAN是比Wi-Fi还有WAPI更高一个层级的术语。 可以这样简单的说, WLAN是Wi-Fi和WAPI所属的范畴, Wi-Fi和WAPI是WLAN的两种不同的网络标准。

WAPI(WLAN Authenticationand Privacy Infrastructure), 即无线局域网鉴别与保密基础结构, 它是针对IEEE802.11中WEP协议安全问题, 经多方参加, 反复论证, 充分考虑各种应用模式, 在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。

WAPI是中国自主研发的, 拥有自主知识产权的无线局域网安全技术标准。 WAPI 同时也是中国无线局域网强制性标准中的安全机制, 相比Wi-Fi, WAPI可以使笔记本电脑以及其他终端产品更加安全。

二、WAPI与Wi-Fi的不同及优势

IEEE802.11

IEEE802.11i

WAPI

认证

特征

*对客户机硬件认证

*单向认证

*无线用户和RADIUS服务器的认证

*双向认证

*无线用户身份通常为用户名和口令

*无线用户和无线接入点的认证

*双向认证

*身份凭证为公钥数字证书

性能

*认证简单

*认证过程复杂

*RADIUS服务器不易扩充

*认证过程简单

*客户端可以支持多证书, 方便用户多处使用, 充分保证其漫游功能

*认证服务器单元易于扩充, 支持用户的异地接入

安全漏洞

*认证易于伪造

*降低了总安全性

*用户身份凭证简单, 易被盗取, 且被盗取后可任意使用

*共享密钥管理存在安全隐患

算法

*开入式系统认证

*共享密钥认证

未确定

192/224/256/位的椭圆曲线签名算法

安全强度

较高

最高

扩展性

加密

算法

64位的WEP流加密

*128位的WEP流加密

*128位的AES流加密

认证的分组加密

密钥

静态

动态(基于用户、基于认证、通信过程中动态更新)

动态(基于用户、基于认证、通信过程中动态更新)

安全强度

最高

中国法规

不符合

不符合

符合

相比之下,

WAPI是双向的、动态的、简单易行而且管理集中, 比Wi-Fi更加安全!

WAPI具有的相对优势:

●  双向身份鉴别

在WAPI安全体制下, 无线客户端和WLAN设备二者处于对等的地位, 二者身份的相互鉴别在公信的鉴别服务器控制下实现。 双向鉴别机制既可以防止假冒的无线客户端接入WLAN网络, 又可以杜绝假冒的WLAN设备伪装成合法的设备。 而且其他的安全机制下, 只能够实现WLAN设备对无线客户端的单向鉴别, 缺乏有效的WLAN设备身份的鉴别手段。

●  数字证书身份凭证

WAPI协议强制使用数字证书作为WLAN设备和无线客户端的身份凭证, 既方便了安全管理, 有可以提升安全性。 对于无线客户端申请或者取消入网, 管理员只需要颁发新的证书或者取消当前证书即可。 这些操作均可以在证书服务器上完成, 管理非常方便。 其他安全机制没有强制要求用户使用数字证书, 当使用用户名和密码作为用户的身份凭证时, 用于用户身份凭证简单, 容易被盗取或冒用。

●  完善的鉴别协议

在WAPI中使用数字证书作为用户身份凭证, 在鉴别过程中采用椭圆曲线签名算法, 并使用安全的消息杂凑算法保障消息的完整性, 攻击者难以对进行鉴别的信息进行修改和伪造, 所以安全等级高。 在其他安全体制中鉴别协议本身存在一定缺陷, 鉴别成功信息的完整性校验不够安全, 鉴别消息容易被篡改或伪造。

三、WAPI如何应用

WAPI个人认证

WAPI个人认证类似于PSK认证, 只需要配置接入密钥, 用户登陆界面输入帐号密码即可上网, 认证界面可参考PSK认证。

WAPI企业认证

WAPI企业认证不同于个人认证, 需要从控制器后台为服务器配置双向证书(服务器AS证书、AP证书)和AS服务器。

相比于Wi-Fi, WAPI有其绝对的优势所在, 不过相比Wi-Fi应用到大众的生活中的时间较短, 其兼容性还没有绝对的完善。 对于PC端一般还不支持, 不过只要安装相应插件即可, 对于终端基本都支持(包括iPhone)。 信锐技术作为企业级无线的领军厂商, 一直积极迎合最前沿的无线网络技术, 竭力为企业建设最安全、最稳定、最流畅的无线网络环境。

网友评论
评论(...
全部评论