企业部署WAPI无线网络的技术详析

随着无线局域网的普及和移动办公等的发展，企业办公走向移动化，以往的有线连网连网方式在很多企业正在被升级改造，建设更加方便、便捷、移动性强的无线接入网络是一大新趋势。尽管建设内部网络的首要考虑因素便是安全。然而，有不少企业目前仍采用有线等效保密协议（Wired Equivalent Privacy，简称WEP）、Wi-Fi网络保护访问（Wi-Fi Protected Access，简称WPA，有WPA和WPA2两个标准）方式加密的网络（只验证密码），甚至无需密码的开放式网络，这类网络存在极易被钓鱼或者破解、攻击，信息被盗取等各类安全隐患。引发这些安全隐患的根本原因在于WEP/WPA /WPA2等协议采用的加密方式，都是无线接入点（Access Point，简称AP）和终端（Station，简称STA）两个物理实体的两元架构，仅仅只是AP对STA进行单向鉴别，而STA并不知道AP身份是否合法，这样就容易遭受无线钓鱼、中间人攻击（如伪基站、假AP）等安全威胁。那么如何才能提高企业办公内网的安全性呢？最近某企业在建设无线办公网时，使用了一种高安全性的无线局域网鉴别与保密基础结构（Wireless LAN Authentication and Privacy Infrastructure ，简称WAPI）技术。这种WAPI采用三元对等架构，有助于提高内网的安全性，让我们具体来看一看WAPI技术是怎么进行安全防护的。

WAPI整个系统由STA、AP和认证服务单元（Authentication Service Unit，简称ASU）组成，其中ASU作为可信第三方，负责证书的发放、验证与吊销等，实体为WAPI鉴别服务器（Authentication Server，简称AS），STA与AP上都安装有AS发放的证书，作为自己的数字身份凭证。而WAPI安全防护作用出众的原因在于，STA接入无线网络时必须通过AS进行双向身份验证。根据验证的结果，只有持有合法证书的STA能接入持有合法证书的无线接入点AP。这样不仅可以防止非法STA接入AP访问网络，而且还可以防止拥有合法身份的STA接入非法AP而造成信息泄漏。采用三元对等安全鉴别架构，STA、AP、AS均有自己的独立身份，通过可信第三方AS，不但AP要检查STA的身份是否合法，STA同样也要检查AP的身份是否合法，使“合法终端接入合法网络”。这是WAPI（采用三元对等安全鉴别架构）与其它安全模式如WEP/WPA /WPA2（采用两元架构）的最大区别，可以说从架构原理上，WAPI屏蔽了中间人攻击和伪造接入点（如伪基站、假AP）的可能。

WAPI网络结构示意图如下：

图1 WAPI网络结构示意图

WAPI安全无线网络的组网搭建过程和Wi-Fi网络基本相同。类似用于802.1x认证的证书服务器，WAPI安全无线网络中需要部署WAPI鉴别服务器。WAPI鉴别服务器实体可以作为独立的一台服务器存在，也可以内置在无线路由器中。在企业级安全无线局域网应用中，基于用户数量、组网结构、扩展性等方面的考虑，应当配置一台独立的WAPI AS。具体部署时，无线网络采用无线控制器AC和FIT AP的方式进行部署。而外部网络接入网关，网关、AC、FIT AP、AS接入同一交换机，配置LAN口地址为同一网段IP地址保证互通。再到覆盖方面，AP在空旷环境中覆盖直径20-30米，根据环境、用户规模酌情确定使用数量和分布。采用WAPI技术的安全无线局域网区别于其它安全模式（如WPA/WPA2等）的重点配置如下：

WAPI鉴别服务器颁发证书

使用高安全的WAPI证书模式需要给路由器和终端设备安装证书。证书是从AS颁发的，如下图2所示。无线路由器安装的是ASU证书和鉴别器实体（Authenticator Entity，简称AE）证书，终端安装的则是ASU证书和鉴别请求者实体（Authentication SUpplicant Entity，简称ASUE）证书，在颁发时需选择对应类型并将证书保存在本地。

图2 AS导出ASU证书，颁发AP证书、用户证书

无线路由器/接入点配置

无线安全配置选择WAPI证书模式（WAPI-Cert）。红框处可选的安全类型还有常见的WPA/WPA2等（只需设置密码），我们推荐选择最高安全级别的WAPI-Cert即WAPI证书模式。

图3 WAPI安全类型配置

每个无线路由器/接入点需要安装ASU证书和AE证书，AS IP地址填入内网配置的AS服务器地址，证书由AS服务器颁发。配置完所有WAPI无线路由器/接入点之后，WAPI网络部署完毕。

图4 WAPI无线路由器/接入点AS IP地址、证书安装页面

终端配置和连接WAPI-Cert网络

企业办公环境的主要终端有两类，一类是生产工具即台式计算机、笔记本；另一类是BYOD自带设备，如手机等移动设备。终端想要接入WAPI-CERT安全模式的无线网络需要安装证书（安装ASU证书和ASUE证书）。

目前，市面上的绝大部分手机终端都支持WAPI，手机终端先安装证书，证书安装后点击对应的WAPI-Cert安全模式的网络服务集标识（Service Set Identifier，简称SSID），选择证书后确定连接，一次认证成功后即可一键连接。对使用Windows/Linux操作系统的台式计算机/笔记本，首先需要配备一块支持WAPI功能的无线网卡，如：

图5 WAPI无线网络安全客户端实物（USB接口）

以Windows系统为例，在台式计算机/笔记本上插上WAPI网卡后安装配套的WAPI客户端程序，安装完成后打开如下客户端：

图6 WAPI无线网络安全客户端软件操作界面

第一步点击进入高级配置选项，在证书管理窗口通过“WAPI证书自动获取”或“安装”选项来安装证书。如下图7所示：

图7 证书管理

第二步点击“WAPI证书自动获取”选项来安装证书：首先在弹出的“证书自动获取”窗口中输入证书颁发机构（AS）提供的用户名和密码，再选择“高级”，输入服务器的IP地址和端口号。输入完成后点击“获取证书按钮”，便可通过证书颁发服务器自动获取并安装证书。

图8 WAPI证书自动获取

如果想使用AS颁发后下载到本地的证书，则点击“安装”选项来安装证书。在提示请选择用户证书的窗口中点击“是”，浏览选择所要安装的证书，选择用户证书后，程序会自动在用户证书目录下匹配颁发者证书并安装（需把用户和颁发者证书放到一个目录下）。证书安装完毕，且校验有效则证书信息出现在“证书管理”窗口中：

图9 证书管理窗口显示已安装的证书

证书安装后，在 无线移动安全à无线网络 中，双击前面配置的WAPI-Cert网络SSID，客户端自动选择证书来进行认证连接。

图10 连接无线移动安全à无线网络 中的WAPI-Cert网络

WAPI安全架构具有更高级的安全鉴别机制、灵活的密钥管理技术，而且实现了整个基础网络的集中用户管理。WAPI技术在无线通信应用中最大的优势：从原理上屏蔽了中间人攻击和伪造接入点的可能。用户能获得高效且可灵活扩展的无线接入与安全防护，为上层承载的各种应用安全、高效地运行提供了可靠的保障。