《详解WAPI与WAPI认证.docx》由会员分享,可在线阅读,更多相关《详解WAPI与WAPI认证.docx(3页珍藏版)》请在金锄头文库上搜索。
1、详解WAPI与WAPI认证一、 WAPI的由来WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,经多方参加,反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI是中国自主研发的,拥有自主知识产权的无线局域网安全技术标准。WAPI 同时也是中国无线局域网强制性标准中的安全机制,相比WIFI,WAPI可以使笔记本电脑以及其他终端产品更加安全。 二、 WAPI与WIFI的不同及优势IEEE802.11IE
2、EE802.11iWAPI认证特征对客户机硬件认证单向认证无线用户和RADIUS服务器的认证双向认证无线用户身份通常为用户名和口令无线用户和无线接入点的认证双向认证身份凭证为公钥数字证书性能认证简单认证过程复杂RADIUS服务器不易扩充认证过程简单客户端可以支持多证书,方便用户多处使用,充分保证其漫游功能认证服务器单元易于扩充,支持用户的异地接入安全漏洞认证易于伪造降低了总安全性用户身份凭证简单,易被盗取,且被盗取后可任意使用共享密钥管理存在安全隐患无算法开入式系统认证共享密钥认证未确定192/224/256/位的椭圆曲线签名算法安全强度低较高最高扩展性低低高加密算法64位的WEP流加密128
3、位的WEP流加密128位的AES流加密认证的分组加密密钥静态动态(基于用户、基于认证、通信过程中动态更新)动态(基于用户、基于认证、通信过程中动态更新)安全强度低高最高中国法规不符合不符合符合表二:WAPI与802.11及802.11i标准的对比图表WAPI是双向的、简单易行、管理集中、动态的,WAPI相比较于WIFI更安全! WAPI具有的优势:1、双向身份鉴别在WAPI安全体制下,无线客户端和WLAN设备二者处于对等的地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可以防止假冒的无线客户端接入WLAN网络,又可以杜绝假冒的WLAN设备伪装成合法的设备。而且其他的安全机制
4、下,只能够实现WLAN设备对无线客户端的单向鉴别,缺乏有效的WLAN设备身份的鉴别手段。2、数字证书身份凭证WAPI协议强制使用数字证书作为WLAN设备和无线客户端的身份凭证,既方便了安全管理,有可以提升安全性。对于无线客户端申请或者取消入网,管理员只需要颁发新的证书或者取消当前证书即可。这些操作均可以在证书服务器上完成,管理非常方便。其他安全机制没有强制要求用户使用数字证书,当使用用户名和密码作为用户的身份凭证时,用于用户身份凭证简单,容易被盗取或冒用。3、完善的鉴别协议在WAPI中使用数字证书作为用户身份凭证,在鉴别过程中采用椭圆曲线签名算法,并使用安全的消息杂凑算法保障消息的完整性,攻击
5、者难以对进行鉴别的信息进行修改和伪造,所以安全等级高。在其他安全体制中鉴别协议本身存在一定缺陷,鉴别成功信息的完整性娇艳不够安全,鉴别消息容易被篡改或伪造。三、 WAPI如何应用WAPI个人认证WAPI个人认证类似于PSK认证,只需要配置接入密钥,用户登陆界面输入帐号密码即可上网,认证界面可参考PSK认证。WAPI企业认证 WAPI企业认证不同于个人认证,需要从控制器后台为服务器配置双向证书(服务器AS证书、AP证书)和AS服务器。注意:1、不同于CA证书双向认证,我们的无线控制器不能够颁发WAPI证书,需要购买WAPI的服务器,所以WAPI证书的颁发不能使用我们的无线网络自动配置工具。2、PC一般是不支持WAPI,要额外装插件,另外iphone一般都支持WAPI。3、认证界面目前无相关的实例,WAPI企业认证是双向证书认证和我们的WPA企业双向证书认证界面类似,可以参考其登录界面。
