English

浅谈WAPI与WIFI的区别

2016-04-20

       众所周知,信锐无线AC(无线控制器)是支持WAPI的(支持WAPI个人认证、企业认证),那么问题来了,什么是WAPI啊,WAPI和WIFI什么关系呢,WAPI个人、企业认证又是什么?那么,今天的技术解读我们就来谈下WAPI和WIFI的区别。


一、WAPI的由来

       WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,经多方参加,反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。


       WAPI是中国自主研发的,拥有自主知识产权的无线局域网安全技术标准。WAPI 同时也是中国无线局域网强制性标准中的安全机制,相比WIFI,WAPI可以使笔记本电脑以及其他终端产品更加安全。

信锐WAPI


二、WAPI与WIFI的不同及优势



IEEE802.11IEEE802.11iWAPI
认证特征*对客户机硬件认证
*单向认证
*无线用户和RADIUS服务器的认证
*双向认证
*无线用户身份通常为用户名和口令
*无线用户和无线接入点的认证
*双向认证
*身份凭证为公钥数字证书
性能*认证简单*认证过程复杂
*RADIUS服务器不易扩充
*认证过程简单
*客户端可以支持多证书,方便用户多处使用,充分保证其漫游功能
*认证服务器单元易于扩充,支持用户的异地接入
安全漏洞*认证易于伪造
*降低了总安全性
*用户身份凭证简单,易被盗取,且被盗取后可任意使用
*共享密钥管理存在安全隐患
算法*开入式系统认证
*共享密钥认证
未确定192/224/256/位的椭圆曲线签名算法
安全强度较高最高
扩展性
加密算法64位的WEP流加密*128位的WEP流加密
*128位的AES流加密
认证的分组加密
密钥静态动态(基于用户、基于认证、通信过程中动态更新)动态(基于用户、基于认证、通信过程中动态更新)
安全强度最高
中国法规不符合不符合符合
 

       表二:WAPI与802.11及802.11i标准的对比图表
       WAPI是双向的、简单易行、管理集中、动态的,WAPI相比较于WIFI更安全!


三、WAPI具有的优势:

1、双向身份鉴别
       在WAPI安全体制下,无线客户端和WLAN设备二者处于对等的地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可以防止假冒的无线客户端接入WLAN网络,又可以杜绝假冒的WLAN设备伪装成合法的设备。而且其他的安全机制下,只能够实现WLAN设备对无线客户端的单向鉴别,缺乏有效的WLAN设备身份的鉴别手段。


2、数字证书身份凭证
       WAPI协议强制使用数字证书作为WLAN设备和无线客户端的身份凭证,既方便了安全管理,有可以提升安全性。对于无线客户端申请或者取消入网,管理员只需要颁发新的证书或者取消当前证书即可。这些操作均可以在证书服务器上完成,管理非常方便。其他安全机制没有强制要求用户使用数字证书,当使用用户名和密码作为用户的身份凭证时,用于用户身份凭证简单,容易被盗取或冒用。


3、完善的鉴别协议
       在WAPI中使用数字证书作为用户身份凭证,在鉴别过程中采用椭圆曲线签名算法,并使用安全的消息杂凑算法保障消息的完整性,攻击者难以对进行鉴别的信息进行修改和伪造,所以安全等级高。在其他安全体制中鉴别协议本身存在一定缺陷,鉴别成功信息的完整性娇艳不够安全,鉴别消息容易被篡改或伪造。


四、WAPI如何应用

1、WAPI个人认证
       WAPI个人认证类似于PSK认证,只需要配置接入密钥,用户登陆界面输入帐号密码即可上网,认证界面可参考PSK认证。

信锐WAPI个人认证


2、WAPI企业认证
       WAPI企业认证不同于个人认证,需要从控制器后台为服务器配置双向证书(服务器AS证书、AP证书)和AS服务器。

信锐WAPI企业认证信锐WAPI企业认证


 

注意:
       1、不同于CA证书双向认证,我们的无线控制器AC不能够颁发WAPI证书,需要购买WAPI的服务器,所以wapi证书的颁发不能使用我们的无线网络自动配置工具。
       2、PC一般是不支持WAPI,要额外装插件,另外iphone一般都支持WAPI。
       3、认证界面目前无相关的实例,WAPI企业认证是双向证书认证和我们的WPA企业双向证书认证界面类似,可以参考其登录界面。

返回顶部
隐藏或显示