浅谈WAPI与WIFI的区别

2016-04-20

众所周知，信锐无线AC是支持WAPI的（支持WAPI个人认证、企业认证），那么问题来了，什么是WAPI啊，WAPI和WIFI什么关系呢，WAPI个人、企业认证又是什么？那么，今天的技术解读我们就来谈下WAPI和WIFI的区别。

一、WAPI的由来

WAPI（WLAN Authenticationand Privacy Infrastructure），即无线局域网鉴别与保密基础结构，它是针对IEEE802.11中WEP协议安全问题，经多方参加，反复论证，充分考虑各种应用模式，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。

WAPI是中国自主研发的，拥有自主知识产权的无线局域网安全技术标准。WAPI 同时也是中国无线局域网强制性标准中的安全机制，相比WIFI，WAPI可以使笔记本电脑以及其他终端产品更加安全。

信锐WAPI

二、WAPI与WIFI的不同及优势

		IEEE802.11	IEEE802.11i	WAPI
认证	特征	＊对客户机硬件认证＊单向认证	＊无线用户和RADIUS服务器的认证＊双向认证＊无线用户身份通常为用户名和口令	＊无线用户和无线接入点的认证＊双向认证＊身份凭证为公钥数字证书
	性能	＊认证简单	＊认证过程复杂＊RADIUS服务器不易扩充	＊认证过程简单＊客户端可以支持多证书，方便用户多处使用，充分保证其漫游功能＊认证服务器单元易于扩充，支持用户的异地接入
	安全漏洞	＊认证易于伪造＊降低了总安全性	＊用户身份凭证简单，易被盗取，且被盗取后可任意使用＊共享密钥管理存在安全隐患	无
	算法	＊开入式系统认证＊共享密钥认证	未确定	192/224/256/位的椭圆曲线签名算法
	安全强度	低	较高	最高
	扩展性	低	低	高
加密	算法	64位的WEP流加密	＊128位的WEP流加密＊128位的AES流加密	认证的分组加密
	密钥	静态	动态（基于用户、基于认证、通信过程中动态更新）	动态（基于用户、基于认证、通信过程中动态更新）
	安全强度	低	高	最高
中国法规		不符合	不符合	符合

表二：WAPI与802.11及802.11i标准的对比图表
WAPI是双向的、简单易行、管理集中、动态的，WAPI相比较于WIFI更安全！

三、WAPI具有的优势：

1、双向身份鉴别
在WAPI安全体制下，无线客户端和WLAN设备二者处于对等的地位，二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可以防止假冒的无线客户端接入WLAN网络，又可以杜绝假冒的WLAN设备伪装成合法的设备。而且其他的安全机制下，只能够实现WLAN设备对无线客户端的单向鉴别，缺乏有效的WLAN设备身份的鉴别手段。

2、数字证书身份凭证
WAPI协议强制使用数字证书作为WLAN设备和无线客户端的身份凭证，既方便了安全管理，有可以提升安全性。对于无线客户端申请或者取消入网，管理员只需要颁发新的证书或者取消当前证书即可。这些操作均可以在证书服务器上完成，管理非常方便。其他安全机制没有强制要求用户使用数字证书，当使用用户名和密码作为用户的身份凭证时，用于用户身份凭证简单，容易被盗取或冒用。

3、完善的鉴别协议
在WAPI中使用数字证书作为用户身份凭证，在鉴别过程中采用椭圆曲线签名算法，并使用安全的消息杂凑算法保障消息的完整性，攻击者难以对进行鉴别的信息进行修改和伪造，所以安全等级高。在其他安全体制中鉴别协议本身存在一定缺陷，鉴别成功信息的完整性娇艳不够安全，鉴别消息容易被篡改或伪造。

四、WAPI如何应用

1、WAPI个人认证
WAPI个人认证类似于PSK认证，只需要配置接入密钥，用户登陆界面输入帐号密码即可上网，认证界面可参考PSK认证。

信锐WAPI个人认证

2、WAPI企业认证
WAPI企业认证不同于个人认证，需要从控制器后台为服务器配置双向证书（服务器AS证书、AP证书）和AS服务器。

信锐WAPI企业认证

注意：
1、不同于CA证书双向认证，我们的无线控制器AC不能够颁发WAPI证书，需要购买WAPI的服务器，所以wapi证书的颁发不能使用我们的无线网络自动配置工具。
2、PC一般是不支持WAPI，要额外装插件，另外iphone一般都支持WAPI。
3、认证界面目前无相关的实例，WAPI企业认证是双向证书认证和我们的WPA企业双向证书认证界面类似，可以参考其登录界面。