WAPI在校园网应用中的证书安装

当前校园网存在着严重影响网络安全、可控、可管理的问题，如：

• 非法接入、盗号、钓鱼等安全威胁。
• 组织结构复杂，权限难于控制。各个部门、职位拥有责任内的不同权限。人员复杂且不易管理。
• 大量的P2P下载、视频浏览等高度消耗带宽。带宽被大量抢占，造成无线带宽的不合理分配，OA、邮件等办公系统和学习利用效率低下。

那么怎样才能提高校园无线网络的安全性、保证可控可管理呢？

结合WAPI技术。让我们具体来看一看WAPI技术是怎样提高无线网络的安全性的。

WAPI整个系统由终端（STA）、接入点（AP）和认证服务单元（Authentication service unit，ASU）组成。

其中ASU作为可信第三方，负责证书的发放、验证与吊销等，实体为WAPI鉴别服务器（Authentication Server，AS）；STA与AP上都安装有AS发放的证书，作为自己的数字身份凭证。

STA接入无线网络时必须通过AS进行双向身份验证，只有持有合法证书的STA能接入持有合法证书的无线接入点AP。这样不仅可以防止非法STA接入AP访问网络，而且还可以防止拥有合法身份的STA接入非法AP而造成信息泄漏。

WAPI采用三元对等安全鉴别架构，STA、AP、AS均有自己的独立身份，通过可信第三方AS，不但AP要检查STA的身份是否合法，STA同样也要检查AP的身份是否合法，使“合法的终端接入合法的网络”。与Wi-Fi所采用的安全模式如WEP/WPA/WPA2（采用两元架构）不同，WAPI从架构原理上屏蔽了中间人攻击和伪造接入点（如伪基站、假AP）的可能。

因此，采用WAPI技术可以很好地解决大部分校园无线网建设遇到的问题。首先解决了各类非法接入、钓鱼攻击等安全问题。其次，终端和网络设备的独立身份使得所有网络行为均是可追溯、可管理的，可大幅度降低权限管理难度，大规模减少滥用高消耗带宽行为。

WAPI网络结构示意图如下：

图1  WAPI网络结构示意图

校园WAPI无线网络采用WAPI鉴别服务器AS、无线控制器AC+FIT AP方案进行部署。外部网络接入网关，网关、AC、FIT AP、AS接入同一交换机，配置LAN口地址为同一网段IP地址保证互通。覆盖方面，AP在空旷环境中覆盖直径20-30米，根据环境、用户规模酌情确定使用数量和分布。采用WAPI技术的安全无线局域网与其它安全模式（如WPA/WPA2等）的重点区别如下：

1、WAPI鉴别服务器颁发证书

使用高安全的WAPI证书模式，需要给AP和终端安装证书。证书由AS颁发，如下图2。

图2  AS导出ASU证书，颁发AP证书、用户证书

2、无线路由器/接入点配置

采用最高安全级别的WAPI-Cert，即WAPI证书模式。

图3  WAPI安全类型配置

每个WAPI无线接入点需要安装ASU证书和AE证书，配置内网的AS服务器地址；每个终端需要安装ASU证书和ASUE证书。

3、终端配置和连接WAPI-Cert网络

目前市面上的绝大部分手机类终端都支持WAPI，手机终端先安装证书，证书安装后点击对应的WAPI-Cert安全模式的网络服务集标识（Service Set Identifier，SSID），选择证书后确定连接，一次认证成功后即可一键连接。

对使用windows/Linux操作系统的台式计算机/笔记本，需配备支持WAPI功能的无线网卡，如图4：

图4  WAPI无线网络安全客户端（USB接口）

以windows系统为例，在台式计算机/笔记本上插上WAPI网卡后安装配套的WAPI客户端程序，安装完成后打开如下客户端：

图5  WAPI无线网络安全客户端软件操作界面

第一步：点击进入高级配置选项，在证书管理窗口通过“WAPI证书自动获取”或“安装”选项来安装证书。如下图6所示：

图6证书管理

第二步：点击“WAPI证书自动获取”选项来安装证书：首先在弹出的“证书自动获取”窗口中输入AS提供的用户名和密码，再选择“高级”，输入服务器的IP地址和端口号。输入完成后点击“获取证书按钮”，便可通过证书颁发服务器自动获取并安装证书。

 

图7 WAPI证书自动获取

如果想使用AS颁发后下载到本地的证书，则点击“安装”选项来安装证书。在提示请选择用户证书的窗口中点击“是”，浏览选择所要安装的证书，选择用户证书后，程序会自动在用户证书目录下匹配颁发者证书并安装（需把用户和颁发者证书放到一个目录下）。证书安装完毕，且校验有效则证书信息出现在“证书管理”窗口中：

图8 证书管理窗口显示已安装的证书

证书安装后，在 无线移动安全à无线网络 中，双击连接前面配置的WAPI-Cert网络SSID，客户端自动选择证书来进行认证。

图9  成功连接 无线移动安全à无线网络 中的WAPI-Cert网络

WAPI技术从原理上屏蔽了伪造接入点和非法接入的可能，用户能获得高效且灵活的无线接入与安全防护，保障网络承载的各种应用安全、高效地运行。WAPI安全无线网络具有的更高级的安全鉴别机制、灵活的密钥管理技术，实现了整个基础网络的集中用户管理。利用WAPI技术的上述特性可以非常有效的解决校园网络建设中现存的大多数问题，保障无线网络的高安全性、高可靠性。