随着无线局域网的普及和移动办公等的发展,企业办公走向移动化,以往的有线连网连网方式在很多企业正在被升级改造,建设更加方便、便捷、移动性强的无线接入网络是一大新趋势。尽管建设内部网络的首要考虑因素便是安全。然而,有不少企业目前仍采用有线等效保密协议(Wired Equivalent Privacy,简称WEP)、Wi-Fi网络保护访问(Wi-Fi Protected Access,简称WPA,有WPA和WPA2两个标准)方式加密的网络(只验证密码),甚至无需密码的开放式网络,这类网络存在极易被钓鱼或者破解、攻击,信息被盗取等各类安全隐患。引发这些安全隐患的根本原因在于WEP/WPA /WPA2等协议采用的加密方式,都是无线接入点(Access Point,简称AP)和终端(Station,简称STA)两个物理实体的两元架构,仅仅只是AP对STA进行单向鉴别,而STA并不知道AP身份是否合法,这样就容易遭受无线钓鱼、中间人攻击(如伪基站、假AP)等安全威胁。那么如何才能提高企业办公内网的安全性呢?最近某企业在建设无线办公网时,使用了一种高安全性的无线局域网鉴别与保密基础结构(Wireless LAN Authentication and Privacy Infrastructure ,简称WAPI)技术。这种WAPI采用三元对等架构,有助于提高内网的安全性,让我们具体来看一看WAPI技术是怎么进行安全防护的。
WAPI整个系统由STA、AP和认证服务单元(Authentication Service Unit,简称ASU)组成,其中ASU作为可信第三方,负责证书的发放、验证与吊销等,实体为WAPI鉴别服务器(Authentication Server,简称AS),STA与AP上都安装有AS发放的证书,作为自己的数字身份凭证。而WAPI安全防护作用出众的原因在于,STA接入无线网络时必须通过AS进行双向身份验证。根据验证的结果,只有持有合法证书的STA能接入持有合法证书的无线接入点AP。这样不仅可以防止非法STA接入AP访问网络,而且还可以防止拥有合法身份的STA接入非法AP而造成信息泄漏。采用三元对等安全鉴别架构,STA、AP、AS均有自己的独立身份,通过可信第三方AS,不但AP要检查STA的身份是否合法,STA同样也要检查AP的身份是否合法,使“合法终端接入合法网络”。这是WAPI(采用三元对等安全鉴别架构)与其它安全模式如WEP/WPA /WPA2(采用两元架构)的最大区别,可以说从架构原理上,WAPI屏蔽了中间人攻击和伪造接入点(如伪基站、假AP)的可能。
WAPI网络结构示意图如下:
图1 WAPI网络结构示意图
WAPI安全无线网络的组网搭建过程和Wi-Fi网络基本相同。类似用于802.1x认证的证书服务器,WAPI安全无线网络中需要部署WAPI鉴别服务器。WAPI鉴别服务器实体可以作为独立的一台服务器存在,也可以内置在无线路由器中。在企业级安全无线局域网应用中,基于用户数量、组网结构、扩展性等方面的考虑,应当配置一台独立的WAPI AS。具体部署时,无线网络采用无线控制器AC和FIT AP的方式进行部署。而外部网络接入网关,网关、AC、FIT AP、AS接入同一交换机,配置LAN口地址为同一网段IP地址保证互通。再到覆盖方面,AP在空旷环境中覆盖直径20-30米,根据环境、用户规模酌情确定使用数量和分布。采用WAPI技术的安全无线局域网区别于其它安全模式(如WPA/WPA2等)的重点配置如下:
WAPI鉴别服务器颁发证书
使用高安全的WAPI证书模式需要给路由器和终端设备安装证书。证书是从AS颁发的,如下图2所示。无线路由器安装的是ASU证书和鉴别器实体(Authenticator Entity,简称AE)证书,终端安装的则是ASU证书和鉴别请求者实体(Authentication SUpplicant Entity,简称ASUE)证书,在颁发时需选择对应类型并将证书保存在本地。
图2 AS导出ASU证书,颁发AP证书、用户证书
无线路由器/接入点配置
无线安全配置选择WAPI证书模式(WAPI-Cert)。红框处可选的安全类型还有常见的WPA/WPA2等(只需设置密码),我们推荐选择最高安全级别的WAPI-Cert即WAPI证书模式。
图3 WAPI安全类型配置
每个无线路由器/接入点需要安装ASU证书和AE证书,AS IP地址填入内网配置的AS服务器地址,证书由AS服务器颁发。配置完所有WAPI无线路由器/接入点之后,WAPI网络部署完毕。
图4 WAPI无线路由器/接入点AS IP地址、证书安装页面
终端配置和连接WAPI-Cert网络
企业办公环境的主要终端有两类,一类是生产工具即台式计算机、笔记本;另一类是BYOD自带设备,如手机等移动设备。终端想要接入WAPI-CERT安全模式的无线网络需要安装证书(安装ASU证书和ASUE证书)。
目前,市面上的绝大部分手机终端都支持WAPI,手机终端先安装证书,证书安装后点击对应的WAPI-Cert安全模式的网络服务集标识(Service Set Identifier,简称SSID),选择证书后确定连接,一次认证成功后即可一键连接。对使用Windows/Linux操作系统的台式计算机/笔记本,首先需要配备一块支持WAPI功能的无线网卡,如:
图5 WAPI无线网络安全客户端实物(USB接口)
以Windows系统为例,在台式计算机/笔记本上插上WAPI网卡后安装配套的WAPI客户端程序,安装完成后打开如下客户端:
图6 WAPI无线网络安全客户端软件操作界面
第一步点击进入高级配置选项,在证书管理窗口通过“WAPI证书自动获取”或“安装”选项来安装证书。如下图7所示:
图7 证书管理
第二步点击“WAPI证书自动获取”选项来安装证书:首先在弹出的“证书自动获取”窗口中输入证书颁发机构(AS)提供的用户名和密码,再选择“高级”,输入服务器的IP地址和端口号。输入完成后点击“获取证书按钮”,便可通过证书颁发服务器自动获取并安装证书。
图8 WAPI证书自动获取
如果想使用AS颁发后下载到本地的证书,则点击“安装”选项来安装证书。在提示请选择用户证书的窗口中点击“是”,浏览选择所要安装的证书,选择用户证书后,程序会自动在用户证书目录下匹配颁发者证书并安装(需把用户和颁发者证书放到一个目录下)。证书安装完毕,且校验有效则证书信息出现在“证书管理”窗口中:
图9 证书管理窗口显示已安装的证书
证书安装后,在 无线移动安全à无线网络 中,双击前面配置的WAPI-Cert网络SSID,客户端自动选择证书来进行认证连接。
图10 连接无线移动安全à无线网络 中的WAPI-Cert网络
WAPI安全架构具有更高级的安全鉴别机制、灵活的密钥管理技术,而且实现了整个基础网络的集中用户管理。WAPI技术在无线通信应用中最大的优势:从原理上屏蔽了中间人攻击和伪造接入点的可能。用户能获得高效且可灵活扩展的无线接入与安全防护,为上层承载的各种应用安全、高效地运行提供了可靠的保障。