WAPI网络认证原理简介
无线局域网(WLAN)可以使人们不在受网络位置的限制和布线的繁琐,只要在无线网络信号覆盖的地方都可以随时随地的连接互联网,所以Wi-Fi已经在我们的生活和工作中有这举足轻重的作用。不过Wi-Fi带给我们便捷的同时,安全问题也越来越突出,各种蹭网软件、钓鱼AP、******层出不穷。Wi-Fi也意识到安全问题个严重性,密码强度有原来的WEP更新到目前WPA2,然而Wi-Fi的安全问题不仅仅是密码强度,而是在于安全机制的问题,我们知道连接Wi-Fi只要搜到要连接的Wi-Fi信号,输入正确的密码就可以连接上,然而这时假如这个Wi-Fi是“钓鱼”Wi-Fi呢?终端根本无法区别Wi-Fi的真伪。这就给我们的网络安全埋下隐患,那如何才能从根本上解决这种单向认证的安全机制问题呢?我们不妨了解一下WLAN行业的另外一个标准——WAPI。
WAPI全称是无线局域网鉴别与保密基础结构(Wireless LAN Authentication and Privacy Infrastructure),是我国首个在计算机宽带无线网络通信领域自主创新并拥有知识产权的安全接入技术标准,它和Wi-Fi最大的区别就是安全机制的不同。WAPI采用的是三元对等架构的双向认证机制,三元的物理架构对应三个物理实体:AS(鉴别服务器)、AP(无线接入点)、STA(终端),各自都有自己独立的身份。AS作为可信的第三方,AP和STA利用AS颁发的证书作为“身份凭证”来相互验证,这种完整的双向认证使STA也有权利验证AP的真伪,彻底杜绝了钓鱼AP、蹭网软件和中间人***,有效保证安全。
WAPI证书鉴别过程
WAPI网络特点:
1.拒绝非授权终端接入。
2.防止合法终端接入钓鱼(非法)网络。
3.提供终端与网络接入设备之间的双向身份鉴别。
4.提供无线局域网数据链路层的安全防护密钥动态协商。
5.有效保障无线局域网数据链路层数据通信的机密性、完整性以及抗抵赖性。
6.可提供身份集中管理能力,确保无线局域网可管可控。
WAPI实现了STA和AP之间的双向身份鉴别,抵御了中间人***和钓鱼AP等安全威胁。另外WAPI网络还采用公钥密码技术,提供了通信链路数据的机密性和完整性以及抗重放、抗抵赖等能力,为无线局域网提供了全方位的安全保障。鉴别服务器AS负责证书的颁发、验证与吊销等,无线客户端与无线接入点AP上都安装有AS颁发的证书,作为自己的数字身份凭证。当无线客户端连接无线接入点AP时,必须通过鉴别服务器AS对双方进行身份验证,只有持有合法证书的用户才能接入持有合法证书的网络。
原文地址:http://blog.51cto.com/13906366/2321539