基于瘦AP架构实现WAPI

　　2.2 H3C WAPI解决方案

　　H3C WLAN无线解决方案所实现的WAPI功能，完全遵循了WAPI标准，同时结合用户WAPI应用的业务需求，实现了如下的特色功能，主要包括：

　　· 基于瘦AP架构实现WAPI认证

　　目前瘦AP架构以其易管理、易扩展的优势在企业和运营商市场得到越来越广泛的应用。瘦AP架构主要包括了无线控制器和AP，无线控制器通过三层隧道协议管理和控制多台AP，提供无线接入服务。AP本地不保存配置，只在启动和运行时动态地从无线控制器获得配置。

　　传统的胖AP实现WAPI标准时，要求每台AP必须安装数字证书，这在实施时带来了诸多问题，包括数字证书申请、安装等成本随AP的数量大大提高，保存在AP的数字证书被窃的风险等。

　　所以除了在胖AP产品中实现WAPI标准外，H3C还在业界率先提出和实现了在痩AP架构中实现WAPI认证。用户只需要在控制器安装数字证书，可以极大地降低数字证书申请和安装成本。同时，由于控制器一般部署在机房中而AP不需要安装数字证书，可以完全确保数字证书的物理安全。如图3所示。

　　· 支持基于时间的单播密钥更新

　　虽然WAPI标准定义了单播密钥的动态协商，可如果无线客户端在WAPI安全会话期间长时间持续使用该密码，将仍然存在安全隐患。H3C WLAN无线解决方案可以实现：同一无线客户端使用的单播密钥存在一定生命期 (用户可以配置)，当生命期结束时，客户端和WLAN设备间将重新进行单播密钥协商并生成新的单播会话密钥，包括单播加密密钥、单播完整性密钥、组播密钥加密密钥和下一次密钥协商的挑战等。

　　图3 瘦AP实现WAPI安全

　　·支持基于时间的组播密钥更新

　　类似基于时间的单播密钥更新，H3C WLAN无线解决方案可以实现：在组播密钥生命期结束时，重新进行组播密钥协商，生成新的组播会话密钥，并向当前在线的每个无线客户端发起组播密钥通告过程。

　　图4 WAPI与WIFI标准混合组网

　　·支持基于流量的组播密钥更新

　　H3C WLAN无线解决方案支持基于流量的组播密钥更新，即当使用该组播密钥加密的报文流量达到指定数量(可配置)时，向所有在线STA发起组播密钥更新过程，生成新的组播会话密钥。

　　·支持用户下线触发组播密钥更新

　　H3C WLAN无线解决方案支持用户下线触发组播密钥更新，即当同一BSS (IEEE 802.11标准定义的BasicService Set) 下有用户下线时，将重新协商该BSS使用的组播密钥。这样避免了下线客户端仍然持有合法的组密钥，防止它继续接收组播报文。

　　·支持WAPI与其他类型客户端共存

　　H3C WLAN无线解决方案支持在同一个AP上，WAPI认证类型用户与WIFI标准的WPA、WPA2或明文用户共存，所以用户可以根据业务需求灵活地选择安全策略。

　　3 应用场景

　　· 基于瘦AP方案实施无线安全

　　在运营商等规模应用WAPI安全的场景，考虑到痩AP在数字证书管理等方面的优势，可以优先考虑基于瘦AP方案实施无线安全。管理员只需要在控制器 (AC)上配置无线参数和安装数字证书。通过指定每个AP上SSID所使用的安全认证类型：WAPI或WIFI (802.11i)安全认证，可以实现WAPI与WIFI标准的混合组网。

　　混合组网时，单个AP既可以只采用WAPI技术或WIFI安全技术之一，如上图中的AP1和AP3分别配置了WAPI或WIFI安全认证;也可以在单个AP同时应用这两种安全技术，如图4中的AP2的安全配置。

　　4 结论

　　和802.11i等无线安全技术相比，中国WAPI标准具有双向身份鉴别等安全优势。面向客户业务需求，H3C WLAN无线解决方案所提出的基于瘦AP实现WAPI的创新,可以确保WLAN设备的数字证书安全性，降低WLAN管理的操作成本，适应了WAPI安全标准在企业和运营商网络中的规模应用。