扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
2.2 H3C WAPI解决方案
H3C WLAN无线解决方案所实现的WAPI功能,完全遵循了WAPI标准,同时结合用户WAPI应用的业务需求,实现了如下的特色功能,主要包括:
· 基于瘦AP架构实现WAPI认证
目前瘦AP架构以其易管理、易扩展的优势在企业和运营商市场得到越来越广泛的应用。瘦AP架构主要包括了无线控制器和AP,无线控制器通过三层隧道协议管理和控制多台AP,提供无线接入服务。AP本地不保存配置,只在启动和运行时动态地从无线控制器获得配置。
传统的胖AP实现WAPI标准时,要求每台AP必须安装数字证书,这在实施时带来了诸多问题,包括数字证书申请、安装等成本随AP的数量大大提高,保存在AP的数字证书被窃的风险等。
所以除了在胖AP产品中实现WAPI标准外,H3C还在业界率先提出和实现了在痩AP架构中实现WAPI认证。用户只需要在控制器安装数字证书,可以极大地降低数字证书申请和安装成本。同时,由于控制器一般部署在机房中而AP不需要安装数字证书,可以完全确保数字证书的物理安全。如图3所示。
· 支持基于时间的单播密钥更新
虽然WAPI标准定义了单播密钥的动态协商,可如果无线客户端在WAPI安全会话期间长时间持续使用该密码,将仍然存在安全隐患。H3C WLAN无线解决方案可以实现:同一无线客户端使用的单播密钥存在一定生命期 (用户可以配置),当生命期结束时,客户端和WLAN设备间将重新进行单播密钥协商并生成新的单播会话密钥,包括单播加密密钥、单播完整性密钥、组播密钥加密密钥和下一次密钥协商的挑战等。
图3 瘦AP实现WAPI安全
·支持基于时间的组播密钥更新
类似基于时间的单播密钥更新,H3C WLAN无线解决方案可以实现:在组播密钥生命期结束时,重新进行组播密钥协商,生成新的组播会话密钥,并向当前在线的每个无线客户端发起组播密钥通告过程。
图4 WAPI与WIFI标准混合组网
·支持基于流量的组播密钥更新
H3C WLAN无线解决方案支持基于流量的组播密钥更新,即当使用该组播密钥加密的报文流量达到指定数量(可配置)时,向所有在线STA发起组播密钥更新过程,生成新的组播会话密钥。
·支持用户下线触发组播密钥更新
H3C WLAN无线解决方案支持用户下线触发组播密钥更新,即当同一BSS (IEEE 802.11标准定义的BasicService Set) 下有用户下线时,将重新协商该BSS使用的组播密钥。这样避免了下线客户端仍然持有合法的组密钥,防止它继续接收组播报文。
·支持WAPI与其他类型客户端共存
H3C WLAN无线解决方案支持在同一个AP上,WAPI认证类型用户与WIFI标准的WPA、WPA2或明文用户共存,所以用户可以根据业务需求灵活地选择安全策略。
3 应用场景
· 基于瘦AP方案实施无线安全
在运营商等规模应用WAPI安全的场景,考虑到痩AP在数字证书管理等方面的优势,可以优先考虑基于瘦AP方案实施无线安全。管理员只需要在控制器 (AC)上配置无线参数和安装数字证书。通过指定每个AP上SSID所使用的安全认证类型:WAPI或WIFI (802.11i)安全认证,可以实现WAPI与WIFI标准的混合组网。
混合组网时,单个AP既可以只采用WAPI技术或WIFI安全技术之一,如上图中的AP1和AP3分别配置了WAPI或WIFI安全认证;也可以在单个AP同时应用这两种安全技术,如图4中的AP2的安全配置。
4 结论
和802.11i等无线安全技术相比,中国WAPI标准具有双向身份鉴别等安全优势。面向客户业务需求,H3C WLAN无线解决方案所提出的基于瘦AP实现WAPI的创新,可以确保WLAN设备的数字证书安全性,降低WLAN管理的操作成本,适应了WAPI安全标准在企业和运营商网络中的规模应用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者