基于WAPI技术的酒店无线网络安全解决方案

基于WAPI技术的酒识鲻夭嗟店无线网络安全解决方案

解决方案背景

无线局域网WLAN自出现以来，安全一直是让人很头疼的事情。特别是近年来，公共区域已经普及的各类免费Wi-Fi，无论有无密码都很容易接入，用户个人信息甚至财产安全都有可能受到黑客的威胁，此类案件已经屡见不鲜。

酒店作为商旅人士、游客的暂居场所，无线网络成为酒店服务内容不可或缺的一部分，相比于其他公共场所，商旅人士和游客对酒店无线网络安全性的要求更高，以确保个人信息、商务资料、资金等的安全，而现实中确有不法分子利用酒店的无线网络进行一些非法活动。因此整个无线网络必须有足够的安全防范能力。

部分酒店采用的Wi-Fi技术，使用802.11i系列加密协议（如WEP/WPA/WPA2），非法接入和进行中间人攻击、伪造接入点（伪基站等）非常容易。原因在于802.11i系列加密协议采用的单向鉴别的二元架构原理上就不够安全。2017年10月曝出的WPA2安全漏洞，证明该系列的加密协议本身就存在安全漏洞，同时，那些试图在技术上打补丁的惯用手段已经无济于事。针对这种情况，WAPI技术将承担起保护无线局域网安全的重任。

WAPI技术采用三元对等安全架构，终端（STA）、接入点（AP）、鉴别服务器（AS）均有自己的唯一数字身份，AP和STA通过可信第三方AS进行对等双向鉴别。AP通过AS鉴别STA的身份是否合法，STA也要通过AS鉴别AP的身份是否合法。

Wi-Fi（802.11i）加密与WAPI技术架构对比

WAPI技术不仅可以防止非法STA接入网络，而且还可以防止合法STA接入非法AP而造成信息泄漏。因此WAPI架构屏蔽了非法接入和进行中间人攻击、伪造接入点（伪基站、钓鱼AP）的可能，有效提高了用户网络的安全级别。

基于WAPI技术的酒店安全无线网络解决方案

-基于WAPI技术的酒店安全无线网络架构（无接入点控制器AC）：

基于WAPI技术的酒店安全无线网络架构（无AC）

如上图示，该方案采用FAT AP+AS鉴别服务器方式组网，该方式组网方便快速，对现有网络改动最小。缺点是不能对AP进行统一管理，网络可维护性差；

-基于WAPI技术的酒店安全无线网络架构（含AC）：

基于WAPI技术的酒店安全无线网络架构（AC）

如上图示，该方案使用AC控制器+FITAP+AS鉴别服务器方式组网。根据具体使用场景，可以选择网关式AC控制器、旁路式AC控制器，或者安装SoftAC软件控制器对AP进行统一管理，优点是网络维护更加便捷。

解决方案特点

通过基于WAPI技术的酒店安全无线网络，我们可以轻松实现：

-高安全的接入和数据加密

用户接入无线网络采用WAPI证书认证方式，大幅度提高酒店的无线网络安全级别，网络更安全。

-无线“钓鱼”屏蔽

WAPI安全技术架构天然屏蔽了中间人攻击、伪造接入点（如伪基站、假AP）的可能。有效保障了客户和酒店方的信息及财产安全。

-用户管理与隔离

能够对无线用户进行基于单个用户的分组接入管理，以保障在维护过程中的灵活性。针对酒店客人的无线网络应用，保证用户的完全隔离。

-网络便于管理

终端、接入点均具备独立身份，用户数据可追溯，满足监管的实际需求，保证用户网络应用的安全性。

-保证网络应用扩展的灵活性

WAPI安全技术作为基础网络安全的保证而存在，同时还可利用每个终端的独立身份，供无线网络做扩展应用，如首次连接推送带客人信息的欢迎问候，树立酒店品牌；提供网络付费点播服务，而无需复杂注册等，简化操作，总之想象空间巨大。