设计网络安全策略之WAPI安全协议

3) WAPI安全协议

针对无线局域网协议中存在的安全问题，我国在2003提出了WLAN国家标准，即无线鉴别和保密基础结构（WLAN Authentica【ion and Privacy Infrastructure，WAPI）。WAPI采用数字证书和椭圆曲线公开密钥体制，可以实现客户端和接人点的双向认证，对WLAN系统提供全面的保护。

WAPI由无线局域网认证基础设施（WLAN Authentic,ationInfrastructure，WAI）和无线局域网保密基础结构( WLAN Privacy Infrastruc,ture，WPI)两部分组成，分别实现对用户身份的鉴别和对传输的数据的加密，其中WPI的加密算法由国家密码管理局指定。

WAI实现对通信双方身份的鉴别，是实现WAPI的基础。WAI采用公开密钥加密体制， 利用证书对客户端和接人点进行认证。和IEEE 802.1X类似，WAI也定义了三类实体：鉴别器实体、鉴别请求者实体、鉴别服务器实体，功能也和IEEE 802.lX -致。鉴权服务器AS即对应鉴别服务器实体，负责公钥证书的颁发、验证与吊销等，无线客户端STA和无线接人点AP分别对应鉴别请求者实体和鉴别器实体，两者都需安装AS颁发的公钥证书，作为自己的

数字身份凭证。当无线客户端登录至无线接人点AP时，在访问网络之前必须通过鉴权服务器AS对双方进行身份验证。根据验证的结果，持有合法证书的移动终端才禽旨接人持有合法证书的无线接人点AP。

整个WAI过程包括证书鉴别和会话密钥协商，过程如下图所示：

　　WPI负责对MAC子层的MPDU进行加、解密处理，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

WAPI与WEP、802.11i在鉴别和加密方面的安全特性比较见下表所示。