3) WAPI安全協(xié)議

針對無線局域網(wǎng)協(xié)議中存在的安全問題，我國在2003提出了WLAN國家標(biāo)準(zhǔn)，即無線鑒別和保密基礎(chǔ)結(jié)構(gòu)（WLAN Authentica【ion and Privacy Infrastructure，WAPI）。WAPI采用數(shù)字證書和橢圓曲線公開密鑰體制，可以實現(xiàn)客戶端和接人點的雙向認(rèn)證，對WLAN系統(tǒng)提供全面的保護(hù)。

WAPI由無線局域網(wǎng)認(rèn)證基礎(chǔ)設(shè)施（WLAN Authentic,ationInfrastructure，WAI）和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)( WLAN Privacy Infrastruc,ture，WPI)兩部分組成，分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)的加密，其中WPI的加密算法由國家密碼管理局指定。

WAI實現(xiàn)對通信雙方身份的鑒別，是實現(xiàn)WAPI的基礎(chǔ)。WAI采用公開密鑰加密體制， 利用證書對客戶端和接人點進(jìn)行認(rèn)證。和IEEE 802.1X類似，WAI也定義了三類實體：鑒別器實體、鑒別請求者實體、鑒別服務(wù)器實體，功能也和IEEE 802.lX -致。鑒權(quán)服務(wù)器AS即對應(yīng)鑒別服務(wù)器實體，負(fù)責(zé)公鑰證書的頒發(fā)、驗證與吊銷等，無線客戶端STA和無線接人點AP分別對應(yīng)鑒別請求者實體和鑒別器實體，兩者都需安裝AS頒發(fā)的公鑰證書，作為自己的

數(shù)字身份憑證。當(dāng)無線客戶端登錄至無線接人點AP時，在訪問網(wǎng)絡(luò)之前必須通過鑒權(quán)服務(wù)器AS對雙方進(jìn)行身份驗證。根據(jù)驗證的結(jié)果，持有合法證書的移動終端才禽旨接人持有合法證書的無線接人點AP。

整個WAI過程包括證書鑒別和會話密鑰協(xié)商，過程如下圖所示：

　　WPI負(fù)責(zé)對MAC子層的MPDU進(jìn)行加、解密處理，分別用于WLAN設(shè)備的數(shù)字證書、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實現(xiàn)設(shè)備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)。

WAPI與WEP、802.11i在鑒別和加密方面的安全特性比較見下表所示。