WAPI是“无线局域网身份认证协议”的英文缩写,它是我国研发的一种无线局域网(WLAN)安全标准。WAPI在2003年正式发布,目的是为了替代已经被国际标准化组织(ISO)和国际电信联盟(ITU)采用的WLAN安全标准WEP、WPA和802.11i。WAPI采用了新的认证和加密方法,旨在提高无线网络的安全性和可靠性。
WAPI主要包括两个方面的内容:认证协议WAI和数据加密协议WPI,即WAI(WLAN Authentication Infrastructure)和WPI(WLAN Privacy Infrastructure)。WAI和WPI分别实现对用户身份的鉴别和对传输的业务数据加密,其中WAI采用公开密钥密码体制,利用公钥证书来对WLAN系统中的STA和AP进行认证。WPI则采用对称密码算法实现对MAC层MSDU的加、解密操作。
一、WAPI 接入控制实体,包括以下组件:
(1)鉴别服务单元ASU(authentication service unit),基本功能是实现对用户证书的管理和用户身份的鉴别等,是基于公钥密码技术的WAI 鉴别基础结构中重要的组成部分。ASU管理的证书里包含证书颁发者(ASU)的公钥和签名以及证书持有者STA和AP的公钥和签名,并采用WAPI特有的椭圆曲线作为数字签名算法,例如SM2。
(2)鉴别器实体AE(Authenticator Entity),为鉴别请求者实体在接入服务之前提供鉴别操作的实体。该实体驻留在AP 设备或者AC设备中。鉴别请求者实体ASUE(Authentication SUpplicant Entity),在接入服务之前请求进行鉴别操作的实体。该实体驻留在STA 中。
(3)鉴别服务实体ASE(Authentication Service Entity),为鉴别器实体和鉴别请求者实体提供相互鉴别服务的实体,该实体驻留在ASU 中。
二、WAPI信息元
为了使STA能够识别启用WAPI无线安全机制,在信标帧、关联请求帧、重新关联请求帧和探询请求帧中携带WAPI信息元素。对于AP来说,需要在发出信标帧和探询响应帧中,根据当前AP上WAPI的配置加入相应的WAPI信息元素。同时,解析关联请求帧和重新关联请求帧,只有在符合当前AP上WAPI的配置条件时才能和该STA进行后续的协商。
三、WAPI 身份鉴别和密钥协商
WAPI鉴别及密钥管理的方式有两种,即基于证书和基于PSK预共享密钥。若采用基于证书的方式,整个过程包括证书鉴别、单播密钥协商与组播密钥通告;若采用预共享密钥的方式,整个过程则为单播密钥协商与组播密钥通告。
四、WAPI 报文封装和加解密
WPI保密基础结构对MAC子层的MPDU进行加、解密处理,但对于WAI协议分组不进行加解密处理。