产品概述

　　WAPI 是 WLAN Authentication and Privacy Infrastructure（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以 802.11 无线协议为基础的无线安全标准。

　　WAPI 协议由以下两部分构成：

　　（1）WAI：是 WLAN Authentication Infrastructure（无线局域网鉴别基础结构）的简称，是用于无线局域网中身份鉴别和密钥管理的安全方案；

　　（2）WPI：是 WLAN Privacy Infrastructure（无线局域网保密基础结构）的简称，是用于无线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。

WAPI系统基本概念

横线.png

（1）AC（Access Controller，接入控制器）：用于对WLAN 中与之关联的FIT AP 进行控制和管理的设备。

（2）AP（Access Point，接入点）：是指任何一个能顺利获得无线介质为无线终端给予分布式访问服务的实体。

（3）AS（Authentication Server，鉴别服务器）：用于对用户和设备证书进行身份鉴别等，是基于公钥密码技术的WAI 中重要的组成部分。

（4）BK（Base Key，基密钥）：用于导出单播会话密钥，由证书鉴别过程协商得到或者由预共享密钥导出。

（5）FAT AP（FAT Access Point，胖 AP）：传统 AP，除了给予基本的无线连接功能外，还能给予安全、管理和性能增强功能。FAT AP 不能与 AC 关联使用。

（5）FIT AP（FIT Access Point，瘦 AP）：区别于传统的FAT AP，只给予可靠、高性能的无线连接功能，而剥离了其它功能。FIT AP 必须与 AC 关联使用，本文中的 AP 均指FIT AP。

（6）MSK（Multicast Session Key，组播会话密钥）：用于保护站点发送的组播 MPDU 的随机值，由组播主密钥导出，包括组播加密密钥和组播完整性校验密钥。

（7）PSK（Preshared Key，预共享密钥）：是发布给 STA 的静态密钥。

（8）STA（Station，站点）：即无线终端，本文中是指带有支持WAPI 协议无线网卡的 PC、便携式笔记本电脑等无线终端。

（9）USK（Unicast Session Key，单播会话密钥）：是由 BK 顺利获得伪随机函数导出的随机值，分为四个部分：单播加密密钥、单播完整性校验密钥、消息鉴别密钥和密钥加密密钥。

（10）WAPI user（WAPI 用户）：是指使用WAPI 安全模式进行认证的用户，系统所支持的最大WAPI 用户数量为 1024 个。本文中也称为STA。

WAPI 的工作过程

横线.png

电力可信WAPI系统

　　在一个采用了WAPI安全关联机制的WLAN中，当STA需要访问该WLAN时，顺利获得被动侦听AP的信标（Beacon）帧或主动发送探询帧（主动探询）以识别AP所采用的安全策略：

　　（1）若 AP 采用证书鉴别方式，AP 将发送鉴别激活分组启动证书鉴别过程，当证书鉴别过程成功结束后，AP 和STA 再进行单播密钥协商和组播密钥通告；

　　（2）若 AP 采用预共享密钥鉴别方式，AP 将与 STA 直接进行单播密钥协商和组播密钥通告。

WAPI系统典型组网

横线.png

电力可信WAPI系统

　　在一个典型的WAPI系统中， WAPI用户顺利获得AP接入有线IP网络。第一时间，WAPI用户与AP进行 802.11 链路协商，之后AP为该用户触发WAI鉴别过程，配合AS完成与用户的双向认证。当认证顺利获得后，AP会发起对该用户的密钥协商，并使用协商出的密钥顺利获得WPI向该WAPI用户给予加、解密服务。

WAPI证书鉴别方式

横线.png

　　数字证书是一种经 PKI（Public Key Infrastructure，公钥基础设施）证书授权中心签名的、包含公开密钥及用户相关信息的文件，是网络用户的数字身份凭证。WAPI 系统中所使用的用户证书为数字证书，顺利获得 AS 对用户证书进行验证，可以唯一确定 WAPI 用户的身份及其合法性。

　　证书鉴别是基于STA和AP双方的证书所进行的鉴别。鉴别前STA和AP必须预先拥有各自的证书，然后顺利获得AS对双方的身份进行鉴别，根据双方产生的临时公钥和临时私钥生成BK，并为随后的单播密钥协商和组播密钥通告实行准备。

WAPI预共享密钥鉴别方式

横线.png

　　预共享密钥鉴别是基于 STA 和AP 双方的密钥所进行的鉴别。鉴别前 STA 和 AP 必须预先配置有相同的密钥，即预共享密钥。鉴别时直接将预共享密钥转换为 BK，然后进行单播密钥协商和组播密钥通告。

WAPI 的密钥管理

横线.png

　　STA 与 AP 之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护；AP 利用自己通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对其发送的广播/组播数据进行保护，而 STA 则采用 AP 通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对收到的广播/组播数据进行解密。