移动终端WAPI证书快速下载并自动连接解决方案

在全球范围内，无线局域网（Wireless Local Area Networks，简称WLAN）安全标准有两个：一个是IEEE 802.11i安全标准，另一个是我国的无线局域网鉴别与保密基础结构(Wireless LAN Authentication and Privacy Infrastructure，简称WAPI）安全标准。尽管IEEE 802.11i安全技术经历了WEP、WPA、WPA2的演化，每一次都采用安全强度更高的密码算法，以提高安全性。然而，由于其单向认证（接入点缺乏独立身份，接入点认证终端，但终端不认证接入点）架构的缺陷，导致假冒接入点、钓鱼等安全威胁难以解决。相比之下，WAPI采用了更加合理的双向加密认证技术，让WLAN访问的安全性更高。

采用双向认证的WAPI技术，终端和接入端都需要安装身份证书，以确保合法用户接入合法网络。不过，终端连接网络必须安装证书，这让“小白”用户难以操作，证书怎样下载和安装都是问题。为此，西电捷通设计出一套移动终端WAPI证书快速下载并自动连接的解决方案。该方案不但可以帮助移动终端用户快速获得证书、安装证书并自动连接网络，而且还可以为来访者快速分发证书，届时用户和来访者只要手机相互触碰，来访者就可迅速连接到用户的网络，非常方便。

一、移动终端WAPI证书的两种应用场景

移动终端WAPI证书涉及两种应用场景，具体如下：

场景一：用户为自己的移动终端申请安装证书的情况；

场景二：用户为来访者的移动终端申请安装证书并连接到指定网络的情况。

倘若采用传统方式申请安装证书，上述两种应用场景的操作步骤均会十分繁琐，效率低下，传统方式申请安装证书的步骤如下：

1、在电脑终端或移动终端上打开浏览器，连接鉴别服务器AS的证书申请Web页，输入用户名、密码，申请下载证书；

2、将证书文件保存到用户自己的移动终端上（场景一）或拷贝到来访者的移动终端上（场景二）；

3、进入移动终端系统设置界面，打开系统WAPI证书管理界面（需要注意的是，不同的移动终端WAPI证书管理界面的位置不相同。），选择保存在移动终端上的证书文件，进行安装；

4、进入移动终端设置中的WLAN界面，选择安装的证书文件并连接指定的WLAN网络。

显然，以上传统方式操作过程比较繁琐，对于“小白”用户来说，实际操作难度偏大。 移动终端WAPI证书快速下载并自动连接技术方案可以解决“小白”用户的上述难题，简化操作步骤。

二、移动终端WAPI证书快速下载并自动连接方案

图1 移动终端WAPI证书快速下载并自动连接方案的系统结构

移动终端WAPI证书快速下载并自动连接方案所指系统为移动终端系统，主要包括：”WAPI移动终端应用接口”（下文简称：WAPI应用接口）、”证书下载与分发APP”(下文简称：APP)两个部分。如图1所示APP属于移动终端的应用层，属于上层应用，主要作用是接受用户的操作。WAPI应用接口属于系统层，其作用是系统实现，执行用户的操作，比如WAPI证书安装、WAPI网络连接等功能操作。APP是调用WAPI应用接口进行WAPI功能的相关操作。以下我们将分别介绍本方案涉及的WAPI移动终端应用接口和证书下载与分发APP，以及它们之间的关系。

（一）WAPI移动终端应用接口介绍

证书下载与分发APP主要通过调用WAPI移动终端应用接口来完成证书自动安装和网络自动连接。“WAPI移动终端应用接口”是在工业和信息化部宽带无线IP标准工作组和WAPI产业联盟共同组织下，针对移动终端（Android系统）制定的《WAPI应用接口规范-WAPI移动终端应用接口规范》进行定义，目的是希望通过定义统一接口，使各种支持WAPI的设备能够向上层应用提供的统一的WAPI安全功能调用。

接口调用流程：

图2 接口调用流程

WAPI移动终端应用接口分为两类：WAPI证书管理相关接口、WAPI网络配置与连接相关接口。以下分别介绍这两类接口：

1、WAPI证书管理相关接口的定义 WAPI证书管理相关接口包括安装、删除和枚举证书别名列表。值得注意的是，该接口的设计思想是将WAPI证书以“套”为单位进行呈现。例如，安装WAPI证书时，会将颁发者证书和用户证书作为一套证书一起安装，并为该套证书命一个别名。当删除或枚举WAPI证书时，都会以别名为索引进行相关操作。同时，当用户要接入一个WAPI网络时，供用户选择的证书列表中呈现的是证书的别名，体现的仍然是“套”的概念。

证书管理相关接口功能：

表1 证书管理相关接口功能

WAPI证书安装、删除和枚举的接口是按照Android系统的Intent机制而设计。移动终端系统在实现WAPI证书安装、删除和枚举的接口时，需要在系统中预置一个Activity，并定义相关的Intent Action。移动终端APP首先将Intent Action发送给系统中预置的Activity，然后Activity根据Intent Action执行安装、删除或枚举别名列表的动作。当所有第三方应用进行开发时，不需要引入相关开发工具包和类（Java Class），这种接口设计方式也符合Android系统的接口调用的设计思想，开发者使用起来也比较方便。

证书安装、删除和枚举的接口定义：

表2 证书安装、删除和枚举的接口定义

2、WAPI网络配置与连接相关接口的定义

WAPI网络配置与连接相关接口并未新增类，而是通过修改Android系统原本的WLAN网络配置接口（WifiConfiguration类及其子类KeyMgmt）来达到兼容WAPI的目的。

网络配置与连接接口：

表3 网络配置与连接接口

WAPI网络配置与连接接口复用Android系统原本的WLAN网络配置与连接接口，并在此基础上使之满足WAPI应用的需要，使用简单，开发者容易掌握和使用。

（二）APP如何调用WAPI移动终端应用接口完成证书的安装和网络连接

WAPI证书下载分发APP是一个具有证书下载、安装、分发功能的APP, 通过调用WAPI应用接口完成WAPI相关安全功能的使用。

用户使用WAPI证书下载分发APP，不仅可以为自己的移动终端申请安装证书，还可以为来访者的移动终端申请安装证书并连接到指定网络。

1、用户为自己的移动终端申请安装证书

图3 WAPI证书下载安装界面

（1）如图3，在WAPI证书下载界面中输入鉴别服务器AS的用户名、密码等信息，点击获取证书，APP从鉴别服务器AS上为本机下载证书信息，然后保存到APP中；

（2）获取到证书之后，APP会取出内存中证书信息，调用WAPI证书安装接口进行证书的安装，接口返回安装结果。

证书安装的WAPI应用接口调用：

图4 证书安装的WAPI应用接口调用

返回安装结果：

图5 WAPI应用接口调用返回证书安装结果

如图5显示，参数resultCode为接口返回的信息代码: 0(安装失败)；1(安装成功)。 其它证书管理接口调用方式基本和证书安装接口相同。

2、用户为来访者的移动终端申请安装证书并连接到指定网络

图6 WAPI证书分发界面流程

图7 触碰方式分发证书

（1）用户移动终端申请下载证书后，通过NFC（需要移动终端支持NFC功能）将证书信息传递给来访者移动终端(如图7)；

（2）来访者移动终端调用WAPI证书安装接口进行证书的自动安装；

（3）来访者移动终端证书安装成功后，调用WAPI连接接口自动进行网络连接。

网络连接的WAPI应用接口调用：

图8 网络连接的WAPI应用接口调用

三、总结

本方案使WAPI证书的安装、下载、分发变得更加方便、快捷、安全，解决了“小白”用户使用WAPI的问题。在该方案中，WAPI移动终端应用接口为移动终端调用WAPI安全功能提供了接口标准，适用于指导移动终端厂商、移动操作系统提供商以及应用开发商开展移动终端上的WAPI实现和应用的相关工作。