WAPI（WLAN Authentication and Privacy Infrastructure）

WAPI（WLAN Authentication and Privacy Infrastructure）是中国无线局域网安全强制性标准，它采用了国家密码管理委员会办公室批准的密码算法，以实现高效且安全的数据传输。

WAPI采用的密码算法

• 公开密钥体制的椭圆曲线密码算法：该算法用于无线设备的数字证书、证书鉴别等，确保设备的身份鉴别和链路验证。它利用公钥证书对WLAN系统中的STA（无线终端）和AP（无线接入点）进行认证，从而实现设备的身份鉴别。
• 秘密密钥体制的分组密码算法：该算法用于传输数据的加解密，实现用户信息的加密保护。它采用对称密码算法对MAC层MSDU（MAC Service Data Unit）进行加、解密操作，确保用户信息在无线传输状态下的安全性。

WAPI的应用模式

WAPI从应用模式上分为单点式和集中式两种：

• 单点式：适用于小型网络或特定场景，其中鉴别服务器（AS）可能直接驻留在AP或某个特定设备中。
• 集中式：适用于大型网络或需要集中管理的场景，其中鉴别服务器（AS）作为独立的实体，负责多个AP和STA的证书管理和身份鉴别。

WAPI与WIFI的加密认证对比

与WIFI的单向加密认证不同，WAPI采用双向认证机制，即STA和AP在接入网络前都需要通过鉴别服务器（AS）进行身份验证。这种双向认证机制确保了传输的安全性，防止了非法设备的接入和信息的泄露。

WAPI的组成部分

WAPI主要包括两部分：WAI（WLAN Authentication Infrastructure）和WPI（WLAN Privacy Infrastructure）。

• WAI：无线局域网鉴别基础结构，采用公开密钥密码体制，利用公钥证书对WLAN系统中的STA和AP进行认证，实现用户身份的鉴别和安全策略的发现与协商、鉴别及密钥管理。
• WPI：无线局域网保密基础结构，采用对称密码算法对传输的业务数据进行加密，实现对MAC层MSDU的加、解密操作，确保用户信息在无线传输状态下的加密保护。

WAPI鉴别及密钥管理的方式

WAPI鉴别及密钥管理的方式有两种：基于证书和基于预共享密钥PSK。

• 基于证书的方式：若采用基于证书的方式，整个过程包括证书鉴别、单播密钥协商与组播密钥通告。在这个过程中，鉴别服务器（AS）会对STA和AP的证书进行验证，以确保其合法性和有效性。然后，AS会生成一对会话密钥（包括加密密钥和完整性校验密钥），用于后续的数据传输加密和完整性校验。
• 基于预共享密钥PSK的方式：若采用预共享密钥的方式，整个过程则为单播密钥协商与组播密钥通告。在这种方式下，STA和AP需要预先配置相同的预共享密钥（PSK）。当STA需要接入WLAN时，它会向AP发送包含PSK的认证请求。AP会对STA发送的PSK进行验证，以确保其正确性和合法性。如果PSK验证通过，AP会生成一对会话密钥（包括加密密钥和完整性校验密钥），用于后续的数据传输加密和完整性校验。

综上所述，WAPI通过采用先进的密码算法和双向认证机制，实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。同时，其灵活的应用模式和多种鉴别及密钥管理方式也满足了不同场景下的安全需求。