WAPI(WLAN Authentication and Privacy Infrastructure,无线鉴别和保密基础结构)
- 为了解决WEP中的安全漏洞,2003 年,由中国宽带无线IP 标准工作组所制订了无线局域网国家标准,即WAPI协议。
- WAPI 采用了SM4分组密码算法,ECDSA椭圆曲线数字签名算法以及ECDH密钥交换算法,根据不同的情况,也可以使用AES来替代SM4。
- WAPI 由WAI(WLAN authentication infrastructure,无线局域网鉴别基础结构)和WPI(WLAN privacy infrastructure,无线局域网保密基础结构)两部分组成。
WAI:WLAN中 身份鉴别和密钥协商管理的安全方案;采用公开密钥密码体制,利用公钥证书对STA和AP进行认证。
WPI:WLAN中 数据传输加密保护的安全方案;采用对称密码算法实现对MAC层MSDU的加解密。
WAPI 身份鉴别
WAPI 双向认证
- WAPI通过双向认证,保证传输的安全性。
- 鉴权服务器AS(Authentication Service)负责证书的颁发、验证与吊销等,STA与AP上都安装有AS颁发的公钥证书,作为自己的数字身份凭证。
- 当STA连接AP时,在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果,持有合法证书的STA才能接入持有合法证书的AP。