WAPI

中国制定的WLAN安全标准WAPI

针对WLAN安全问题，中国制定了自己的WLAN安全标准：WAPI。

与其他无线局域网安全机制（如802.11i）相比，WAPI主要的差别体现在以下几个方面：

• 双向身份鉴别

在WAPI安全体制下，无线客户端和WLAN设备二者处于对等地位，二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可防止假冒的无线客户端接入WLAN网络，同时也可杜绝假冒的WLAN设备伪装成合法的设备。而在其它安全体制下，只能实现WLAN设备对无线客户端的单向鉴别，缺乏有效的WLAN设备身份鉴别手段。

• 数字证书身份凭证

WAPI 强制使用数字证书作为无线客户端和WLAN设备的身份凭证。

WAPI基本架构上和802.11i采用的AAA架构类似，也包括了三个实体，即鉴别请求者系统（WLAN终端）、鉴别器系统（WLAN设备）和鉴别服务系统。

图2：WAPI协议基本过程

详细的协议过程，请参考作者的另一篇文章：《基于痩AP架构实现WAPI》

整个WAPI协议过程主要包括两个阶段：

• WLAN终端和WLAN设备把各自证书发给鉴别服务器，后者负责判断证书的合法性；

• WLAN终端和WLAN设备通过报文交互，完成相互的身份认证和密钥协商；

WAPI一直致力于标准的国际化，但是一直遭遇很大的阻力。在搁浅5年之后的2009年，我国提出的无线局域网安全技术标准WAPI有望获国际认可，晋升国际标准。日前，WAPI产业联盟宣布，WAPI已获得国际标准组织ISO/IECJTC1/SC6的提案邀请，将作为独立标准重新进入国际标准流程。此外，工信部已经明确：只要支持WAPI，具有WiFi功能的手机就可以获得入网许可。总的看来，WAPI产业当前已经得到了很好的标准和政策支持。

为了推动WAPI的实际应用，H3C提出了WAPI Over EAP的WAPI部署方案，实现了WAPI和电信现有的Radius系统进行了很好地融合，节省了用户单独部署鉴别服务器的成本，简化了管理，实现了802.11i和WAPI用户的统一认证管理。