夏元軼

WAPI的安全性雖然獲得了包括美國在內(nèi)的國際上的認可，但是一直都受到WIFI聯(lián)盟商業(yè)上的封鎖，一是宣稱技術被中國掌握不安全，所謂的中國威脅論；二是宣稱與現(xiàn)有WIFI設備不兼容。實際上無線設備是可以同時支持WIFI和WAPI的標準的，只需要軟件上添加WAPI證書就可以了，不存在硬件成本或者所謂的分裂整個無線世界的問題，與WIFI的單向加密認證不同，WAPI雙向均認證，從而保證傳輸?shù)陌踩?。雖然WAPI一直受到商業(yè)上的封鎖，但WAPI的安全特性已經(jīng)得到了國際上的認可，下邊我們就來探討下WAPI的安全優(yōu)勢。

【關鍵詞】WAPI 無線認證 電力行業(yè) 應用

1 WAPI簡介

WAPI （（Wireless LAN Authentication and Privacy Infrastructure）無線局域網(wǎng)鑒別和保密基礎結構，是一種安全協(xié)議，同時也是中國無線局域網(wǎng)安全強制性標準。WAPI 像紅外線、藍牙、GPRS、CDMA1X等協(xié)議一樣，是無線傳輸協(xié)議的一種，只不過跟它們不同的是它是無線局域網(wǎng)（WLAN）中的一種傳輸協(xié)議而已，它與802.11傳輸協(xié)議是同一領域的技術。由無線局域網(wǎng)鑒別基礎結構WAI（WLAN Authentication Infrastructure）和無線局域網(wǎng)保密基礎結構WPI（WLAN Privacy Infrastructure）組成。其中，WAI采用基于橢圓曲線的公鑰證書體制，無線客戶端STA和接入點AP通過鑒別服務器AS進行雙向身份鑒別。而在對傳輸數(shù)據(jù)的保密方面，WPI采用了國家商用密碼管理委員會辦公室提供的對稱密碼算法進行加密和解密，充分保障了數(shù)據(jù)傳輸?shù)陌踩?/p>

2 AS服務器簡介

AS服務器是WAPI的鑒權服務器，負責配合WAPI認證加密。WAPI的公鑰密碼就是由鑒權服務器AS下發(fā)的，同時AS服務器也負責證書的頒發(fā)、驗證與吊銷等。

我們使用的無線客戶端與無線接入點AP上都安裝有AS頒發(fā)的公鑰證書，作為自己的數(shù)字身份憑證。當無線客戶端登錄至無線接入點AP時，在訪問網(wǎng)絡之前必須通過鑒別服務器AS頒布的證書對雙方進行身份驗證。根據(jù)驗證的結果，持有合法證書的移動終端才能接入持有合法證書的無線接入點AP。

3 WAPI的認證

WAPI認證分為個人認證和企業(yè)認證，WAPI個人認證類似于PSK認證，只需要配置接入密鑰，用戶登陸界面輸入帳號密碼即可上網(wǎng)，認證界面可參考PSK認證。

WAPI企業(yè)認證不同于個人認證，需要從控制器后臺為服務器配置雙向證書（服務器AS證書、AP證書）和AS服務器。我們的無線控制器不能夠頒發(fā)WAPI證書，需要購買WAPI的服務器，所以wapi證書的頒發(fā)不能使用我們的無線網(wǎng)絡自動配置工具，與CA內(nèi)置證書不一樣。

注明：圖1中AP泛指提供WLAN接入服務的設備，既可以是獨立應用的FAT AP，也可以是無線控制器與FIT AP的組合實體。

（1）無線客戶端（STA）首先和WLAN設備（AP）進行802.11鏈路協(xié)商；

（2）WLAN設備觸發(fā)對無線客戶端的鑒別處理；

（3）鑒別服務器進行證書鑒別完成身份認證；

（4）無線客戶端和WLAN設備進行密鑰協(xié)商；

（5）WLAN設備根據(jù)鑒別結果允許無線客戶端訪問網(wǎng)絡。

完整的WAPI鑒別協(xié)議交互過程如圖2所示。

4 WIFI和WAPI有什么區(qū)別

首先第一點區(qū)別在于，兩者的締造者不一樣。WIFI是又國外制定的一個協(xié)議，而WAPI是由中國制定的，這一點上比較類似于目前移動所支持TD-SCDMA制式3G網(wǎng)絡一樣，只不過WAPI和TD-SCDMA相比，WAPI原沒有TD在國際上的認可程度高。

第二點區(qū)別是兩者最本質的不同，就是WIFI和WAPI在加密的算法上不一樣，使用過無線路由器和網(wǎng)卡的朋友都知道，無線路由器和網(wǎng)卡都有很多的加密形式，這樣的加密可以提高網(wǎng)絡的安全性。關于第二點這其中設計的具體原理太過于專業(yè)了，我們所需要知道的就是，WAPI和WIFI在大部分方面其實都是一樣，最大的不同就是WAPI使用了更高級的加密形式，類似于WIFI的局部升級版。

5 結論

WAPI雖然號稱具有相比WIFI更高級的機密方式，但是WAPI在國內(nèi)和國外都遭到了冷遇。在國內(nèi)和國外，不管是中立機構還是運營商或者用戶，都更認可WIFI，在大部分人的意識中WIFI就是無線網(wǎng)絡的代名詞。而且隨著WIFI協(xié)議的不斷更新，其目前的加密安全性也并不低，這就更加凸顯了WAPI目前尷尬的地位。

目前WAPI想通過“市場擴張從而培育標準競爭力”這樣一種手段來提高自身在國際上的認可程度，即是在國內(nèi)實行“WIFI捆綁WAPI”的方式來推廣，這樣的方式對于WAPI的推廣目前看來并未取得多大的成功，而且這看似也不是一種公平的競爭。如果WAPI真的想要能夠被普及，想要提高自身的認可程度，應該做的是建立一個讓參與者都能受益的平臺，而不是強制性的硬推，只有這樣，才是真正能提高自己競爭實力的方法。

作者單位

國網(wǎng)江蘇省電力公司信息通信分公司 江蘇省南京市 210024