作业：传播技术之wapi.docVIP

wapi 一 概念: WAPI英文全拼为Wireless LAN Authentication and Privacy Infrastructure，即无线局域网鉴别和必威体育官网网址基础结构，它是一种安全协议同时也是中国无线局域网安全强制性标准。经多方参加，反复论证，充分考虑各种应用模式，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时，本方案已由ISO/IEC授权的机构IEEE Registration Authority（IEEE注册权威机构）审查并获得认可，分配了用于WAPI协议的以太类型字段，这也是中国目前在该领域惟一获得批准的协议。 二 wapi技术内容： WAPI安全系统采用公钥密码技术，鉴权服务器AS(AS = Authentication Server，鉴别服务器)负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP（AP，Access Point）上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时，在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果，持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。 　WAPI系统中包含以下部分： 　　1、WAI鉴别及密钥管理——无线局域网鉴别基础结构（WAI）不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术，而且实现了整个基础网络的集中用户管理，从而满足更多用户和更复杂的安全性要求。 　　2、WPI数据传输保护——无线局域网必威体育官网网址基础结构（WPI）对MAC(Media Access Control, 介质访问控制)子层的MPDU（MAC Protocol Data Unit -- MAC协议数据单元）进行加、解密处理，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 三 wapi认证体制：I 基于WAPI协议的WLAN安全网络由AP、客户端和认证服务器（AS）三个实体组成，利用公开密码体系完成客户端和AP间的双向认证。认证过程中利用椭圆曲线密码算法，客户端和AP间协商出会话密钥；对通信过程中的数据采用国家密码主管部门指定的加密算法完成加密。同时，WAPI还支持在通信过程中在一定时间间隔后或传输了一定数量的数据包后，更新会话密钥。 如图WAPI鉴别系统应用拓扑所示，整个鉴别过程包括证书鉴别和密钥协商两部分。 当MT需要访问LAN时，首先要登录至接入点AP，建立链路连接； MT登录至AP后，AP向MT发送鉴别通知帧，启动整个鉴别过程； MT向AP发起接入鉴别请求，把用户证书发到AP；AP把MT证书和AP证书以及AP对他们的签名发往AS；AS验证AP签名后验证AP和MT证书的合法性，分别给出AP和MT证书的鉴别结果，对该结果信息签名后发送给AP；AP把AS的鉴别结果发给MT,AP和MT分别验证AS的签名后，得到相互的证书鉴别结果；如果证书鉴别成功，则AP和MT还需要验证对方的私钥，以确认他们是证书的合法持有者。在私钥验证的同时，进行会话密钥的协商。 AP和MT协商用于数据必威体育官网网址通信的密钥。 AP和MT根据鉴别结果控制网络的访问。如果鉴别成功，MT可访问网络。 四 Wapi与wifi的比较 项目WAPIIEEE 802.11i（WIFI标准）鉴别鉴别机制双向鉴别（AP和MT通过AS实现相互的身份鉴别）单向和双向鉴别（MT和Radius之间），MT不能够鉴别AP的合法性鉴别方法鉴别过程简单易行；身份凭证为公钥数字证书；无线用户与无线接入点地位对等，不仅实现无线接入点的接入控制，而且保证无线用户接入的安全性；客户端支持多证书，方便用户多处使用，充分保证其漫游功能鉴别过程较为复杂；用户身份通常为用户名和口令；AP后端的Radius HYPERLINK /view/899.htm \t _blank 服务器对用户进行认证；鉴别对象用户用户密钥管理全集中（局域网内统一由AS管理）AP和Radius服务器之间需手工设置共享密钥；AP和MT之间只定义了认证体系结构，不同厂商的具体设计可能不兼容；实现兼容性的成本较高安全漏洞未查明用户身份凭证简单，易被盗取，且被盗取后可任意使用；：共享密钥管理存在安全隐患加密密钥动态（基于用户、基于鉴别、通信过程中动态更新）动态算法国密办批准的分组加密算法（SMS4）128 bit AES和128 bit RC4五 wapi的优势与不足 （一）优点 1 WAPI真正实现双向认证。认证的目的是为了在一个合理的时间内证明对方身份的合法性。WAPI使用双向认证，为移动终端和无线接入点之间建立相互信任关