3) WAPI安全协议
针对无线局域网协议中存在的安全问题,我国在2003提出了WLAN国家标准,即无线鉴别和保密基础结构(WLAN Authentica【ion and Privacy Infrastructure,WAPI)。WAPI采用数字证书和椭圆曲线公开密钥体制,可以实现客户端和接人点的双向认证,对WLAN系统提供全面的保护。
WAPI由无线局域网认证基础设施(WLAN Authentic,ationInfrastructure,WAI)和无线局域网保密基础结构( WLAN Privacy Infrastruc,ture,WPI)两部分组成,分别实现对用户身份的鉴别和对传输的数据的加密,其中WPI的加密算法由国家密码管理局指定。
WAI实现对通信双方身份的鉴别,是实现WAPI的基础。WAI采用公开密钥加密体制, 利用证书对客户端和接人点进行认证。和IEEE 802.1X类似,WAI也定义了三类实体:鉴别器实体、鉴别请求者实体、鉴别服务器实体,功能也和IEEE 802.lX -致。鉴权服务器AS即对应鉴别服务器实体,负责公钥证书的颁发、验证与吊销等,无线客户端STA和无线接人点AP分别对应鉴别请求者实体和鉴别器实体,两者都需安装AS颁发的公钥证书,作为自己的
数字身份凭证。当无线客户端登录至无线接人点AP时,在访问网络之前必须通过鉴权服务器AS对双方进行身份验证。根据验证的结果,持有合法证书的移动终端才禽旨接人持有合法证书的无线接人点AP。
整个WAI过程包括证书鉴别和会话密钥协商,过程如下图所示:
WPI负责对MAC子层的MPDU进行加、解密处理,分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密,从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
WAPI与WEP、802.11i在鉴别和加密方面的安全特性比较见下表所示。