WAPI(Wireless Authentication Privacy Infrastructure),無線驗證與保密結構,壹般讀作(WAIPI)。
是壹種應用於WLAN系統的安全性協議。
WAPI安全系統采用公鑰密碼技術,鑒別服務器AS負責證書的頒發、驗證與吊銷等,無線客戶端即移動終端與無線接入點AP上都安裝有AS頒發的公鑰證書,作為自己的數字身份憑證。
當移動終端MT登錄至無線接入點AP時,在使用或訪問網絡之前必須通過鑒別服務器AS對雙方進行身份驗證。
根據驗證的結果,持有合法證書的移動終端MT才能接入持有合法證書的無線接入點AP,也就是說才能通過AP訪問網絡。
這樣不僅可以防止非法移動終端MT接入AP而訪問網絡並占用網絡資源,而且還可以防止移動終端MT登錄至非法AP而造成信息泄漏。
無線局域網鑒別與保密基礎結構(WAPI)系統中包含以下部分: WAI鑒別及密鑰管理 WPI數據傳輸保護WAPI和802.11i的對比WEPWAPIIEEE 802.11i鑒別鑒別機制單向鑒別(AP鑒別MT)雙向鑒別(AP和MT通過AS實現相互的身份鑒別)單向和雙向鑒別(MT和Radius之間),MT不能夠鑒別AP的合法性鑒別方法開放式系統鑒別(或***享密鑰鑒別)鑒別過程簡單易行; 身份憑證為公鑰數字證書; 無線用戶與無線接入點地位對等,不僅實現無線接入點的接入控制,而且保證無線用戶接入的安全性; 客戶端支持多證書,方便用戶多處使用,充分保證其漫遊功能 鑒別過程較為復雜; 用戶身份通常為用戶名和口令; AP後端的Radius服務器對用戶進行認證; 鑒別對象客戶機用戶用戶密鑰管理無全集中(局域網內統壹由AS管理)AP和Radius服務器之間需手工設置***享密鑰; AP和MT之間只定義了認證體系結構,不同廠商的具體設計可能不兼容; 實現兼容性的成本較高 算法64 bit RC4192位橢圓曲線算法(ECC192)與具體的協議有關安全漏洞鑒別易於偽造未查明用戶身份憑證簡單,易被盜取,且被盜取後可任意使用;:***享密鑰管理存在安全隱患加密密鑰靜態動態(基於用戶、基於鑒別、通信過程中動態更新)動態算法64 bit RC4國密辦批準的分組加密算法(SMS4)128 bit AES和128 bit RC4WAPI的歷史 1992年,中國開始無線局域網研究 1994年,中國第壹臺WLAN樣機,通過部級鑒定 2003年5月,國家強制標準GB 15629.11/1102-2003批準發布 2003年12月,質檢總局、認監委發布公告,宣布對無線局域網產品實施強制性產品認證 2004年3月,美國務卿、商務部長和貿易代表聯名致信,要求中國放棄WAPI標準 2004年4月,國家質檢總局、國家認監委、國家標準委聯合發布公告:2004年6月1日將延期強制實施WAPI標準 2005年11月,發改委等八部委連續召開WAPI部際聯席會議 2005年12月,財政部等三部委聯合 “關於印發無線局域網產品 *** 采購實施意見的通知” 2006年1月,GB15629.11-2003第1號修改單和2項WLAN擴展子項國家強制性標準頒布 2006年6月,質檢總局、國標委聯合發布《關於發布無線局域網國家標準的公告》 2009年4月, 中國工信部召集手機廠商開會,宣布今後國內所有2G和3G手機都可以使用WAPI技術 WAPI的證書體制WAPI為了解決目前無線局域網的安全機制存在的漏洞和隱患,利用基於數字證書的雙向認證,在客戶端(無線網卡)與無線接入點(AP)之間建立壹個相互驗證的方法,雙方都在壹個合理的時間內證明它們的合法性,只有雙向的身份驗證才能使檢測和隔離虛假訪問點與非法客戶端成為可能。
具體來說,基於WAPI協議的WLAN安全網絡由AP、客戶端和認證服務器(AS)三個實體組成,利用公開密碼體系完成客戶端和AP間的雙向認證,認證過程中利用橢圓曲線密碼算法,客戶端和AP間協商出會話密鑰;對通信過程中的數據采用國家密碼主管部門指定的加密算法完成加密,安全性極高。
同時,WAPI還支持在通信過程中在壹定時間間隔後或傳輸了壹定數量的數據包後,更新會話密鑰,這會大大提升數據的安全性。
從應用角度看,采用證書機制,對用戶的管理非常方便。
WAPI提供有線無線壹體化IP數據訪問安全方案,可以在用戶信息系統中提供集中的安全認證和管理方案。
加解密算法WAPI采用國家密碼管理委員會辦公室批準的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法。
WPI無線局域網保密基礎結構(WPI)對MAC子層的MPDU進行加、解密處理,分別用於WLAN設備的數字證書、密鑰協商和傳輸數據的加解密,從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。
WAI無線局域網鑒別基礎結構(WAI)不僅具有更加安全的鑒別機制、更加靈活的密鑰管理技術,而且實現了整個基礎網絡的集中用戶管理。
從而滿足更多用戶和更復雜的安全性要求。
[編輯] WAPI和802.11i的對比WAPI和802.11i的對比項目WEPWAPIIEEE 802.11i鑒別鑒別機制單向鑒別(AP鑒別MT)雙向鑒別(AP和MT通過AS實現相互的身份鑒別)單向和雙向鑒別(MT和Radius之間),MT不能夠鑒別AP的合法性鑒別方法開放式系統鑒別(或***享密鑰鑒別) 鑒別過程簡單易行; 身份憑證為公鑰數字證書; 無線用戶與無線接入點地位對等,不僅實現無線接入點的接入控制,而且保證無線用戶接入的安全性; 客戶端支持多證書,方便用戶多處使用,充分保證其漫遊功能 鑒別過程較為復雜; 用戶身份通常為用戶名和口令; AP後端的Radius服務器對用戶進行認證; 鑒別對象客戶機用戶用戶密鑰管理無全集中(局域網內統壹由AS管理) AP和Radius服務器之間需手工設置***享密鑰; AP和MT之間只定義了認證體系結構,不同廠商的具體設計可能不兼容; 實現兼容性的成本較高 算法64 bit RC4192位橢圓曲線算法(ECC192)與具體的協議有關安全漏洞鑒別易於偽造未查明用戶身份憑證簡單,易被盜取,且被盜取後可任意使用;:***享密鑰管理存在安全隱患加密密鑰靜態動態(基於用戶、基於鑒別、通信過程中動態更新)動態算法64 bit RC4國密辦批準的分組加密算法(SMS4)128 bit AES和128 bit RC4[編輯] WAPI的標準化情況[編輯] GB15629.11 基於WAPI創新,中國於2003年5月頒布了基於WAPI安全協議的無線局域網基礎性國家標準GB15629.11-2003《無線局域網媒體訪問控制和物理層規範》和擴展子項標準GB 15629.1102-2003《無線局域網媒體訪問控制和物理層規範:2.4GHz頻段較高速物理層擴展規範》;WAPI以其技術先進性獲2005年國家技術發明獎二等獎、獲2005年第九屆聯合國世界知識產權組織和國家知識產權局聯合頒發的中國發明專利金獎。
2006年1月,國家質檢總局頒布了無線局域網修改單GB 15629.11-2003/XG1-2006及其擴展子項國家標準GB 15629.1101-2006《無線局域網媒體訪問控制和物理層規範:5.8GHz頻段高速物理層擴展規範》、GB15629.1104-2006《無線局域網媒體訪問控制和物理層規範:2.4GHz頻段更高數據速率擴展規範》、GB/T 15629.1103-2006《無線局域網媒體訪問控制和物理層規範:附加管理域操作規範》等三項補篇國家標準,形成了全面采用WAPI技術的WLAN國家標準體系。
WAPI的產業化情況 WAPI產業聯盟簡介WAPI產業聯盟成立於2006年3月7日截止到2008年9月10日,WAPI正式的成員有41家,包括:中國電信集團公司 中國聯合通信有限公司 中國網絡通信集團公司 中國移動通信集團公司 大唐移動通信設備有限公司 華為技術有限公司 聯想(北京)有限公司 北大方正集團有限公司 青島海爾科技有限公司 海信集團有限公司 中太數據通信(深圳)有限公司 廣州傑賽科技股份有限公司 廣州新郵通信設備有限公司 深圳市明華澳漢科技股份有限公司 深圳市普天宜通科技有限公司 深圳國人通信有限公司 深圳市鑫金浪電子有限公司 深圳市***進電子有限公司 北京五龍電信技術公司 深圳市宇龍通信有限公司 西電捷通無線網絡通信有限公司 北京中電華大電子設計有限責任公司 北京朗波芯微技術有限公司 北京六合萬通微電子技術有限公司 北京天壹集成科技有限公司 北京聯信永益科技有限公司 北京漢銘信通科技有限公司 北京華安廣通科技發展有限公司 西安大唐電信有限公司 大唐微電子技術有限公司 上海鼎芯科技有限公司 上海華曼信息技術有限公司 東藍數碼有限公司 美國安移通網絡公司北京代表處 國家密碼管理局商用密碼研究中心 國家無線電監測中心 北京同耀通電科技有限公司 北京登合科技有限公司 上海潤欣科技有限公司 弘浩明傳科技(北京)有限公司 WAPI相關產品 相關產品包含了WLAN端到端的產品,包括AP、AS、以及終端、無線網卡等。
WAPI的應用情況 2008年北京奧運會比賽期間每天有近千名在線用戶在場館、酒店、住所等地通過WAPI網絡上網,網絡運行穩定。
中國移動、中國電信等運營商已將WAPI國家標準的相關要求納入WLAN企業標準中,並表示將積極采用自主創新技術,全力推動WAPI標準完善、產品成熟及商業應用。
在目前的中國三大電信運營商WLAN招標過程中,均明確要求支持WAPI標準。
2009年4月17日,工信部召集手機廠商開會,宣布今後國內所有2G和3G手機都可以使用WAPI技術。