WAPI(WLANAuthenticationandPrivacyInfrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,经多方参加,反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时,本方案已由ISO/IEC授权的机构IEEERegistrationAuthority(IEEE注册权威机构)审查并获得认可,分配了用于WAPI协议的以太类型字段,这也是我国目前在该领域惟一获得批准的协议。
表1:WEP与WAPI对比表
| WEP | WAPI | ||
| 认证 | 认证方法 | 单向认证 | 双向认证 |
| 认证简单共享密钥认证 | 认证过程简单;无线用户与无线接入点地位对等,实现无线接入点接入控制和安全性保证;客户端支持证书其漫游功能 | ||
| 安全漏洞 | 鉴别易于伪造降低了总安全性 | 无 | |
| 加密 | 密码 | 静态 | 基于用户,鉴别,通信过程种动态更新 |
| 安全强度 | 低 | 高 | |
| 国家标准与法规 | 不符合 | 符合 | |
WAPI的特点:
——采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。
——用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展。
——支持Windows98/2K/XP、Linux等操作系统。
——提供与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。
——满足家庭、企业、运营商等多种应用模式。
——在不同场合,应用形式相同,使用方便,用户易接受。
表2:WAPI和802.1x的对比
| 项目 | WAPI | 802.1x |
| 认证机制(MT和AP) | 双向认证 | 单项认证 |
| 密钥管理 | 全集中 | AP和RADIUS手工共享密钥 |
| MT漫游 | 支持 | 支持 |
| 认证对象 | 用户 | 用户 |
| 构建和扩展易用性 | 好 | 差 |
| 设计对象 | WLAN | 802协议网络 |
| 认证协议完整性 | 完善,强度高 | 协议存在缺陷 |
| 会话密钥协商 | 效率高 | 效率低 |
| 是否通过安全审查 | 通过 | 未通过 |
