WAPI無(wú)線認(rèn)證在電力行業(yè)的應(yīng)用

夏元軼

WAPI的安全性雖然獲得了包括美國(guó)在內(nèi)的國(guó)際上的認(rèn)可，但是一直都受到WIFI聯(lián)盟商業(yè)上的封鎖，一是宣稱技術(shù)被中國(guó)掌握不安全，所謂的中國(guó)威脅論；二是宣稱與現(xiàn)有WIFI設(shè)備不兼容。實(shí)際上無(wú)線設(shè)備是可以同時(shí)支持WIFI和WAPI的標(biāo)準(zhǔn)的，只需要軟件上添加WAPI證書就可以了，不存在硬件成本或者所謂的分裂整個(gè)無(wú)線世界的問題，與WIFI的單向加密認(rèn)證不同，WAPI雙向均認(rèn)證，從而保證傳輸?shù)陌踩?。雖然WAPI一直受到商業(yè)上的封鎖，但WAPI的安全特性已經(jīng)得到了國(guó)際上的認(rèn)可，下邊我們就來(lái)探討下WAPI的安全優(yōu)勢(shì)。

【關(guān)鍵詞】WAPI 無(wú)線認(rèn)證 電力行業(yè) 應(yīng)用

1 WAPI簡(jiǎn)介

WAPI （（Wireless LAN Authentication and Privacy Infrastructure）無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)，是一種安全協(xié)議，同時(shí)也是中國(guó)無(wú)線局域網(wǎng)安全強(qiáng)制性標(biāo)準(zhǔn)。WAPI 像紅外線、藍(lán)牙、GPRS、CDMA1X等協(xié)議一樣，是無(wú)線傳輸協(xié)議的一種，只不過跟它們不同的是它是無(wú)線局域網(wǎng)（WLAN）中的一種傳輸協(xié)議而已，它與802.11傳輸協(xié)議是同一領(lǐng)域的技術(shù)。由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI（WLAN Authentication Infrastructure）和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)WPI（WLAN Privacy Infrastructure）組成。其中，WAI采用基于橢圓曲線的公鑰證書體制，無(wú)線客戶端STA和接入點(diǎn)AP通過鑒別服務(wù)器AS進(jìn)行雙向身份鑒別。而在對(duì)傳輸數(shù)據(jù)的保密方面，WPI采用了國(guó)家商用密碼管理委員會(huì)辦公室提供的對(duì)稱密碼算法進(jìn)行加密和解密，充分保障了數(shù)據(jù)傳輸?shù)陌踩?/p>

2 AS服務(wù)器簡(jiǎn)介

AS服務(wù)器是WAPI的鑒權(quán)服務(wù)器，負(fù)責(zé)配合WAPI認(rèn)證加密。WAPI的公鑰密碼就是由鑒權(quán)服務(wù)器AS下發(fā)的，同時(shí)AS服務(wù)器也負(fù)責(zé)證書的頒發(fā)、驗(yàn)證與吊銷等。

我們使用的無(wú)線客戶端與無(wú)線接入點(diǎn)AP上都安裝有AS頒發(fā)的公鑰證書，作為自己的數(shù)字身份憑證。當(dāng)無(wú)線客戶端登錄至無(wú)線接入點(diǎn)AP時(shí)，在訪問網(wǎng)絡(luò)之前必須通過鑒別服務(wù)器AS頒布的證書對(duì)雙方進(jìn)行身份驗(yàn)證。根據(jù)驗(yàn)證的結(jié)果，持有合法證書的移動(dòng)終端才能接入持有合法證書的無(wú)線接入點(diǎn)AP。

3 WAPI的認(rèn)證

WAPI認(rèn)證分為個(gè)人認(rèn)證和企業(yè)認(rèn)證，WAPI個(gè)人認(rèn)證類似于PSK認(rèn)證，只需要配置接入密鑰，用戶登陸界面輸入帳號(hào)密碼即可上網(wǎng)，認(rèn)證界面可參考PSK認(rèn)證。

WAPI企業(yè)認(rèn)證不同于個(gè)人認(rèn)證，需要從控制器后臺(tái)為服務(wù)器配置雙向證書（服務(wù)器AS證書、AP證書）和AS服務(wù)器。我們的無(wú)線控制器不能夠頒發(fā)WAPI證書，需要購(gòu)買WAPI的服務(wù)器，所以wapi證書的頒發(fā)不能使用我們的無(wú)線網(wǎng)絡(luò)自動(dòng)配置工具，與CA內(nèi)置證書不一樣。

注明：圖1中AP泛指提供WLAN接入服務(wù)的設(shè)備，既可以是獨(dú)立應(yīng)用的FAT AP，也可以是無(wú)線控制器與FIT AP的組合實(shí)體。

（1）無(wú)線客戶端（STA）首先和WLAN設(shè)備（AP）進(jìn)行802.11鏈路協(xié)商；

（2）WLAN設(shè)備觸發(fā)對(duì)無(wú)線客戶端的鑒別處理；

（3）鑒別服務(wù)器進(jìn)行證書鑒別完成身份認(rèn)證；

（4）無(wú)線客戶端和WLAN設(shè)備進(jìn)行密鑰協(xié)商；

（5）WLAN設(shè)備根據(jù)鑒別結(jié)果允許無(wú)線客戶端訪問網(wǎng)絡(luò)。

完整的WAPI鑒別協(xié)議交互過程如圖2所示。

4 WIFI和WAPI有什么區(qū)別

首先第一點(diǎn)區(qū)別在于，兩者的締造者不一樣。WIFI是又國(guó)外制定的一個(gè)協(xié)議，而WAPI是由中國(guó)制定的，這一點(diǎn)上比較類似于目前移動(dòng)所支持TD-SCDMA制式3G網(wǎng)絡(luò)一樣，只不過WAPI和TD-SCDMA相比，WAPI原沒有TD在國(guó)際上的認(rèn)可程度高。

第二點(diǎn)區(qū)別是兩者最本質(zhì)的不同，就是WIFI和WAPI在加密的算法上不一樣，使用過無(wú)線路由器和網(wǎng)卡的朋友都知道，無(wú)線路由器和網(wǎng)卡都有很多的加密形式，這樣的加密可以提高網(wǎng)絡(luò)的安全性。關(guān)于第二點(diǎn)這其中設(shè)計(jì)的具體原理太過于專業(yè)了，我們所需要知道的就是，WAPI和WIFI在大部分方面其實(shí)都是一樣，最大的不同就是WAPI使用了更高級(jí)的加密形式，類似于WIFI的局部升級(jí)版。

5 結(jié)論

WAPI雖然號(hào)稱具有相比WIFI更高級(jí)的機(jī)密方式，但是WAPI在國(guó)內(nèi)和國(guó)外都遭到了冷遇。在國(guó)內(nèi)和國(guó)外，不管是中立機(jī)構(gòu)還是運(yùn)營(yíng)商或者用戶，都更認(rèn)可WIFI，在大部分人的意識(shí)中WIFI就是無(wú)線網(wǎng)絡(luò)的代名詞。而且隨著WIFI協(xié)議的不斷更新，其目前的加密安全性也并不低，這就更加凸顯了WAPI目前尷尬的地位。

目前WAPI想通過“市場(chǎng)擴(kuò)張從而培育標(biāo)準(zhǔn)競(jìng)爭(zhēng)力”這樣一種手段來(lái)提高自身在國(guó)際上的認(rèn)可程度，即是在國(guó)內(nèi)實(shí)行“WIFI捆綁WAPI”的方式來(lái)推廣，這樣的方式對(duì)于WAPI的推廣目前看來(lái)并未取得多大的成功，而且這看似也不是一種公平的競(jìng)爭(zhēng)。如果WAPI真的想要能夠被普及，想要提高自身的認(rèn)可程度，應(yīng)該做的是建立一個(gè)讓參與者都能受益的平臺(tái)，而不是強(qiáng)制性的硬推，只有這樣，才是真正能提高自己競(jìng)爭(zhēng)實(shí)力的方法。

作者單位

國(guó)網(wǎng)江蘇省電力公司信息通信分公司 江蘇省南京市 210024