WAPI与Wi-Fi，请相信中国造

自信锐技术无线控制器3.2版本发布以来， 其中有一条新功能很快引起了大家的关注：全面支持WAPI（支持WAPI个人认证、企业认证）。 期间有很多用户带着对这个功能的好奇咨询到阿信， 为了让大家更加全面的了解WAPI， 了解这个功能的作用， 今天就让我们完完整整地解开关于它的秘密。

那么问题就来了， 什么是WAPI？WAPI和Wi-Fi又是什么关系？WAPI个人、企业认证又是什么？

一、WAPI的由来

首先来给大家解释一下什么是WLAN， 它的全称是Wireless Location Area Network， 中文就是无线局域网络。 之所以要首先解释这一个参数， 是因为WLAN并不是一种具体的网络标准， 而是一种网络类型， 我们平时在咖啡厅、公司、自己家里使用的无线网络都属于WLAN， WLAN是比Wi-Fi还有WAPI更高一个层级的术语。 可以这样简单的说， WLAN是Wi-Fi和WAPI所属的范畴， Wi-Fi和WAPI是WLAN的两种不同的网络标准。

WAPI（WLAN Authenticationand Privacy Infrastructure）， 即无线局域网鉴别与保密基础结构， 它是针对IEEE802.11中WEP协议安全问题， 经多方参加， 反复论证， 充分考虑各种应用模式， 在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。

WAPI是中国自主研发的， 拥有自主知识产权的无线局域网安全技术标准。 WAPI 同时也是中国无线局域网强制性标准中的安全机制， 相比Wi-Fi， WAPI可以使笔记本电脑以及其他终端产品更加安全。

二、WAPI与Wi-Fi的不同及优势

IEEE802.11

IEEE802.11i

WAPI

认证

特征

＊对客户机硬件认证

＊单向认证

＊无线用户和RADIUS服务器的认证

＊双向认证

＊无线用户身份通常为用户名和口令

＊无线用户和无线接入点的认证

＊双向认证

＊身份凭证为公钥数字证书

性能

＊认证简单

＊认证过程复杂

＊RADIUS服务器不易扩充

＊认证过程简单

＊客户端可以支持多证书， 方便用户多处使用， 充分保证其漫游功能

＊认证服务器单元易于扩充， 支持用户的异地接入

安全漏洞

＊认证易于伪造

＊降低了总安全性

＊用户身份凭证简单， 易被盗取， 且被盗取后可任意使用

＊共享密钥管理存在安全隐患

无

算法

＊开入式系统认证

＊共享密钥认证

未确定

192/224/256/位的椭圆曲线签名算法

安全强度

低

较高

最高

扩展性

低

低

高

加密

算法

64位的WEP流加密

＊128位的WEP流加密

＊128位的AES流加密

认证的分组加密

密钥

静态

动态（基于用户、基于认证、通信过程中动态更新）

动态（基于用户、基于认证、通信过程中动态更新）

安全强度

低

高

最高

中国法规

不符合

不符合

符合

相比之下，

WAPI是双向的、动态的、简单易行而且管理集中， 比Wi-Fi更加安全！

WAPI具有的相对优势：

●  双向身份鉴别

在WAPI安全体制下， 无线客户端和WLAN设备二者处于对等的地位， 二者身份的相互鉴别在公信的鉴别服务器控制下实现。 双向鉴别机制既可以防止假冒的无线客户端接入WLAN网络， 又可以杜绝假冒的WLAN设备伪装成合法的设备。 而且其他的安全机制下， 只能够实现WLAN设备对无线客户端的单向鉴别， 缺乏有效的WLAN设备身份的鉴别手段。

●  数字证书身份凭证

WAPI协议强制使用数字证书作为WLAN设备和无线客户端的身份凭证， 既方便了安全管理， 有可以提升安全性。 对于无线客户端申请或者取消入网， 管理员只需要颁发新的证书或者取消当前证书即可。 这些操作均可以在证书服务器上完成， 管理非常方便。 其他安全机制没有强制要求用户使用数字证书， 当使用用户名和密码作为用户的身份凭证时， 用于用户身份凭证简单， 容易被盗取或冒用。

●  完善的鉴别协议

在WAPI中使用数字证书作为用户身份凭证， 在鉴别过程中采用椭圆曲线签名算法， 并使用安全的消息杂凑算法保障消息的完整性， 攻击者难以对进行鉴别的信息进行修改和伪造， 所以安全等级高。 在其他安全体制中鉴别协议本身存在一定缺陷， 鉴别成功信息的完整性校验不够安全， 鉴别消息容易被篡改或伪造。

三、WAPI如何应用

WAPI个人认证

WAPI个人认证类似于PSK认证， 只需要配置接入密钥， 用户登陆界面输入帐号密码即可上网， 认证界面可参考PSK认证。

WAPI企业认证

WAPI企业认证不同于个人认证， 需要从控制器后台为服务器配置双向证书（服务器AS证书、AP证书）和AS服务器。

相比于Wi-Fi， WAPI有其绝对的优势所在， 不过相比Wi-Fi应用到大众的生活中的时间较短， 其兼容性还没有绝对的完善。 对于PC端一般还不支持， 不过只要安装相应插件即可， 对于终端基本都支持（包括iPhone）。 信锐技术作为企业级无线的领军厂商， 一直积极迎合最前沿的无线网络技术， 竭力为企业建设最安全、最稳定、最流畅的无线网络环境。