3) WAPI安全協議

針對無線局域網協議中存在的安全問題，我國在2003提出了WLAN國家標準，即無線鑒別和保密基礎結構（WLAN Authentica【ion and Privacy Infrastructure，WAPI）。WAPI采用數字證書和橢圓曲線公開密鑰體制，可以實現客戶端和接人點的雙向認證，對WLAN系統提供全面的保護。

WAPI由無線局域網認證基礎設施（WLAN Authentic,ationInfrastructure，WAI）和無線局域網保密基礎結構( WLAN Privacy Infrastruc,ture，WPI)兩部分組成，分別實現對用戶身份的鑒別和對傳輸的數據的加密，其中WPI的加密算法由國家密碼管理局指定。

WAI實現對通信雙方身份的鑒別，是實現WAPI的基礎。WAI采用公開密鑰加密體制， 利用證書對客戶端和接人點進行認證。和IEEE 802.1X類似，WAI也定義了三類實體：鑒別器實體、鑒別請求者實體、鑒別服務器實體，功能也和IEEE 802.lX -致。鑒權服務器AS即對應鑒別服務器實體，負責公鑰證書的頒發、驗證與吊銷等，無線客戶端STA和無線接人點AP分別對應鑒別請求者實體和鑒別器實體，兩者都需安裝AS頒發的公鑰證書，作為自己的

數字身份憑證。當無線客戶端登錄至無線接人點AP時，在訪問網絡之前必須通過鑒權服務器AS對雙方進行身份驗證。根據驗證的結果，持有合法證書的移動終端才禽旨接人持有合法證書的無線接人點AP。

整個WAI過程包括證書鑒別和會話密鑰協商，過程如下圖所示：

　　WPI負責對MAC子層的MPDU進行加、解密處理，分別用于WLAN設備的數字證書、密鑰協商和傳輸數據的加解密，從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。

WAPI與WEP、802.11i在鑒別和加密方面的安全特性比較見下表所示。