由于802.11協(xié)議標(biāo)準(zhǔn)中定義的WEP安全機(jī)制在數(shù)據(jù)安全性、用戶(hù)key管理等方面存在缺陷，是WLAN大規(guī)模運(yùn)營(yíng)的重大障礙。

中國(guó)在無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11-2003中發(fā)布了WAPI，WAPI主要由WAI(無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))和WPI(無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu))兩部分組成，提出了對(duì)等訪問(wèn)控制的概念，實(shí)現(xiàn)了AE、ASUE和ASE的三元組認(rèn)證。

WAPI用戶(hù)的漫游

因?yàn)閃LAN的用戶(hù)是百萬(wàn)級(jí)的，不可能在全國(guó)集中架設(shè)WAPI的AS服務(wù)器，必須根據(jù)用戶(hù)量的多少，把AS服務(wù)器架設(shè)在省公司層面或本地網(wǎng)層面。就必須解決用戶(hù)在不同AS域中的認(rèn)證問(wèn)題，即WAPI用戶(hù)的漫游。

具體來(lái)說(shuō)，有兩種模式：異地認(rèn)證和本地認(rèn)證。

異地認(rèn)證模式，即：用戶(hù)在其他AS域中要求證書(shū)鑒別，AS通過(guò)數(shù)字證書(shū)的頒證機(jī)構(gòu)(Issuername)字段發(fā)現(xiàn)該用戶(hù)非本地用戶(hù)，馬上把WAI報(bào)文轉(zhuǎn)發(fā)到用戶(hù)歸屬地的AS進(jìn)行鑒別認(rèn)證。本地認(rèn)證模式，即AS直接認(rèn)證數(shù)字證書(shū)有效性，同時(shí)查證該證書(shū)是否在“黑名單”中決定是否讓該用戶(hù)認(rèn)證通過(guò)。

WAPI用戶(hù)的認(rèn)證和計(jì)費(fèi)

用戶(hù)使用WLAN業(yè)務(wù)一共要經(jīng)過(guò)三重認(rèn)證：無(wú)線鏈路加密認(rèn)證，接入認(rèn)證和業(yè)務(wù)認(rèn)證。無(wú)線用戶(hù)終端在發(fā)現(xiàn)WLAN網(wǎng)絡(luò)具有WAPI認(rèn)證功能后，提交自己的WAPI證書(shū)信息，WLAN設(shè)備加上自身的認(rèn)證信息后一起提交AS，AS對(duì)兩者的信息都進(jìn)行認(rèn)證，把認(rèn)證結(jié)果告訴WLAN設(shè)備和無(wú)線用戶(hù)終端；整個(gè)認(rèn)證過(guò)程中采用數(shù)字簽名；只有當(dāng)三方認(rèn)證都通過(guò)后，才開(kāi)始由WLAN設(shè)備與無(wú)線用戶(hù)終端協(xié)商通信密鑰。整個(gè)無(wú)線鏈路加密認(rèn)證過(guò)程在后臺(tái)運(yùn)行，用戶(hù)基本不用人工參與。

如果用數(shù)字證書(shū)認(rèn)證替代現(xiàn)有的+Portal等接入認(rèn)證，最主要問(wèn)題是無(wú)法實(shí)現(xiàn)正常計(jì)費(fèi)：無(wú)線鏈路加密認(rèn)證通過(guò)后，AC開(kāi)放了受控端口，允許數(shù)據(jù)流進(jìn)入公網(wǎng)，但AC不可能知道用戶(hù)何時(shí)開(kāi)始使用網(wǎng)絡(luò)，無(wú)法提供計(jì)費(fèi)開(kāi)始信息；同時(shí)，用戶(hù)沒(méi)有正常下線的手段，系統(tǒng)也無(wú)法檢測(cè)用戶(hù)是否異常下線，無(wú)法提供計(jì)費(fèi)結(jié)束信息。這樣就只能為用戶(hù)提供包月的服務(wù)。

因此是否把多重認(rèn)證方式統(tǒng)一，要區(qū)分不同用戶(hù)及不同的無(wú)線用戶(hù)終端。

WAPI數(shù)字證書(shū)的發(fā)放和管理

實(shí)體身份的認(rèn)證、證書(shū)的發(fā)布、吊銷(xiāo)等一系列工作絕非簡(jiǎn)單。

基于證書(shū)機(jī)制，PKI核心組件包括：

CA(Certificate Authority，證書(shū)認(rèn)證中心)

CA是PKI最核心的組件。它負(fù)責(zé)接受用戶(hù)的請(qǐng)求，負(fù)責(zé)簽發(fā)和管理數(shù)字證書(shū)，提供證書(shū)查詢(xún)，接受證書(shū)注銷(xiāo)請(qǐng)求，提供CRL等。

RA(Registration Authority，證書(shū)注冊(cè)中心)

RA直接面對(duì)最終客戶(hù)，受理其證書(shū)申請(qǐng)和管理請(qǐng)求。

CRL(Certificate RevocationList，作廢證書(shū)列表)

作廢證書(shū)列表，通常由同一個(gè)發(fā)證實(shí)體簽名。當(dāng)公鑰的所有者丟失私鑰，或者改換姓名時(shí)，需要將原有證書(shū)作廢。

證書(shū)存檔(Repository)

一個(gè)電子站點(diǎn)，存放證書(shū)和作廢證書(shū)列表、CA在用證書(shū)和作廢證書(shū)。

用戶(hù)(Subscriber)

用戶(hù)是作為主體署名證書(shū)并依據(jù)策略使用證書(shū)和相應(yīng)密鑰的實(shí)體。

根CA系統(tǒng)

根CA系統(tǒng)主要由根證書(shū)簽發(fā)系統(tǒng)，根CRL組成。根CA在系統(tǒng)正式運(yùn)行后，不會(huì)參與各種用戶(hù)證書(shū)的簽發(fā)，因此平時(shí)基本上處于離線關(guān)閉狀態(tài)。

二級(jí)CA系統(tǒng)

二級(jí)CA系統(tǒng)是整個(gè)PKI/CA系統(tǒng)中最重要的部分，安全性要求最高。主要包括：數(shù)字證書(shū)簽發(fā)系統(tǒng)、數(shù)字證書(shū)申請(qǐng)系統(tǒng)、數(shù)字證書(shū)服務(wù)系統(tǒng)、客戶(hù)服務(wù)系統(tǒng)和數(shù)字證書(shū)管理系統(tǒng)等。

RA機(jī)構(gòu)

證書(shū)注冊(cè)審核機(jī)構(gòu)(RA)分布在各個(gè)本地網(wǎng)，來(lái)滿(mǎn)足不同地區(qū)證書(shū)用戶(hù)的申請(qǐng)、注冊(cè)、審核和發(fā)放。

RA受理代理點(diǎn)(RAT)

若上述的RA機(jī)構(gòu)仍不能滿(mǎn)足用戶(hù)分散性等工作要求的地區(qū)，可以在本地區(qū)的RA機(jī)構(gòu)下，再設(shè)立RAT。由電信運(yùn)營(yíng)商設(shè)立CA根中心，生成各省公司的二級(jí)CA中心，然后在各本地網(wǎng)設(shè)立RA或RAT(見(jiàn)圖1)。

WAPI數(shù)字證書(shū)的獲取和存儲(chǔ)

用戶(hù)的私鑰是非常重要，必須對(duì)用戶(hù)的私鑰進(jìn)行保護(hù)確保不丟失。如果丟失，須通知CA中心吊銷(xiāo)自己的證書(shū)，防止其它用戶(hù)信任已經(jīng)泄密的證書(shū)而造成不必要的損失。根據(jù)對(duì)安全的不同要求，用戶(hù)的證書(shū)及其私鑰可以放在硬盤(pán)中、智能卡、USB令牌等存儲(chǔ)介質(zhì)中：

硬盤(pán)(固定的存儲(chǔ)介質(zhì))

私鑰通過(guò)口令進(jìn)行保護(hù)，并加密存放在硬盤(pán)中。該方式的優(yōu)點(diǎn)在于不需額外花費(fèi)，使用簡(jiǎn)單快捷；缺點(diǎn)在于安全性較低，不支持移動(dòng)辦公。這種方式非常適合于安全性要求不太高，或機(jī)器本身有較強(qiáng)的安全保護(hù)環(huán)境中。對(duì)于手機(jī)終端，相當(dāng)于將證書(shū)安裝在其閃存中。

智能卡+讀卡器(專(zhuān)用的便攜式存儲(chǔ)介質(zhì))

智能卡是一種非常安全可靠的存儲(chǔ)設(shè)備，它通過(guò)IC芯片和其中的操作系統(tǒng)(COS)防止攻擊者竊取卡內(nèi)的機(jī)密信息。該方式的優(yōu)點(diǎn)在于安全性高，可以實(shí)現(xiàn)在具有讀卡器的機(jī)器上漫游；缺點(diǎn)是需要額外硬件投資，以及安裝軟件。

USB-Key(通用便攜式存儲(chǔ)介質(zhì))

該方式的優(yōu)點(diǎn)在于安全性高，可以實(shí)現(xiàn)在所有的機(jī)器(具有USB接口)上的漫游；缺點(diǎn)是需要額外硬件投資，以及安裝相應(yīng)軟件驅(qū)動(dòng)。

電信運(yùn)營(yíng)商向用戶(hù)提供、(3)兩類(lèi)的存儲(chǔ)介質(zhì)，用戶(hù)可以自行選擇。選擇類(lèi)的存儲(chǔ)介質(zhì)，除了安全性較低外，用戶(hù)更換終端或重裝系統(tǒng)就要重新申請(qǐng)并安裝新的證書(shū)；選擇(3)類(lèi)的存儲(chǔ)介質(zhì)，有較高的安全性，但對(duì)存儲(chǔ)介質(zhì)有較高的要求，特別是要支持WAPI數(shù)字簽名指定的橢圓曲線加密算法(ECC)。

用戶(hù)獲取數(shù)字證書(shū)，可以通過(guò)到營(yíng)業(yè)廳(RA/RAT)申請(qǐng)，也可以利用電腦或手機(jī)直接從網(wǎng)上下載。前者適合于提供有效期較長(zhǎng)的數(shù)字證書(shū)，后者適合于提供短期、臨時(shí)的數(shù)字證書(shū)。