wapi是什么启用wapi是什么

摘要：WLAN身份认证和隐私基础架构(WLAN authentic ation and Privacy infra structure，WAPI)技术经过多年的发展，已经形成了技术体系。本文详细介绍了基于Android手机安装WAPI证书的使用过程。

关键词：安卓手机，WAPI，证书安装

图片来自网络

（来源：WAPI产业联盟）

无线局域网鉴别与保密基础结构（WLAN Authentication and Privacy Infrastructure，WAPI）技术经过多年发展，已经形成技术体系，与Wi-Fi的单向鉴别不同，WAPI真正实现了终端和接入点的对等双向鉴别，保障了用户和网络的接入安全。自2003年5月WAPI被纳入中国无线局域网GB15629.11系列国家标准以来，全球目前支持WAPI功能的无线局域网（Wireless Local Area Network，WLAN）芯片出货量已达70亿颗，手机型号达9000余款。

就手机终端的通信安全而言，WAPI技术采用证书作为身份凭证进行身份鉴别，确保了合法用户接入合法网络，即：合法的手机终端接入合法的接入点，而且这一切对于用户来说都是用户无感知的，用户只需保证证书安装成功，鉴别过程和数据加密传输无需用户干预。证书的成功安装是后续一切过程的前提，那么证书如何安装？从安卓系统来看，不同手机厂商都根据自身需求对安卓原生系统进行了定制化开发，导致证书的安装过程不尽相同，下面以三星Galaxy Nexus GT-I9250手机为例，详述WAPI证书的安装方式。

介绍之前，有必要先说明一下，WAPI鉴别技术是基于三元对等安全架构，三元分别为鉴别服务器、无线接入点和移动终端，介绍如下：

鉴别服务器 ——英文全称为Authentication Server，简称AS，是在传统无线局域网二元网络结构基础上引入的可信第三方实体，AS的主要作用有两个，一是颁发证书，证书可作为实体的身份凭证，颁发的证书有根证书（即AS自己的身份凭证）、无线接入点的证书和终端设备证书；二是对实体的身份进行鉴别，检验其是否合法。AS是实现“合法用户接入合法网络”功能的关键实体。

无线接入点 —— 英文全称为Access Point，简称AP，与AS通过有线连接。AP属于网络接入设备，与移动终端用户通过无线电波进行信息的交互完成鉴别过程，交互内容包括与密钥相关的一些信息、身份认证信息等。

移动终端 —— 英文全称为STAtion，简称STA，如智能手机和平板电脑等，通过和AP进行无线交互完成认证，从而接入网络。

由于AS的证书颁发和AP的证书安装的操作都是由网络管理员来完成的，终端用户无需干预，所以下面主要介绍STA上的证书安装过程。证书从颁发成功到安装进终端设备的过程中，对终端设备而言，证书的获取方式有所不同，但安装步骤大同小异，详细如下：

方式一、将证书拷贝至电脑，通过数据线安装

（1）首先在电脑上安装手机驱动，是否安装成功，可以从“设备管理器”里得到验证，如下图1所示：

图1

………………………………………………图1

（2）将证书拷贝至/sdcard目录下，其中as.cer是AS的根证书，是手机终端的证书，如下图2所示：

图2

（3）通过“证书管理”安装证书

在WLAN设置界面里点击“高级”，进入“高级WLAN设置”界面，如下图3所示；点击“WAPI证书管理”，进入“WLAN证书”管理页面，再点击“添加”，弹出导入证书界面，如下图4所示；选取相应的证书，即可完成证书导入，如下图5所示。

（4）在网络列表中选择相应的证书模式的服务集标识符（Service Set Identifier，简称 SSID），如下图6所示；点击SSID后，弹出证书模式配置界面，如下图7所示；选择步骤3导入的证书，手机顺利接入证书模式的网络，如下图8所示。

方式二、通过邮件发送证书

邮件发送方式只把证书拷贝的动作换成了发送邮件，安装及连接过程大同小异：

（1）证书以邮件附件形式存在，如下图9所示；点击“STAU”（系统自动识别并安装as.cer证书），弹出“为证书命名”界面，可为证书命名，方便管理。如下图10所示；输入名字并确定后，进入证书管理界面，界面显示已安装的证书，如下图11所示：

1. 在网络列表中选择相应的证书模式的SSID，如下图12所示；点击SSID后，弹出证书模式配置界面，如下图13所示；选择步骤1导入的证书，手机顺利接入证书模式的网络，如下图14所示。

方式三、APP推送

为实现证书自动安装，最大化地减少人工干预，WAPI技术研发机构投入精力着手研发能实现证书自动推送的应用软件，由于实现证书自动推送需要打开安卓系统相应的软硬件接口，而不同厂商的手机中的WLAN芯片和安卓系统都不尽相同，要达到不同厂商都统一接口这一目标，还需要产业多方配合共同努力。目前这一应用已具备演示功能，可实现证书的推送和安装。

希望能通过以上介绍，能对想要体验WAPI技术的用户有所帮助。

链接：关于WAPI技术

如今，无线热点接入几乎已成为各商业场所的标配，机场、酒店、餐馆、咖啡厅等，绝大多数都提供无线网络接入服务，无线局域网技术使人们随时随地畅享网络的同时，也带来另外一个不容忽视的问题——安全。由于无线信号以空气为媒质向四面八方传播，不论信号中的数据要发送到哪里，任何无线终端在无线信号覆盖的范围内都可接收到，而且公共热点几乎都是开放式接入，或是加密手段较弱，这样就给别有用心者留下可趁之机，早前央视等各大媒体曾报道，消费者在公共场所通过WiFi热点接入互联网，导致银行账户失窃。

使用WAPI安全技术可以杜绝这一问题的发生。WAPI是基于身份对等的安全架构，真正实现了移动终端和无线接入点的双向认证，也就是说，除了网络对用户身份合法性的鉴别外，用户也要验证网络的合法性，鉴别是双向的，通过这种手机和接入点之间的双向身份鉴别和密钥协商过程，实现安全接入控制和保密通信，并且能够在完成身份鉴别的同时不暴露被鉴别者的身份信息，充分保护被鉴别者的隐私与安全，有效解决网络接入和数据传输中的安全问题，杜绝安全漏洞和网络攻击，满足“合法终端接入合法网络”的安全需求，确保用户信息的完整性、安全性。

WAPI技术得以在手机终端上大规模应用的核心技术因素在于，WAPI技术真正实现了用户身份鉴别和数据加密传输，保证了用户的信息安全，WAPI技术从以下两点保证用户通信安全：

（1）身份鉴别

WAPI典型基础架构由终端（STA）、无线接入点（AP）和鉴别服务器（AS）组成，WAPI在WLAN网络中创新性地引入了证书形式的认证机制，数字证书是一种经公钥基础设施（Public Key Infrastructure，PKI）证书授权中心签名的、包含公钥及用户相关信息的文件，是网络用户的数字身份凭证。鉴别服务器AS负责证书的颁发、验证与吊销等，移动终端与无线接入点上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。开始建立连接之前，STA和AP需要预先安装由AS为他们颁发的证书，连接过程中，由AS鉴别对STA、AP双方的合法性进行鉴别。

（2）数据加密传输

WAPI 采用国家密码管理局发布的公钥密码体制的椭圆曲线密码算法和对称密码体制的分组密码算法，分别用于WLAN设备的数字证书、证书鉴别、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

如果有兴趣对WAPI技术标准进行更全面的了解，近期由网络大V“奥卡姆剃刀”撰写的一篇名为《国际标准战争的技术真相》的文章，推荐大家阅读。