产品概述

　　WAPI 是 WLAN Authentication and Privacy Infrastructure（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以 802.11 无线协议为基础的无线安全标准。

　　WAPI 协议由以下两部分构成：

　　（1）WAI：是 WLAN Authentication Infrastructure（无线局域网鉴别基础结构）的简称，是用于无线局域网中身份鉴别和密钥管理的安全方案；

　　（2）WPI：是 WLAN Privacy Infrastructure（无线局域网保密基础结构）的简称， 是用于无线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。

WAPI系统基本概念

（1）AC（Access Controller，接入控制器）：用于对WLAN 中与之关联的FIT AP 进行控制和管理的设备。

（2）AP（Access Point，接入点）：是指任何一个能通过无线介质为无线终端提供分布式访问服务的实体。

（3）AS（Authentication Server，鉴别服务器）：用于对用户和设备证书进行身份鉴别等，是基于公钥密码技术的WAI 中重要的组成部分。

（4）BK（Base Key，基密钥）：用于导出单播会话密钥，由证书鉴别过程协商得到或者由预共享密钥导出。

（5）FAT AP（FAT Access Point，胖 AP）：传统 AP，除了提供基本的无线连接功能外，还能提供安全、管理和性能增强功能。FAT AP 不能与 AC 关联使用。

（5）FIT AP（FIT Access Point，瘦 AP）：区别于传统的FAT AP，只提供可靠、高性能的无线连接功能，而剥离了其它功能。FIT AP 必须与 AC 关联使用，本文中的 AP 均指FIT AP。

（6）MSK（Multicast Session Key，组播会话密钥）：用于保护站点发送的组播 MPDU 的随机值，由组播主密钥导出，包括组播加密密钥和组播完整性校验密钥。

（7）PSK（Preshared Key，预共享密钥）：是发布给 STA 的静态密钥。

（8）STA（Station，站点）：即无线终端，本文中是指带有支持WAPI 协议无线网卡的 PC、便携式笔记本电脑等无线终端。

（9）USK（Unicast Session Key，单播会话密钥）：是由 BK 通过伪随机函数导出的随机值，分为四个部分：单播加密密钥、单播完整性校验密钥、消息鉴别密钥和密钥加密密钥。

（10）WAPI user（WAPI 用户）：是指使用WAPI 安全模式进行认证的用户，系统所支持的最大WAPI 用户数量为 1024 个。本文中也称为STA。

WAPI 的工作过程

　　在一个采用了WAPI安全关联机制的WLAN中，当STA需要访问该WLAN时，通过被动侦听AP的信标（Beacon）帧或主动发送探询帧（主动探询）以识别AP所采用的安全策略：

　　（1）若 AP 采用证书鉴别方式，AP 将发送鉴别激活分组启动证书鉴别过程，当证书鉴别过程成功结束后，AP 和STA 再进行单播密钥协商和组播密钥通告；

　　（2）若 AP 采用预共享密钥鉴别方式，AP 将与 STA 直接进行单播密钥协商和组播密钥通告。

WAPI系统典型组网

　　在一个典型的WAPI系统中， WAPI用户通过AP接入有线IP网络。首先，WAPI用户与AP进行 802.11 链路协商，之后AP为该用户触发WAI鉴别过程，配合AS完成与用户的双向认证。当认证通过后，AP会发起对该用户的密钥协商，并使用协商出的密钥通过WPI向该WAPI用户提供加、解密服务。

WAPI证书鉴别方式

　　数字证书是一种经 PKI（Public Key Infrastructure，公钥基础设施）证书授权中心签名的、包含公开密钥及用户相关信息的文件，是网络用户的数字身份凭证。WAPI 系统中所使用的用户证书为数字证书，通过 AS 对用户证书进行验证，可以唯一确定 WAPI 用户的身份及其合法性。

　　证书鉴别是基于STA和AP双方的证书所进行的鉴别。鉴别前STA和AP必须预先拥有各自的证书，然后通过AS对双方的身份进行鉴别，根据双方产生的临时公钥和临时私钥生成BK，并为随后的单播密钥协商和组播密钥通告做好准备。

WAPI预共享密钥鉴别方式

　　预共享密钥鉴别是基于 STA 和AP 双方的密钥所进行的鉴别。鉴别前 STA 和 AP 必须预先配置有相同的密钥，即预共享密钥。鉴别时直接将预共享密钥转换为 BK，然后进行单播密钥协商和组播密钥通告。

WAPI 的密钥管理

　　STA 与 AP 之间交互的单播数据利用单播密钥协商过程所协商出的单播加密密钥和单播完整性校验密钥进行保护；AP 利用自己通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对其发送的广播/组播数据进行保护，而 STA 则采用 AP 通告的、由组播主密钥导出的组播加密密钥和组播完整性校验密钥对收到的广播/组播数据进行解密。

典型应用

• 

  电力变电站可信WLAN-解决方案

技术规格

产品文档

产品选型

• 电力可信WAPI系统

  WAPI 是 WLAN Authentication and Privacy Infrastructure（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以 802.11 无线协议为基础的无线安全标准。

  了解详情

  
  

• 电力物资配送车载终端

  能够做到在运输过程中对货物运输状态进行全程数据监控，记录运输过程中的所有加速度和气候值，从而再现所有重要事件，能够通过设备远端从PC端和APP端发出警报，并记录警报信息。

  了解详情

  
  

• 电力载波智能控制器

  电力载波智能控制器支持NB通信或电力载波通信，还可以具有RS485接口，可作为传感器网关使用，可外接传感器，具有开关量输入输出接口，可以采集外部开关状态，也可远程控制外部开关。

  了解详情

  
  

• 智能电力运检终端

  适用于变电站内单间隔实施分布式录波记录及诊断，配电网分段、分支、用户开关实施分布式录波记录、接地选线选段、短路跳闸、远程分合闸、一次设备周边环境监测、事故原因诊断

  了解详情

  
  

• 电流电压运检终端

  可以同时采集16路交流电压或电流信号，支持通过电力线载波方式发送给集中器、或通过NB_IOT/4G移动无线网络上传到云服务平台；同支持电压/电流的越限检测，可推送报警消息到后台。

  了解详情