WAPI无线接入点技术白皮书(广州杰赛科技股份有限公司)

声明本公司对本手册的内容保留在不通知用户的情况下更改的权利。

其版权归深圳市奥联科技有限公司所有。

未经本公司书面许可，本手册的任何部分不得以任何形式手段复制或传播。

NOTICESShenzhen Olym-tech Company Limited reserves the right to make any changes in specifications and other information contained in this publication without prior notice and without obligation to notify any person or entity of such revisions or changes.©Copyright 2002-2003 by Olym-tech. Co., Ltd. All Right Reserved.No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical. Including photocopying, recording, or information storage and retrieval systems, for any purpose other than the pu rchaser’s personal use, without express written permission of Olym Co. Ltd.（APN GW TM是深圳市奥联科技有限公司注册商标。

所有其它商标及注册商标均属有关公司所有。

）版本OLYMWP 2.0第一章VPN技术简介 ............................................................................... 错误!未定义书签。

安全与VPN-WAPI技术介绍，目录WAPI (1)WAPI简介 (1)WAPI系统概述 (1)WAPI的工作过程 (2)WAPI的鉴别方式 (3)WAPI的密钥管理 (4)安全和VPN WAPIWAPIWAPI 简介WAPI 是WLAN Authentication and Privacy Infrastructure（无线局域网鉴别与保密基础结构）的简称，是中国提出的、以802.11 无线协议为基础的无线安全标准。

WAPI 协议由以下两部分构成：•WAI：是WLAN Authentication Infrastructure（无线局域网鉴别基础结构）的简称，是用于无线局域网中身份鉴别和密钥管理的安全方案；•WPI：是WLAN Privacy Infrastructure（无线局域网保密基础结构）的简称，是用于无线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。

WAPI 系统概述1. 基本概念WAPI系统中所涉及到的基本概念如表1所示。

表1 WAPI 系统中的基本概念IP networkAC Switch FIT APSwitch Wireless networkmanagement FIT AP概念全称及中文解释说明PSK Preshared Key，预共享密钥是发布给STA 的静态密钥STA Station，站点即无线终端，本文中是指带有支持WAPI 协议无线网卡的PC、便携式笔记本电脑等无线终端USK Unicast Session Key，单播会话密钥是由BK 通过伪随机函数导出的随机值，分为四个部分：单播加密密钥、单播完整性校验密钥、消息鉴别密钥和密钥加密密钥WAPI user WAPI 用户是指使用WAPI 安全模式进行认证的用户，系统所支持的最大WAPI 用户数量为1024 个。

本文中也称为STA2. 系统组成在一个典型的WAPI系统中，如图1所示，WAPI用户通过AP接入有线IP网络。

国产标准WAPI宽带技术提速：速率可达300Mbps
佚名
【期刊名称】《《中国新通信》》
【年(卷),期】2010(000)002
【摘要】据悉，国产无线局域网标准WAPI技术日前全面升级，已研发出速率高达300Mbps的WAPI芯片和系统解决方案，完全达到美国主推的WIFI标准的最新速率。

【总页数】1页(P4)
【正文语种】中文
【中图分类】TN925.93
【相关文献】
1.宽带接入可达速率规模评估机制探讨 [J], 许利民;郑晖
2.瞄准4G标准WiMAX2疯狂提速至300Mbps [J],
3.爱立信携瑞萨移动推LTE技术标准速率可达150Mbit／s [J],
4.WiFi新标准确定：理论速率达到300Mbps [J],
5.国产无线宽带技术McWill速率超2Mbps [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

广州杰赛科技股份有限公司简介广州杰赛科技股份有限公司（简称：杰赛科技）是国家高新技术企业、广东省创新型企业和广州市重点软件企业。

杰赛科技是由中国电子科技集团公司第七研究所民品部门于2000年转制组建的国有控股股份制企业，2011年在深圳证券交易所中小企业板上市（证券代码：002544），目前注册资本8596万元。

杰赛科技下设十个分公司和四个子公司，业务范围涵盖电子信息与通信领域，可提供的电子通信产品和服务包括：通信网络与电子工程咨询、规划、设计和优化，电信增值业务，移动通信网络系列产品，有线/无线宽带接入产品，LED显示与控制，数字电视机顶盒，计算机信息系统集成，无线/有线测控系统及印制电路板等。

杰赛科技从技术解决方案、建设解决方案和相关网络产品等多个维度，以全流程、跨网络、多技术的优质服务，为电信运营商（中国联通、中国移动、中国电信）、广电运营商、政府机构、公共事业部门及大型企事业单位提供信息网络建设综合解决方案服务及相关网络产品；在国内率先建立了“云计算”体验中心，并凭借三十年SCADA 系统开发及相关技术，参与国家“新一代宽带无线移动通信网”重大专项，在物联网应用方面取得了先发优势。

杰赛科技拥有的各类资质证书有：建设部颁发的电子通信广电行业专业甲级和建筑智能化系统设计专项工程设计证书（甲级）、工程勘察专业类工程测量（限通信测量）工程勘察证书（甲级）、电子/电信/建筑智能化工程施工建筑业企业资质证书（壹级）；工业和信息化部颁发的计算机信息系统集成资质证书（壹级）、通信信息网络系统集成企业资质证书（甲级）；国家发展和改革委员会颁发的电子/通信信息工程咨询证书（甲级）、评估咨询、工程项目管理工程咨询单位资格证书（丙级）；广东省公安厅颁发的安全技术防范系统设计、施工、维修资质证书（壹级）等。

杰赛科技是中国安全防范产品行业协会、广东省勘察设计协会理事单位，是中国通信企业协会、中国电子企业协会、中国工程咨询协会、广东省软件行业协会、广东省高新技术企业协会会员单位；是中国通信标准化协会、国家信息安全标准化技术委员会工作组成员单位；是信息产业部批准成立的宽带无线IP标准工作组成员单位，是中国WAPI产业联盟、中国数字家庭产业联盟、广东省3G产业发展联盟成员单位，是中国宽带无线多媒体项目组成员单位；是广东省信息网络安全服务指定单位。

宽带无线IP标准工作组标准化指导性技术文件工业和信息化部宽带无线IP标准工作组发布CBWIPS/Z010—2009目 次版权声明 (II)前言 (III)1 范围 (1)2 规范性引用文件 (1)3 缩略语 (1)4 实施方案 (1)4.1综述 (1)4.2 ASUE端 (1)4.3 AE端（驻留在AP或AC中，以下以AP为例） (2)4.4 ASU端 (3)4.5相关响应报文 (3)5 详细工作流程 (6)5.1流程图 (6)5.2 工作流程 (6)6 验证方案 (7)ICBWIPS/Z010—2009版权声明本文件由工业和信息化部宽带无线IP标准工作组保留版权，未经本组织的书面许可，任何人不得转载或以任何形式复制、翻译或刊发该文件的全部或部分内容。

否则，工作组保留依法追究其法律责任的权利。

版权所有©工业和信息化部宽带无线IP标准工作组。

保留所有权利。

©宽带无线IP标准工作组 2009版权所有。

除非特别规定，本出版物严禁以任何方式或任何形式进行复制或使用。

IICBWIPS/Z010—2009前 言为满足需要，现将该指导性技术文件印发，供科研、设计、生产、使用和管理等方面参照使用。

使用中的建议和意见，请向工业和信息化宽带无线IP标准工作组反映。

本指导性技术文件由工业和信息化部宽带无线IP标准工作组和WAPI产业联盟共同提出，由工业和信息化部宽带无线IP标准工作组归口。

本指导性技术文件主要起草单位：广州杰赛科技股份有限公司、中国电信集团公司、北京网贝合创科技有限公司、北京创原天地科技有限公司、西安西电捷通无线网络通信有限公司、中太数据通信（深圳）有限公司、北京中电华大电子设计有限责任公司、国家无线电监测中心、国家商用密码检测中心、西安电子科技大学、西安邮电学院、深圳市明华澳汉科技股份有限公司等。

本指导性技术文件主要起草人：高波、张变玲、周绍午、张龙、奚红梅、秦志强、陈铭、兰天、宋起柱、李大为、陈康先、黄振海、铁满霞、朱志祥、苑克龙、李翔等。

WAPI产业联盟的瘦AP解决方案在实际应用中，瘦AP方案面临的问题是：(1)由于需要集中管理大量AP，接入控制器(AC)面临巨大性能压力。

(2)由于目前市场上WLAN终端大多为单模(只支持WAPI或Wi-Fi)，迫切需要WLAN接入系统支持双模(同时支持WAPI和Wi-Fi)，实现按需接入。

(3)WAPI是基于证书的三元认证机制，而现有网络大多为基于用户名密码的二元认证机制，需要在认证层面将WAPI融入现网。

(4)由于技术和市场等因素，目前国内外几乎所有厂商的瘦AP产品之间无法互通。

(5)现网有大量设备只支持WEP/WPA，而WEP/WPA已经被破解，需要对这些设备进行升级以支持更安全的WAPI。

针对以上问题，现有的解决方案存在局限性，这主要体现在下面几个方面。

1．现有方案采用两种方法解决AC性能压力。

一是从提升AC性能出发，AC使用高性能网络处理器，其局限性是需要微码设计，开发周期长，不能快速反应市场需求。

二是从网络架构出发，同时支持AP本地转发和AC集中转发；对于需要集中转发处理的业务(比如语音需要漫游)才走集中转发，其它走本地转发，也就是为不同的业务提供不同的SSID，其局限性是SSID过多，不利于用户的使用和体验。

2. 现有方案采用两种方法解决双模需求。

一是AP提供双Radio，分别支持WAPI和Wi-Fi，其局限性是虽然AP是双模，但每个Radio还是单模，当WAPI 终端与Wi-Fi终端数量不对等时，其中一个Radio会有部分资源浪费。

二是AC 完成数据加解密，但这样会进一步增加AC性能压力。

3. WAPI融入现网。

目前大多厂商是将WAPI的AS与AAA的Radius服务器集成，内部融合WAPI的证书机制与AAA的用户名密码机制，其局限性是这属于厂家私有实现。

4. 对于瘦AP互通问题，目前方案是由主流WLAN厂商牵头，通过小范围授权，基于其私有协议实现互通，但互通协议由个别厂商把持。