WAPI无线接入点技术白皮书(广州杰赛科技股份有限公司)

◆ 传输速率高：WLAN 的数据传输速率现在已经能够达到 11Mbit/s，传输距离可
远至 20km 以上。应用到正交频分复用（OFDM）技术的 WLAN，甚至可以达到
54Mbit/s。
此外，无线局域网的抗干扰性强、网络保密性好。对于有线局域网中的诸多
安全问题，在无线局域网中基本上可以避免。而且相对于有线网络，无线局域网 的组建、配置和维护较为容易，一般计算机工作人员都可以胜任网络的管理工作。
来发展的需要，所以往往导致预设大量利用率较低的信息点。而一旦网络的发展
超出了设计规划，又要花费较多费用进行网络改造。WLAN 不受布线接点位置的
限制，具有传统局域网无法比拟的灵活性，可以避免或减少以上情况的发生。 ◆ 易于扩展：WLAN 有多种配置方式，能够根据需要灵活选择。这样，WLAN 就能 胜任从只有几个用户的小型网络到上千用户的大型网络，并且能够提供像“漫 游”（Roaming）等有线网络无法提供的特性。
WAPI 这项网络通信组合技术源自用户利益、公共安全和产业发展的客观需 求，而持续的同业合作和协力创新是其发展的基础。目前，WAPI 已被六项中国 无线局域网国家标准率先采纳，形成了我国第一个自主无线网络安全接入技术标 准，由此推动了产业链的形成。该普适性网络安全接入技术保障了“合法终端接 入合法网络”的安全需求，是国内外首次提出的三元 T-A-S 鉴别与加密安全接入 架构，在此基础上可衍生出多种安全接入协议，普遍适用于无线、有线网络。
广州杰赛科技股份有限公司
第 6 页 共 26 页
WAPI 无线局域网产品技术白皮书
3.3 营企业 WAPI 的主要特点：
· 全新的高可靠性安全认证与保密体制 · 更可靠的二层（链路层）以下安全系统 · 完整的“用户―接入点”双向认证 · 集中式或分布集中式认证管理 · 证书―私钥双认证 · 灵活多样的证书管理与分发体制 · 可控的会话协商动态密钥 · 高强度的加密算法 · 可扩展或升级的全嵌入式认证与算法模块 · 支持带安全的越区切换 · 支持 SNMP 网络管理 · 完全符合“中国国家无线局域网标准” · 通过国家商用密码管理部门安全审查 · 符合“商用密码管理条例”
动节点传输范围的缩短，这样可以减少功率损耗。并且，小的蜂窝小区可以采用
频率复用技术，从而提高系统频谱利用率。目前，提高频谱利用率的常用策略有：
固定信道分配（FCA）、动态信道分配（DCA）和功率控制（PC）等。
在使用 FCA 策略时，每个小区分配有固定的资源，但与移动节点数量无关。
这种策略的问题在于，它没有充分考虑移动用户的分布。在用户稀少的地区，同
2 WLAN 概述
WLAN 是 Wireless Local Area Network 的缩写，即无线局域网,它是从 LAN 发展起来的,是 LAN 的一个延伸。它是应用无线通信技术将计算机设备连接起来， 构成可以互相通信和实现资源共享的网络体系。无线局域网本质的特点是不再使 用通信电缆、网线等将计算机与网络连接起来，而是通过无线的方式连接，从而 使网络的构建和终端的移动更加灵活，并提供以太网或者令牌网络的功能。
重叠，以便用户不会中断正在通信的链路连接。接入点之间也需要相互协调，以
便用户透明地从一个小区漫游到另一个小区。发生漫游时，必须执行切换操作。
切换既可以通过交换局，以集中的方式来控制，也可以通过移动节点，监测节点
的信号强度来实现控制，也就是非集中式切换。
在组合结构型网络中，小区大小一般都比较小。小区半径的减小，意味着移
WAPI 无线局域网产品技术白皮书
DCA 技术将所有可用的信道放置在一个公共信道池中，并根据小区当前的负 载，将这些信道动态地分配给小区。移动节点向基站报告其干扰水平，基站以最 小干扰方式实现信道复用。
PC 方案通过减小发送功率的方法，来减少系统中干扰，并减少移动节点的
电池能量消耗。当某一个小区内受到的干扰增加时，PC 方案通过增加发送节点
WAPI 无线局域网产品 无线接入点技术
白皮书
广州杰赛科技股份有限公司
http://www.chinagci.com wlan800@chinagci.com
TEL:020-84118103 FAX:020-84118107
WAPI 无线局域网产品技术白皮书
1 前言
随着 Internet 的高速发展，笔记本电脑的普及，人们对现代化移动办公的 要求越来越高。传统的有线局域网以不能满足这样的要求,并且它还要受到很多 的限制，比如有线网络要求布线隐蔽在墙壁之内,但建筑物中没有预留线路，这 样布线以及调试的工程量将非常大，而且线路容易损坏，以后维护和扩容等很不 方便，网络中的各节点的搬迁和移动也非常麻烦。更不能随意的改变网络系统的 结构。因此高效快捷、组网灵活的无线局域网应运而生。
2.1 WLAN 的组成：
广州杰赛科技股份有限公司
第 2 页 共 26 页
WAPI 无线局域网产品技术白皮书
WLAN 由无线网卡、无线接入点(AP)、计算机和有关设备组成。采用单元结构， 整个系统被分割成许多单元，每个单元称为基本服务组(BSS)，BSS 的组成有以 下 3 种方式：
a)集中控制方式(见图 1)：每个 BSS 由一个中心站控制，网中的终端在该中 心站的协调下与其他终端通信。在这种方式下需使用比较昂贵的中心站，但 BSS 区域较大。
3.2 WAPI 的安全机制
由于无线局域网采用公共的电磁波作为载体，更容易受到非法用户入侵和数 据窃听。无线局域网必须考虑的安全因素有三个：信息保密、身份验证和访问控 制。
WAPI 采用基于公钥密码体系的证书机制，实现了移动终端（MT）与无线接 入点（AP）间的双向鉴别。即无线客户端即移动终端 MT 与无线接入点 AP 上都安 装有 AS 颁发的公钥证书，作为自己的数字身份凭证。当移动终端 MT 登录至无线 接入点 AP 时，在使用或访问网络之前必须通过鉴别服务器 AS 对双方进行身份验 证。根据验证的结果，持有合法证书的移动终端 MT 才能接入持有合法证书的无 线接入点 AP，也就是说才能通过 AP 访问网络。这样不仅可以防止非法移动终端 MT 接入 AP 而访问网络并占用网络资源，而且还可以防止移动终端 MT 登录至非 法 AP 而造成信息泄漏。
◆ 安装便捷：无线局域网的安装工作简单，它无需施工许可证，不需要布线或 开挖沟槽。它的安装时间只是安装有线网络时间的零头。 ◆ 覆盖范围广：在有线网络中，网络设备的安放位置受网络信息点位置的限制。 而无线局域网的通信范围，不受环境条件的限制，网络的传输范围大大拓宽，最 大传输范围可达到几十公里。
◆ 经济节约：由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未
3.4 WAPI 身份鉴别工作流程:
下图为典型的 WAPI 鉴别系统工作示意图。整个鉴别过程包括证书鉴别和密 钥协商两部分。
WAPI 鉴别系统工作示意图
MT 登录 AP---AP 向 MT 发送鉴别激活分组---MT 向 AP 发送证书---同时 AP 把 MT、AP 证书和 AP 对他们的签名发往 AS---AS 验证后发送给 AP---AP 把 AS 的 鉴别结果发给 MT---AP 和 MT 分别验证 AS 的签名后，得到对方证书的鉴别结果 ---(1)证书鉴别不成功，则 AP 和 MT 撤销链路连接。 ---(2)证书鉴别成功，MT 可安全地访问网络。
图 1 集中控制方式
b)分布对等方式(见图 来自百度文库)：BSS 中任意两个终端可直接通信。无需中心转接 站。这种方式结构简单，使用方便，但 BSS 区域较小。
图 2 分布对等方式
c)以上两种方式的组合(组合结构)：对网络用户来讲，希望 BSS 越大越好。 然而，考虑到无线资源的有效利用和天线技术的限制，BSS 不可能太大，通常 BSS 的范围在几百米以内。
的功率，来提高接收信号的信噪比（SIR）。当节点受到的干扰减小时，发送节
点通过降低发送功率来节约能量。
2.3 WLAN 的技术优点
WLAN 技术使网上的计算机具有可移动性，能快速、方便地解决有线方式不
易实现的网络信道的连通问题。WLAN 利用电磁波在空气中发送和接收数据，而
无需线缆介质。
与有线网络相比，WLAN 具有以下优点：
广州杰赛科技股份有限公司
第 7 页 共 26 页
WAPI 无线局域网产品技术白皮书
3.5 WAPI 的技术优势
a. WAPI 真正实现双向鉴别。鉴别的目的是为了在一个合理的时间内证明对 方身份的合法性。WAPI 使用双向鉴别，为移动终端和无线接入点之间建立相互 信任关系提供了一条渠道，移动终端和无线接入点在公信第三方（鉴别服务器 AS）的控制下进行互相鉴别，它们的地位是平等的：不仅无线接入点可以验证移 动终端的合法性，移动终端同样也可以验证无线接入点的合法性。
尽管一个 WLAN 可以只由一个单元构成，但通常情况下它包含若干个单元， 如图 3 所示。这若干个单元通过无线接入点与某个骨干网连接在一起，这个骨干
广州杰赛科技股份有限公司
第 3 页 共 26 页
WAPI 无线局域网产品技术白皮书
网可以是有线网，也可以是无线网。这时所有的 BSS 组合称为扩展服务组(ESS)， 典型的 ESS 覆盖范围在几千米之内。
样分配相同数量的带宽资源给小区，但小区可能仅包含几个或者是根本不包含任
何移动节点，使资源被浪费。因此，在这种情况下，频谱的利用率并不是最优的。
在移动节点采用 DCA、PC 技术，或者是集成 DCA 和 PC 的技术，可以提高整
个蜂窝系统的容量，减少信道干扰，并减少发射功率。
广州杰赛科技股份有限公司
第 4 页 共 26 页
广州杰赛科技股份有限公司
第 5 页 共 26 页
WAPI 无线局域网产品技术白皮书
由于 WLAN 具有多方面的优点，其发展十分迅速。在最近几年里，WLAN 已经在医 院、商店、工厂和学校等不适合网络布线的场合得到了广泛的应.
3 WAPI 技术 3.1 WAPI 概述
WAPI（Wide Authentication and Privacy Infrastructure，泛适认证和保 密组合结构）是实现通信节点和网络承接节点之间的双向认证和保密的、适用于 主流网络物理拓扑形态的安全体系架构。并基于三元结构和对等鉴别的，能有效 阻止不符合安全条件的设备及访问进入网络，以及能有效阻止设备及访问进入不 符合安全条件的网络，并可衍生出在网络通信各层次均可实现的多种安全接入协 议，从而普遍适用于各种网络中，现已成为我国信息安全技术领域的共性基础技 术。
一个无线局域网可看作是有线局域网的扩展，也可以独立作为有线局域网的 替代设施，它可以使用户任意对有线网络进行扩展和延伸,只在有线网络的基础 上通过无线接入器、无线网桥、无线网卡等无线设备使无线通信得以实现。与有 线局域网相比，WLAN 具有一定的移动性，灵活性高、建网迅速、管理方便、网 络造价低，扩展能力强等优点。
b. WAPI 使用数字证书。WAPI 使用数字证书作为身份的凭证，使得鉴别过 程简单易行。在鉴别过程中，移动终端和无线接入点的地位是平等的，不仅使无 线接入点实现了对用户的接入控制，而且保证无线用户接入的安全性。利用 WAPI 所支持的多证书机制，可以为不同的访问权限设定相应的证书，利用统一的 AS， 可方便地实现用户在各个无线接入点间的安全切换，这使得对移动办公需求的满 足建立在安全的基础上。而且，证书的使用提供了方便的安全管理机制，当系统 成员（无线接入点或移动终端）退出系统或有新的成员加入系统，只需吊销其证 书或颁发新的证书即可，管理非常方便。而且 AS 易于扩充，允许用户异地接入。
图 3 WLAN 的组成
在组合结构网路中，存在许多基站及基站覆盖范围下的移动节点形成的蜂
窝小区。基站在小区内可以实现全网覆盖。在目前的实际应用中，大部分无线
WLAN 都是基于组合结构网络。
一个用户从一个地点移动到另一个地点，应该被认定为离开一个接入点，进
入另一个接入点，这种情形称为“漫游”。漫游功能要求小区之间必须有合理的
无线局域网（WLAN）技术的成长始于 20 世纪 80 年代中期，它是由美国联邦 通信委员会（FCC）为工业、科研和医学（ISM）频段的公共应用提供授权而产生 的。这项政策使各大公司和终端用户不需要获得 FCC 许可证，就可以应用无线产 品，从而促进了 WLAN 技术的发展和应用。
与有线局域网通过铜线或光纤等导体传输不同的是，无线局域网使用电磁频 谱来传递信息。同无线广播和电视类似，无线局域网使用频道（Airwave）发送 信息。传输可以通过使用无线微波或红外线实现，但要求所使用的有效频率且发 送功率电平标准，在国家规定合法的范围之内。