1. 什么是WAPI？ WAPI（wireless lan authentication and privacy infrastructure） 无线局域网鉴别和保密基础结构 ————是无线局域网（WLAN）中的一种传输协议与标准，与美国的802.11（俗称WIFI）是世界上仅有的两个。

2. WAPI和WIFI的异同 WIFI—— 单向加密认证（验证用户，终端搜到wifi名称后，输入正确密码即可连接。假如同时出现两个以上的相同wifi名称，并且输入任何密码都能连接上，到底连接哪一个呢）

WAPI—— 双向加密认证，安全性更强（ 利用证书作为凭证识别身份。简单的说就是手机和AP都能用证书相互识别对方身份的合法性。当手机要连接AP时，手机和AP都将验证对方的真实性，这时假如手机和AP任何一方的证书是不合法的，那么手机和AP都可以拒绝对方连接） (AP可以理解为路由器)

3. WAPI安全性更强，但是为什么没有普及呢 WAPI最早由西电国家重点实验室提出，作为中国标准2003年国家要求强制实施（所以目前国内行货手机在硬件上都是能同时支持WIFI和WAPI两个标准的，要支持WAPI只需在软件上添加WAPI证书，当然还需要无线路由器按WAPI协议发射信号）。由于种种原因，目前国内外市场上大多使用WIFI。

4. 简单介绍一下WAPI的工作方式原理 WAPI可以拆分为WAI和WPI 。 WAI——A即authentication 认证鉴别过程 WPI——P即privacy 加密数据保护过程

将接入WAPI网络的过程可以分为关联过程、证书鉴别过程以及密钥派生过程。

WAPI关联过程 与802.11没啥区别。就是相互发现，然后授权，再是关联。但是在关联过程期间，受控端口关闭，还不能上网。 证书鉴别过程（涉及公钥私钥，第三方证书）

5. 公钥、私钥、签名 对称加密：加密和解密都是使用同一个密钥。 非对称加密: Bob 如何给 Alice 发消息？

首先Alice需要生成一对公私钥，私钥只有Alice知道，公钥任何人都知道。

将公钥发送给Bob，被截获也无所谓。

Bob使用Alice的公钥加密邮件后，加密内容只有Alice的私钥解密，所以也不怕被截获。

但其中有一个问题：

可以被中间人使用Alice的公钥冒充Bob给Alice发邮件。

其本质在于，Alice如何确认邮件来自于Bob.（任何人都可以用Alice的公钥发送邮件给Bob）

需要数字签名：即使用私钥进行签名。接受者可以用发送者的公钥进行验签。（此时能够鉴别消息的发送者）

但又要保证传输数据的机密性（这里的机密性不是指情报被窃听，而是指能保证信息不被篡改），

这里证明了发送者的身份和保证数据未被篡改。

但这一切的根据都是建立在Alice持有的公钥确实是Bob的。（假如存在第三人将自己的公钥冒充Bob发送给Alice,而之后凡是Bob发送的消息反而被当做冒充者） Bob如何证明他是Bob?

是通过可信任第三方，证书颁发机构（CA）。这里又引入数字证书的概念。

数字证书包含了：证书的颁布机构、有效日期、公钥、持有者等内容

Bob先去CA申请一个证书并发给Alice，Alice通过CA的公钥来进行验签是否真实。

（Alice的电脑必须安装CA的证书，这个证书里包含了CA的公钥）

（当然，这个过程中第三人是无法拿到CA的私钥来进行篡改，如果拿到了，那说明整个世界是不可信的了）

另外，证书颁发机构是有层级关系的。下级CA的证书需要上级CA签名。 也就是说一定存在根证书颁发机构。 （根证书颁发机构是自签的，类似国家机构，是信任链的起始端） 由微软、苹果的操作系统厂商来选择根证书。

出现证书不可信？有以下可能 证书不是权威机构发布 证书过期 证书部署错误（证书与域名不匹配）

6. WIFI测试相关资料 测试系统： 两台支持WAPI的AP用于切换测试，并使用AS进行鉴权 空中抓包无线网卡安装到一套笔记本上，用于抓取EUT和AP之间传输的数据报文，并进行分析。(EUT为被测终端) 预计测试的主要项目： 功能测试： * 扫描AP功能： * 预共享密钥功能：测试终端是否可以用正确的预共享密钥连接到AP * 证书安装功能：测试是否可以在终端上安装证书 * 证书鉴别功能：分别测试终端用正确证书及吊销证书连接AP的协议流程及关键字段值是否正确 * 证书选择功能：（能优先选择能够接入AP信任的AS颁发的证书，若没有，则要求能够发起鉴别请求） * 加密功能：测试终端成功完成鉴别后，使用加密方式进行数据传输 * 密钥更新功能： 移动用户终端无线局域网应能响应由AP发起的密钥更新过程，与AP协商更新会话密钥。 * 否定非法证书功能：测试安装合法证书的终端是否能连接到安装非法证书的AP，以及安装非法证书的终 * 端是否能连接到安装合法证书的AP。 * 同一AS域内的不同AP间切换功能：测试终端在开放模式和证书模式下是否能实现AP间的切换 * WLAN信息显示功能

性能测试： 无线接口吞吐量移动用户终端无线局域网在开放式方式下进行数据传输时的无线接口吞吐量应满足： * a) GB 15629.1101 模式：下行吞吐量不小于1.0 Mbit/s, 上行吞吐量不小于1.0 Mbit/s； * b) GB 15629.1102 模式：下行吞吐量不小于1.0 Mbit/s, 上行吞吐量不小于1.0 Mbit/s； * c) GB 15629.1104 模式：下行吞吐量不小于1.0 Mbit/s, 上行吞吐量不小于1.0 Mbit/s。 * 移动用户终端无线局域网在WAPI安全方式下进行数据传输时的无线接口吞吐量应满足： * a) GB 15629.1101 模式：下行吞吐量不小于1.0 Mbit/s, 上行吞吐量不小于1.0 Mbit/s； * b) GB 15629.1102 模式：下行吞吐量不小于1.0 Mbit/s, 上行吞吐量不小于1.0 Mbit/s； * c) GB 15629.1104 模式：下行吞吐量不小于1.0 Mbit/s, 上行吞吐量不小于1.0 Mbit/s。

由于普及的都是WIFI，WAPI其配套设施网上很难找到（淘宝网上tplink、华为没有WAPI路由器）。WAPI使用场景如机场，电网，交通，能源等行业领域，对网络安全保护要求较高。一般都会使用行业解决方案提供商：比如新华三等