物联网信息安全 课件 第3章 物联网安全体系及物理安全、无线局域网WLAN物理层安全

第三章物联网安全体系及物理安全3.1物联网安全体系结构

3.1.1物联网安全整体结构

3.1.2感知层安全体系结构

3.1.3传输层安全体系结构

3.1.4应用层安全体系结构3.2物联网安全措施

3.2.1物联网安全技术

3.2.2物联网安全管理3.1.1物联网安全体系结构物联网融合了传感网络、移动通信网络、互联网，这些网络面临的安全问题也不例外。与互联网相比，物联网的通信对象扩大到了物品。根据功能的不同，物联网网络体系结构大致分为三个层次，底层是用来信息采集的感知层，中间层是数据传输的网络层，顶层则是应用/中间件层。3.1.2感知层安全体系结构感知层安全体系结构如图所示，突出了管理层面在整个感知层安全体系的地位，并将技术层面纳入到管理层面中，充分说明了安全技术中的实现依赖于管理手段及制度上的保证，与管理要求相辅相成。1.技术层面技术层面节点安全要求中的抗干扰是指感知节点应实现抗信号干扰措施，支持数据编码和数据完整性校验，提高抗干扰能力。节点认证是指感知层节点和信息接受方均含有身份信息或可提供身份证明，实现感知节点和信息接收方双向认证。节点外联安全是指感知节点的串口、蓝牙、无线网口等外联端口应进行控制，可采用禁用、审计（记录端口外联的日志信息防护措施）和加固的方式。2.管理层面管理层面节点管理要求中的节点监管是指对感知节点的物理信息、能量状况、数据通信行为、交互运行状态及设备信息精心管理，识别恶意、损害节点。应急处理是指根据感知节点的重要程度和运行安全的不同要求，实现感知节点应急处理的安全机制和措施，可分为设备正常的备份机制和安全管理机制。3.检测体系检测体系中的安全保障检查是指对感知层安全工程的资质保证、组织保证、项目实施和安全工程流程要根据《信息安全技术——信息系统安全工程管理要求》（GB/T20282—2006）中的相关条款进行检查。节点检测是指对恶意节点、损坏节点的检测分析。这种分析通过对节点的物理信息、能量状况、数据通信行为以及物理损害感知机制获得的数据进行检测和分析，发现存在的安全隐患。3.1.3传输层安全体系结构随着计算机网络的普及与发展，网络为我们创造了一个可以实现信息共享的新环境。但是由于网络的开放性，如何在网络环境保障信息的安全始终是人们关注的焦点。在许多实际应用中，网络由分布在不同站点的内部网络和站点之间的公共网络组成。每个站点配有一台网关设备，由于站点内网络的相对封闭性和单一性，站点内网络对传输信息的安全保护要求不大。在网络层中IPSec可以提供端到端的网络层安全传输，但是他无法处理位于同一端系统之中的不同用户安全需求，因此需要在传输层和更高层提供网络安全传输服务，来满足这些要求。而传输层安全协议的特点就是：基于两个传输进程间的安全传输服务，来满足两个应用之间的保密性和安全性，为应用层提供安全服务。Web浏览器是将HTTP和SSL相结合，因为技术实现简单，所以在电子商务中也有应用。在传输层中使用的安全协议主要是SSL（SecureSocketLayer，安全套接字层协议）。SSL是由Netscape设计的一种开放协议，它指定了一种在应用程序协议（例如HTTP、Telnet、NNTP、FTP）和TCP/IP之间提供数据安全性分层的机制。SSL为TCP/IP连接提供数据加密、服务器认证、消息完整性检验以及可选的客户机认证。SSL的主要目的是在两个通信应用程序之间提供私密性和可靠性。这个过程通过三个元素来完成：（1）握手协议。这个协议负责协商被用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时，他们在一个协议版本上达成一致，选择加密算法，选择相互认证，并使用公钥技术来生成共享密钥。（2）记录协议。这个协议用于交换应用层数据。应用程序消息被分割成可管理的数据块，还可以压缩，并应用一个MAC（消息认证代码），然后结果被加密并传输。接收方接收数据并对他解密，校验MAC，解压缩并重新组合它，并把结果提交给应用程序协议。（3）警告协议。这个协议用于指示在什么时候发生了错误或两个主机之间的会话在什么时候终止。SSL握手过程步骤如下：步骤1：SSL客户机连接到SSL服务器，并要求服务器验证他自身的身份。步骤2：服务器通过发送他的数字证书证明其身份。步骤3：服务器发送一个请求，对客户端的证书进行认证。步骤4：协商用于加密的消息加密算法和用于完整性检查的哈希函数。步骤5：客户机和服务器通过下列步骤生成会话密钥：①客户机生成一个随机数，并使用服务器的公钥对他加密，发送到服务器上；②服务器用更加随机的数据响应；③使用哈希函数，用随机数据生成密钥。3.1.4应用层安全体系结构1.物联网应用层安全分析现代社会物联网应用极为普遍，不仅很多企事业单位的发展依赖物联网平台，而且很多高档社区的建立也是基于物联网的应用。实际上，从构建伊始物联网应用层的安全架构并不完善，甚至可以说岌岌可危。就以物联网模式下的物流信息系统的安全管理模式来看，无论是电子标签还是RFID射频技术的普及应用，都需要安全管理为其扫清障碍。2.物联网应用层的安全架构在现代人的日常生活当中，对物联网的应用频率越来越高，安全平台的搭建迫在眉睫。实际上，物联网应用层的安全架构及相关技术已经与平台对接，包括认证与密钥管理机制、安全路由协议、入侵检测、数据安全与隐私保护技术等，这些都是为了构建完善的物联网安全架构所作出的努力。3.物联网你应用层安全架构前景的规划目前，面向物联网应用层安全架构的构建拟整合云服务，并通过科学分析网络信息数据，保障物联网环境安全，云计算项目与物联网应用层安全架构的整合实践是拓展该领域发展空间的重要策略。3.2物联网安全技术措施目前物联网的体系结构基于以上分析可以划分为感知层、网络层和应用层，各个不同层面的安全性问题已经有许多安全技术和解决方案。但是物联网的应用是一个基于三个层面的整体，仅仅简单叠加各个层面的安全策略不能为整个系统应用提供可靠的安全保障。目前学术界针对物联网安全性问题做了战展望。3.2.1物联网安全技术作为一种多网络融合的网络，物联网安全涉及各个网络的不同层次，在这些独立的网络中已实际应用了多种安全技术，特别是移动通信网和互联网的安全研究已经经历了较长的时间，但对物联网中的感知网络来说，由于资源的局限性，使安全研究的难度较大，本节主要针对传感网中的安全问题进行讨论。1.密钥管理机制密钥系统是安全的基础，是实现感知信息隐私保护的手段之一。它的安全需求主要体现在：（1）密钥生成或更新算法的安全性（2）前向私密性（3）后向私密性和可扩展性（4）抗同谋攻击2.数据处理与隐私性物联网的数据要经过信息感知、获取、汇聚、融合、传输、存储、挖掘、决策和控制等处理流程，而末端的感知网络几乎要涉及上述信息处理的全过程，只是由于传感节点与汇聚点的资源限制，在信息的挖掘和决策方面不占据主要的位置。物联网应用不仅面临信息采集的安全性，也要考虑到信息传输的安全性，要求信息不能被篡改和被非授权用户使用，同时，还要考虑到网络的可靠、可信和安全。3.安全路由协议物联网的路由要跨越多种网络，有基于IP地址的互联网路由协议，有基于标识的移动通信网和传感网的路由算法，因此我们至少要解决两个问题，一个是多网融合的路由问题；二是传感网的路由问题。无线传感网络路由协议常受到的攻击主要有以下几类：虚假路由信息攻击、选择性转发攻击、污水池攻击、女巫攻击、虫洞攻击、Hello洪范攻击、确认攻击等。4.认证与访问控制认证指使用者采用某种方式来证明自己确实是自己宣称的某人，网络中的认证主要包括身份认证和消息认证。身份认证可以使通信双方确认对方的身份并交换会话密钥。保密性和及时性是认证密钥交换中的两个重要问题。为了防止假冒和会话密钥的泄密，用户标识和会话密钥这样的重要信息必须以密文的形式传送，这就需要事先已有能用于这一目的的主密钥或公钥。消息认证中主要是接收方希望能够保证其接收的消息确实来自真正的发送方。有时收发双发不同时在线，例如在电子邮件系统中，电子邮件消息发送到接收方的电子邮件的中，并一直存放在邮箱中直至接收方读取为止。广播认证是一种特殊的消息认证形式，在广播认证中一方广播的消息被多方认证。在物联网认证过程中，传感器的认证机制是重要的研究部分，无线传感网络中的认证技术主要包括基于轻量级公钥算法的认证技术、预共享密钥的认证技术、随机密钥预分布的认证技术、利用辅助信息的认证、基于单向散列函数的认证等。（1）基于轻量级公钥算法的认证技术鉴于经典的公钥算法需要高计算量，在资源有限的无线传感网络中不具有可操作性，当前有一些研究正致力于对公钥算法进行优化设计使其能适用于无线传感网络，但在能耗和资源方面还存在很大的改进空间，如基于RSA公钥算法的TinyPK认证方案，以及基于身份标识的认证算法等。（2）基于预共享密钥的认证技术SNEP方案中提出两种配置方法：一是节点之间的共享密钥，二是每个节点和基站之间的共享密钥。这类方案使用每对节点之间共享一个主密钥，可以在任何一对节点之间建立安全通信。缺点表现为扩展性和抗捕获能力较差，任意一节点被俘获后就会暴露密钥信息，进而导致全网络瘫痪。（3）基于单向散列函数的认证方法该类方法主要用在广播认证中，由单向散列函数生成一个密钥链，利用单向散列函数的不可逆性，保证密钥不可预测。通过某种方式依次公布密钥链中的密钥，可以对消息进行认证。5.入侵检测与容侵容错技术无线传感网络的安全隐患在于网络部署区域的开放特性以及无线电网络的广播特性，攻击者往往利用这两个特性，通过阻碍网络中节点的正常工作，进而破坏整个传感网络的运行，降低网络的可用性。无线传感网络可用性另一个要求是网络的容错性。一般意义上的容错性是指当部分节点或链路失效后，网络能够进行传输数据的恢复或者网络结构自愈，从而尽可能减小节点或链路失效对无线传感网络功能的影响。6.决策与控制安全物联网的数据是一个双向流动的信息流，一是从感知端采集物理世界的各种信息，经过数据的处理，存储在网络的数据库中；二是根据用户的需求，进行数据的挖掘、决策和控制，实现与物理世界中任何互连物体的互动。在数据采集处理中我们讨论了相关的隐私性等安全问题，而决策控制又将涉及另一个安全问题，如可靠性等。3.2.2物联网安全管理物联网的安全问题一直是物联网发展的巨大障碍，物联网存在许多隐患，具有感知层、网络层、应用层存在的安全性。前面讨论了物联网安全问题，其具体思路可参考图3-4.图3-5是Intel公司的安全管理平台，提供了对物联网节点的选用、配置、安全和管理功能。物联网不再由人来进行控制，而是由机器构成了庞大的设备集群，因此也就在网络安全方面产生了问题，如：物联网安全本地节点的问题、节点信息在网络中的传输安全问题、核心网络的信息安全问题、物联网中的业务安全问题。

无线局域网WLAN物理层安全物联网工程PPT模板下载：/moban/行业PPT模板：/hangye/节日PPT模板：/jieri/PPT素材下载：/sucai/PPT背景图片：/beijing/PPT图表下载：/tubiao/优秀PPT下载：/xiazai/PPT教程：/powerpoint/Word教程：/word/Excel教程：/excel/资料下载：/ziliao/PPT课件下载：/kejian/范文下载：/fanwen/试卷下载：/shiti/教案下载：/jiaoan/PPT论坛：

目录IEEE802.11物理层特点IEEE802.11MAC层CSMA/CA协议RTS/CTS协议WAPI协议

IEEE802.11物理层特点目前，WLAN的主流是标准是802.11系列标准802.11物理层三种实现方法①调频扩展(FHSS)是扩频技术中常用的一种。它使用2.4GHz的ISM频段，共有79个信道可供调频使用。第一个频道中心频率为2.402GHz，以后每隔1MHz一个信道。因此每个信道可使用的带宽为1MHz。当时用GPSK时，基本接入速度为1Mb/s。当使用GFSK时，接入速度为2Mb/s。优点：1.保密性2.抗单频及部分带宽干扰的能力3.抗多径衰落的能力4.承受过载的能力缺点：1.信号的隐蔽性差2.跳频系统抗多频干扰及跟踪式干扰能力有限3.快速跳频器的限制802.11物理层三种实现方法②直接序列扩频(DSSS)是另一种重要的扩频技术。它也使用2.4GHz的ISM频段。当使用二元相对移相键控时，基本接入速度为1Mb/s。当使用四元相对移相键控时，接入速度为2Mb/s。优点：1.可靠性2.速度较快3.传输品质高4.传输稳定缺点：1.频道数减少2.带宽增大3.信息量增大802.11物理层三种实现方法③红外线(IR)的波长为850~950nm，可用于室内传输数据。接入速率为1~2Mb/s优点：1.保密性强2.传输速度快3.安全特性高4.抗干扰性强缺点：1.传输距离短2.要求设备的位置固定3.无法灵活地组成网络IEEE802.11标准中的MAC层802.11规范为MAC协议定义了5类时序间隔，其中两类是由物理层决定的基本类型：短帧空间(SIFS)和时隙(slottime)。其余3类时序间隔则基于以上两种基本的时序间隔：优先级帧间空间(PIFS)、分散帧间空间(DIFS)和扩展帧间空间(EIFS)。SIFS是最短的时序间隔，其次为时隙。时隙可视为MAC协议操作的时间单元，尽管802.11信道就整体而言并不工作于时隙级时序间隔上。对于802.11b网络(即具有DSSS物理层的网络)，SIFS和时隙分别为10和20μs。考虑到信号的传播和处理延迟，通常将时隙选择为20μs。PIFS等于SIFS加1个时隙，而DIFS等于SIFS加2个时隙。EIFS比上述4类时序间隔都长得多，通常在当收到的数据帧出现错误时才使用。IEEE802.11标准中的MAC层802.11MAC支持两种操作模式：单点协调功能(PCF)和分散协调功能(DCF)。PCF提供了可避免竞争的接入方式，而DCF则对基于接入的竞争采取带有冲突避免的载波检测多路访问(CSMA/CA)机制。上述两种模式可在时间上交替使用，即一个PCF的无竞争周期后紧跟一个DCF的竞争周期。PCF协议在PCF协议中，AP通过向相关的移动站发送轮询消息依次对这些移动站进行轮询。如果AP需要将数据发送至正被轮询的移动站，那么数据可包含在轮询消息中。如果轮询的基站需要将数据发送至AP，则可将数据包含在轮询响应消息中。在适当情况下，确认信息(确认收到了上一个来自AP的数据帧)也可包含在响应消息中。PCF的主要思想为：AP充当中心协调控制器（PC）的角色，根据其内部的轮询表（pollinglist）依次轮询与之连接的节点（CF-PollableSTA），看其是否有数据待传。在CFP时间内，节点由于NAV机制，故无法主动竞争信道。故除非基站轮询节点，要求其反馈数据，节点不可以主动进行传输动作。DCF协议

DCF采用CSMA/CA机制，其工作原理如下：带有准备传送的新分组数据的移动站(包括AP)首先检测信道是否繁忙，如果信道在DIFS时序间隔(对于802.11b网络为50μs)内为空闲状态，那么移动站将开始传送分组数据。否则，移动站继续检测信道。如果信道在DIFS时序间隔内空闲，那么移动站：a)开始将信道时间分为多个时隙单元；b)生成以时隙为单位的随机退避间隔(randombackoffinterval)；c)继续检测信道。接着，在信道仍保持空闲的每个时隙中，退避间隔值减1。当间隔值为0时，移动站将开始传送分组数据。

在退避期间，如果在一个时隙中检测到信道繁忙，那么退避间隔将保持不变，并且只当检测到在DIFS间隔及其下一时隙内信道持续保持空闲，才重新开始减少退避间隔值。当退避间隔为0，将再次传送分组数据。退避机制有助于避免冲突，因为信道可在最近时刻被检测为繁忙。更进一步，为了避免信道被捕获，在两次连续的新分组数据传送之间，移动站还必须等待一个退避间隔，尽管在DIFS间隔中检测到信道空闲。802.11MAC层功能扫描：802.11标准定义了被动和主动扫描，也就是说，一个radioNIC可以搜索AP。被动扫描是强制的，每个NIC搜索单独的信道来发现最好的信号。AP定期的发送beacon，radioNIC在扫描的时候接收此beacon并记录相应的信号强度。beacon中包含了AP的相关信息，如服务集标识符（SSID）、支持的速率等。RadioNIC可以使用这些信息和信号强度来比较AP并决定使用哪个AP。可选的主动扫描是类似的，除了radioNIC通过广播rpobe帧来初始化过程，而在区域内的AP则通过探测响应回复此报文。主动扫描使得radioNIC不需要经过一个beacon传输时间而直接从AP获取响应。尽管如此，问题在于主动扫描为网络增加了额外的开销，因为额外的探测和探测响应报文的传输开销。802.11MAC层功能认证：认证实际上就是提供证明的过程，802.11标准中指定了两种形式的认证：开放系统认证和共享密钥认证。开放系统认证是强制的，包含了两个步骤：一个radioNIC首先通过发送认证请求帧到AP来初始化此过程，AP则在响应帧的StatusCOde中设置同意或者拒绝的信息。共享密钥认证是可选的，包含了四个步骤。这是基于WEP密钥的认证方式。RadioNIC首先发送认证请求帧到AP上，AP然后在响应帧中包含挑战码。NIC使用WEP密钥对此挑战码进行加密并发送到AP上，AP将此密钥解密并与原来的挑战码进行比较。如果结果相同，则AP认为NIC有着同样的密钥。AP通过发送认证成功或者失败的帧来完成此过程。802.11MAC层功能关联：一旦认证成功，NIC在发送数据帧之前必须要和此AP关联。关联对于NIC和AP之间的信息同步是必要的，如支持的数据传输速率。NIC通过发送关联请求来初始化此过程，其中包含了SSID和支持的速率等信息。AP通过关联响应帧来响应此报文，其中包含关联的ID以及AP的其他信息。一旦NIC和AP完成关联过程，双方就可以互相发送数据帧了。CSMA/CA协议CSMA/CD（CarrierSenseMultipleAccesswithCollisionDetection）即带冲突检测的载波监听多路访问技术(载波监听多点接入/碰撞检测)。在传统的共享以太网中，所有的节点共享传输介质。如何保证传输介质有序、高效地为许多节点提供传输服务，就是以太网的介质访问控制协议要解决的问题。CSMA/CA协议

CSMA/CD是一种争用型的介质访问控制协议。它起源于美国夏威夷大学开发的ALOHA网所采用的争用型协议，并进行了改进，使之具有比ALOHA协议更高的介质利用率。主要应用于现场总线Ethernet中。另一个改进是，对于每一个站而言，一旦它检测到有冲突，它就放弃它当前的传送任务。换句话说，如果两个站都检测到信道是空闲的，并且同时开始传送数据，则它们几乎立刻就会检测到有冲突发生。它们不应该再继续传送它们的帧，因为这样只会产生垃圾而已；相反一旦检测到冲突之后，它们应该立即停止传送数据。快速地终止被损坏的帧可以节省时间和带宽。CSMA/CD控制方式的优点是：原理比较简单，技术上易实现，网络中各工作站处于平等地位，不需集中控制，不提供优先级控制。但在网络负载增大时，发送时间增长，发送效率急剧下降。CSMA/CA协议

CSMA/CD应用在OSI的第二层数据链路层它的工作原理是:发送数据前先侦听信道是否空闲,若空闲，则立即发送数据。若信道忙碌，则等待一段时间至信道中的信息传输结束后再发送数据；若在上一段信息发送结束后，同时有两个或两个以上的节点都提出发送请求，则判定为冲突。若侦听到冲突,则立即停止发送数据，等待一段随机时间,再重新尝试。其原理简单总结为：先听后发，边发边听，冲突停发，随机延迟后重发。CSMA/CA协议的二进制算法

由于单向传输的原因，对于宽带总线而言，冲突检测时间等于任意两个站之间最大传播时延的4倍，所以对于宽带CSMA/CD来说，要求数据帧的传输时延至少4倍于传播时延。在CSMA/CD算法中，一旦检测到冲突并发完阻塞信号后，为了降低再次冲突的概率，需要等待一个随机时间，然后再使用CSMA方法试图传输。为了保证这种退避操作维持稳定采用了一种称为“二进制数指数退避”算法。“二进制数指数退避算法”的规则如下：1.对每个帧，当第一次发生冲突时，设置参数L＝2。退避重发时间在1～L个时隙中随机抽取；2.当帧再次冲突时，L加倍，即L＝2L。退避重发时间仍在1～L个时隙中随机抽取；3.当冲突n次，L＝2n。设置一个最大重传次数，超过此值，不再重发，并报告出错。此算法的效果是不冲突或少冲突的帧重发的机会大，冲突多的帧重发的机会小。CSMA/CA协议CSMA/CD控制方式的优点是：原理比较简单，技术上也容易实现，网络中各工作站处于平等地位，不需集中控制，不提供优先级控制。但在网络负载增大时，发送时间增长，发送效率急剧下降。它的代价是用于检测冲突所花费的时间。对于基带总线而言，最坏情况下用于检测一个冲突的时间等于任意两个站之间传播时延的两倍。从一个站点开始发送数据到另一个站点开始接收数据，也即载波信号从一端传播到另一端所需的时间，称为“信号传播时延”。信号传播时延（μs）=两站点的距离（m）/信号传播速度（200m/μs）。RTS/CTS协议

RTS/CTS协议(RequestToSend/ClearToSend)即请求发送/清除发送协议是被802.11无线网络协议采用的一种用来减少由隐藏节点问题所造成的冲突的机制。相当于一种握手协议，主要用来解决"隐藏终端"问题。"隐藏终端"（HiddenStations）是指，基站A向基站B发送信息，基站C未侦测到A也向B发送，故A和C同时将信号发送至B，引起信号冲突，最终导致发送至B的信号都丢失了。"隐藏终端"多发生在大型单元中（一般在室外环境），这将带来效率损失，并且需要错误恢复机制。RTS/CTS协议

当需要传送大容量文件时，尤其需要杜绝"隐藏终端"现象的发生。IEEE802.11提供了如下解决方案。在参数配置中，若使用RTS/CTS协议，同时设置传送上限字节数----一旦待传送的数据大于此上限值时，即启动RTS/CTS握手协议：首先，A向B发送RTS信号，表明A要向B发送若干数据，B收到RTS后，向所有基站发出CTS信号，表明已准备就绪，A可以发送，而其余欲向B发送数据的基站则暂停发送；双方在成功交换RTS/CTS信号（即完成握手）后才开始真正的数据传递，保证了多个互不可见的发送站点同时向同一接收站点发送信号时，实际只能是收到接收站点回应CTS的那个站点能够进行发送，避免了冲突发生。即使有冲突发生，也只是在发送RTS时，这种情况下，由于收不到接收站点的CTS消息，大家再回头用DCF提供的竞争机制，分配一个随机退守定时值，等待下一次介质空闲DIFS后竞争发送RTS，直到成功为止。RTS/CTS协议的局限性

①由于缺乏认证机制,攻击者能任意地发送伪造数据包②通过在RTS/CTS帧中设定足够大的NAV值并连续发送RTS/CTS帧,可以达到阻塞无线网络,进行拒绝服务攻击的目的。③在数据包较小的情况下,采用RTS/CTS机制,尽管可以提高数据包冲突避免的效率,但却会造成信道共享效率的急速下降,最终导致信道利用率的恶化。WAPI协议一、WAPI的概念WAPI英文全拼为WirelessLANAuthenticationandPrivacyInfrastructure，即无线局域网鉴别和保密基础结构，它是一种安全协议同时也是中国无线局域网安全强制性标准。经多方参加，反复论证，充分考虑各种应用模式，在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。WAPI协议一、WAPI的概念简单来说，WAPI其实是一种应用于WLAN系统的安全性协议，只是它采用了比WIFI更高级的加密方式，而更重要的意义在于它是我国自主研发的无限局域网标准，普遍使用的话可以比WIFI更有利于保护我国的信息安全。WAPI协议二、WAPI的技术内容WAPI安全系统采用公钥密码技术，鉴权服务器AS(AS=AuthenticationServer，鉴别服务器)负责证书的颁发、验证与吊销等，无线客户端与无线接入点AP（AP，AccessPoint）上都安装有AS颁发的公钥证书，作为自己的数字身份凭证。当无线客户端登录至无线接入点AP时，在访问网络之前必须通过鉴别服务器AS对双方进行身份验证。根据验证的结果，持有合法证书的移动终端才能接入持有合法证书的无线接入点AP。WAPI协议二、WAPI的技术内容WAPI系统中包含以下部分：

1、WAI鉴别及密钥管理——无线局域网鉴别基础结构（WAI）不仅具有更加安全的鉴别机制、更加灵活的密钥管理技术，而且实现了整个基础网络的集中用户管理，从而满