WAPI接入控制中包括以下实体:
①鉴别服务单元ASU(authenticationserviceunit),基本功能是实现对用户证书的管理和用户身份的鉴别等,是基于公钥密码技术的WAI鉴别基础结构中重要的组成部分。ASU管理的证书里包含证书颁发者(ASU)的公钥和签名以及证书持有者STA和AP的公钥和签名,并采用WAPI 特有的椭圆曲线作为数字签名算法。
②鉴别器实体AE(AuthenticatorEntity),为鉴别请求者实体在接入服务之前提供鉴别操作的实体。该实体驻留在M设备或者AC设备中。鉴别请求者实体ASUE(AuthenticationSupplicantEntity),在接入服务之前请求进行鉴别操作的实体。该实体驻留在STA中。
③鉴别服务实体ASE(AuthenticationServiceEntity),为鉴别器实体和鉴别请求者实体提供相互鉴剔服务的实体。该实体驻留在ASU中。
为了使STA能够识别启用WAPI无线安全机制,在信标帧、关联请求帧、重新关联请求帧和探询请求帧中携带WAPI信息元素。对于M来说,需要在发出信标帧和探询响应帧中,根据当前AP上WAPI的配置加入相应的WAPI信息元素。同时,解析关联请求帧和重新关联请求帧,只有在符合当前M上WAPI的配置条件时才能和该STA进行后续的协商。
WAPI鉴别及密钥管理的方式有两种,即基于证书和基于预共享密钥PSK。若采用基于证书的方式,整个过程包括证书鉴别、单播密钥协商与组播密钥通告:若采用颈共享密钥的方式,整个过程则为单播密钥协商与组播密钥通告。
WPI保密基础结构对MAC子层的MPDU进行加、解密处理,但对于WAI协议分组不进行加解密处理。