文章插图
WAPI在网络架构上引入了在线可信第三方——身份鉴别服务器，并赋予了用户（如手机）、接入点、身份鉴别服务器三个实体以各自独立的身份信息，这样一来，在鉴别服务器的帮助下，手机和接入点就可以更完备地完成双向对等身份鉴别，进而为网络安全接入提供了可靠的技术支撑 。
需要强调的是，在两个陌生人相认过程中，没有任何一个人可以有免检或额外的特权，即他们之间都需要进行“对等”的鉴别 。即不仅网络可以鉴别手机是否合法，手机也可以鉴别网络是否合法 。网络安全界有一句名言：“不假定任何事情，不相信任何人，检验所有的东西” 。WAPI所采用的三元对等实体鉴别技术理念即是如此 。


文章插图
WAPI“双节棍解决方案”实现了无线场景下的网络身份鉴别 三元对等原理看似简单，但三元对等架构下的实体鉴别在无线应用场景中的实现却远比想象复杂 。对于三元对等实体鉴别原理，我们直观的想象基本就是如下图所示的逻辑结构：


文章插图
电脑A、接入点B以及身份鉴别服务器TTP三者之间处于直连状态，所以，它们各自之间可以方便地实现双向身份鉴别，这个模型被望图生意地称为“金字塔模型” 。
但是，做工程研发的都知道一个铁律，技术的合理并不完全等于工程可用，“金字塔模型”也是如此 。在实际应用中我们就会发现，“金字塔”结构应用于有线网络没有太大问题，但是对于无线网络则几乎不可用 。
很显然，当我们的电脑通过有线方式联网，电脑A可以通过有线方式直接连到服务器和接入点B，因此，根据“金字塔模型”所设想的双向对等鉴别是可以实现的 。但是如果发生在无线网络场景中，这种结构的工程实现就不适用了 。
由于无线信号传输距离有限，手机可以通过无线方式就近连接接入点，但是却无法连接放置在远方机房中的服务器，它在现实场景中的逻辑结构就成了下面这样：


文章插图
此时，在线可信第三方TTP参与鉴别，但A、B两者仅一方能够连接可信第三方 。为了适应无线场景的接入鉴别应用，“双节棍模型”（同样是望图生意）解决方案被发明了出来，该解决方案也是WAPI整体技术解决方案体系的一部分 。
基于“双节棍模型”的三元对等实体鉴别机制是如何实现的呢？以下图加以说明：


文章插图
这种三元架构采取了五步鉴别的模式，具体过程是这样的：
第一步接入点向终端发消息“鉴证身份开始”；
第二步终端发消息回答接入点“这是我的身份信息，请鉴别，并请给我看你的身份信息以及第三方对你的鉴别身份鉴别结果”；
第三步接入点向鉴别服务器发消息“这是我和终端的身份信息，请鉴别并反馈结果”；
第四步鉴别服务器给接入点发消息“这是对你和终端的身份鉴别结果”，此时接入点可判断终端身份是否合法；
第五步接入点将对鉴别服务器对接入点的鉴别结果发给终端，终端收到后根据之前收到的接入点的身份信息以及鉴别服务器的鉴别结果判断接入点的身份是否合法 。
这五步信息的传递运用了公钥密码学原理，还包括集成数字证书技术，以提升终端和接入点双方身份的真实性 。这样就在终端无法连接服务器的情况下，完备地实现与接入点之间可靠的鉴别过程 。

以上关于本文的内容，仅作参考！温馨提示：如遇健康、疾病相关的问题，请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容，希望对您有所帮助：

• 为什么搭公交车无法使用微信扫码？ 就是公交车微信扫码手机扫不了是怎么回事?
• 手机上怎么激活医保卡 怎么激活医保卡
• 1个手机号码申请2个微信 微信怎么更换手机号
• 手机比电脑辐射大吗
• 手机怎么确定电脑退出微信 微信怎么退出电脑的登录
• 手机虚拟机有什么用 虚拟机有什么用
• 烧屏手机有必要维修吗 屏幕烧屏怎么修复
• oppo手机自动锁屏在哪里设置 手机自动锁屏在哪里设置
• 苹果iphonexsm iphonexr是什么手机？
• 盛京手机如何挂失信用卡