WAPI认证由谁负责？

WAPI认证由国家认可的鉴别服务器（AS）统一负责。该服务器作为WAPI安全体系的核心枢纽，严格承担数字证书的颁发、实时验证与合规吊销等全生命周期管理职能；其技术实现依托于我国自主提出的WAI（无线局域网鉴别基础结构）与WPI（无线局域网保密基础结构）双模块协同机制——WAI基于公钥密码体制完成STA与AP之间的双向身份核验，WPI则采用国密标准对称算法保障MAC层数据传输的机密性与完整性。所有通过中国无线电发射设备型号核准（SRRC）、电信设备进网许可及CCCI认证的终端与接入设备，均须在AS签发的有效证书支撑下完成接入鉴权，这一机制已纳入GB 15629.11系列国家标准，并获IEEE Registration Authority正式分配以太类型字段，成为全球范围内首个由中国主导并获国际组织批准的WLAN安全协议。

一、WAPI认证的具体执行主体与职责划分

鉴别服务器（AS）是WAPI认证的法定责任单位，由国家密码管理局批准设立、具备商用密码认证资质的第三方机构或经授权的行业级认证中心承担。其核心职责包括：为符合GB/T 20500—2022《无线局域网鉴别与保密基础结构（WAPI）证书管理规范》的申请方签发X.509格式数字证书；对STA（如手机、笔记本）和AE（AP或AC设备）提交的证书链进行实时OCSP在线状态验证；依据《电子认证服务管理办法》对私钥泄露、设备停用等情形启动证书吊销流程，并同步更新CRL证书吊销列表。所有AS必须接入全国统一的WAPI证书信任体系，确保跨厂商、跨区域终端间的互认互通。

二、WAPI双向鉴权的操作流程详解

用户设备首次接入WAPI网络时，需经历四步标准化握手：第一步，STA向AE发起关联请求并附带自身证书；第二步，AE将该证书连同自身证书一并提交至AS进行联合校验；第三步，AS调用国密SM2算法验证双方公钥证书的有效性、签名完整性及CA签发链合法性；第四步，AS生成并分发临时会话密钥，由WPI模块基于SM4算法完成MSDU数据帧的加解密封装。整个过程须在300毫秒内完成，且不依赖互联网连接，仅通过本地有线回传通道与AS通信，保障政务、金融等高安全场景下的离线可用性。

三、终端合规接入的硬性前提条件

并非所有支持WAPI协议的设备均可自动完成认证。根据工信部《关于加强无线局域网产品安全管理的通知》，终端必须同时满足三项强制要求：一是内置由国家密码管理局核准的WAPI协议栈固件（版本不低于V2.1）；二是预装经AS签发且处于有效期内的设备证书（有效期最长5年）；三是通过中国泰尔实验室依据YD/T 1388.2—2021标准实施的WAPI一致性测试。未获SRRC型号核准的AP设备，即使启用WAPI开关，其AE实体也无法响应AS的鉴权指令，导致连接失败。

综上，WAPI认证是一项由国家主导、标准驱动、多层协同的系统性工程，其权威性与可靠性根植于严格的资质准入、可验证的密码流程和全覆盖的检测认证体系。