由于802.11協議標準中定義的WEP安全機制在數據安全性、用戶key管理等方面存在缺陷，是WLAN大規(guī)模運營的重大障礙。
  　 中國在無線局域網國家標準GB15629.11-2003中發(fā)布了WAPI，WAPI主要由WAI(無線局域網鑒別基礎結構)和WPI(無線局域網保密基礎結構)兩部分組成，提出了對等訪問控制的概念，實現了AE、ASUE和ASE的三元組認證。
  　 WAPI用戶的漫游
  　 因為WLAN的用戶是百萬級的，不可能在全國集中架設WAPI的AS服務器，必須根據用戶量的多少，把AS服務器架設在省公司層面或本地網層面。就必須解決用戶在不同AS域中的認證問題，即WAPI用戶的漫游。
  　 具體來說，有兩種模式：異地認證和本地認證。
  　 異地認證模式，即：用戶在其他AS域中要求證書鑒別，AS通過數字證書的頒證機構(Issuername)字段發(fā)現該用戶非本地用戶，馬上把WAI報文轉發(fā)到用戶歸屬地的AS進行鑒別認證。本地認證模式，即AS直接認證數字證書有效性，同時查證該證書是否在“黑名單”中決定是否讓該用戶認證通過。
  　 WAPI用戶的認證和計費
  　 用戶使用WLAN業(yè)務一共要經過三重認證：無線鏈路加密認證，接入認證和業(yè)務認證。無線用戶終端在發(fā)現WLAN網絡具有WAPI認證功能后，提交自己的WAPI證書信息，WLAN設備加上自身的認證信息后一起提交AS，AS對兩者的信息都進行認證，把認證結果告訴WLAN設備和無線用戶終端；整個認證過程中采用數字簽名；只有當三方認證都通過后，才開始由WLAN設備與無線用戶終端協商通信密鑰。整個無線鏈路加密認證過程在后臺運行，用戶基本不用人工參與。
  　 如果用數字證書認證替代現有的DHCP+Portal等接入認證，最主要問題是無法實現正常計費：無線鏈路加密認證通過后，AC開放了受控端口，允許數據流進入公網，但AC不可能知道用戶何時開始使用網絡，無法提供計費開始信息；同時，用戶沒有正常下線的手段，系統(tǒng)也無法檢測用戶是否異常下線，無法提供計費結束信息。這樣就只能為用戶提供包月的服務。
  　 因此是否把多重認證方式統(tǒng)一，要區(qū)分不同用戶及不同的無線用戶終端。
  　 WAPI數字證書的發(fā)放和管理
  　 實體身份的認證、證書的發(fā)布、吊銷等一系列工作絕非簡單。
  　 基于證書機制，PKI核心組件包括：
  　 CA(Certificate Authority，證書認證中心)
  　 CA是PKI最核心的組件。它負責接受用戶的請求，負責簽發(fā)和管理數字證書，提供證書查詢，接受證書注銷請求，提供CRL等。
  　 RA(Registration Authority，證書注冊中心)
  　 RA直接面對最終客戶，受理其證書申請和管理請求。
  　 CRL(Certificate RevocationList，作廢證書列表)
  　 作廢證書列表，通常由同一個發(fā)證實體簽名。當公鑰的所有者丟失私鑰，或者改換姓名時，需要將原有證書作廢。
  　 證書存檔(Repository)
  　 一個電子站點，存放證書和作廢證書列表、CA在用證書和作廢證書。
  　 用戶(Subscriber)
  　 用戶是作為主體署名證書并依據策略使用證書和相應密鑰的實體。
  　 根CA系統(tǒng)
  　 根CA系統(tǒng)主要由根證書簽發(fā)系統(tǒng)，根CRL組成。根CA在系統(tǒng)正式運行后，不會參與各種用戶證書的簽發(fā)，因此平時基本上處于離線關閉狀態(tài)。

        二級CA系統(tǒng)
  　 二級CA系統(tǒng)是整個PKI/CA系統(tǒng)中最重要的部分，安全性要求最高。主要包括：數字證書簽發(fā)系統(tǒng)、數字證書申請系統(tǒng)、數字證書服務系統(tǒng)、客戶服務系統(tǒng)和數字證書管理系統(tǒng)等。
  　 RA機構
  　 證書注冊審核機構(RA)分布在各個本地網，來滿足不同地區(qū)證書用戶的申請、注冊、審核和發(fā)放。
  　 RA受理代理點(RAT)
  　 若上述的RA機構仍不能滿足用戶分散性等工作要求的地區(qū)，可以在本地區(qū)的RA機構下，再設立RAT。由電信運營商設立CA根中心，生成各省公司的二級CA中心，然后在各本地網設立RA或RAT(見圖1)。
  　 WAPI數字證書的獲取和存儲
  　 用戶的私鑰是非常重要，必須對用戶的私鑰進行保護確保不丟失。如果丟失，須通知CA中心吊銷自己的證書，防止其它用戶信任已經泄密的證書而造成不必要的損失。根據對安全的不同要求，用戶的證書及其私鑰可以放在硬盤中、智能卡、USB令牌等存儲介質中：
  　 硬盤(固定的存儲介質)
  　 私鑰通過口令進行保護，并加密存放在硬盤中。該方式的優(yōu)點在于不需額外花費，使用簡單快捷；缺點在于安全性較低，不支持移動辦公。這種方式非常適合于安全性要求不太高，或機器本身有較強的安全保護環(huán)境中。對于手機終端，相當于將證書安裝在其閃存中。
  　 智能卡+讀卡器(專用的便攜式存儲介質)
  　 智能卡是一種非常安全可靠的存儲設備，它通過IC芯片和其中的操作系統(tǒng)(COS)防止攻擊者竊取卡內的機密信息。該方式的優(yōu)點在于安全性高，可以實現在具有讀卡器的機器上漫游；缺點是需要額外硬件投資，以及安裝軟件。
  　 USB-Key(通用便攜式存儲介質)
  　 該方式的優(yōu)點在于安全性高，可以實現在所有的機器(具有USB接口)上的漫游；缺點是需要額外硬件投資，以及安裝相應軟件驅動。
  　 電信運營商向用戶提供(1)、(3)兩類的存儲介質，用戶可以自行選擇。選擇(1)類的存儲介質，除了安全性較低外，用戶更換終端或重裝系統(tǒng)就要重新申請并安裝新的證書；選擇(3)類的存儲介質，有較高的安全性，但對存儲介質有較高的要求，特別是要支持WAPI數字簽名指定的橢圓曲線加密算法(ECC)。
  　 用戶獲取數字證書，可以通過到營業(yè)廳(RA/RAT)申請，也可以利用電腦或手機直接從網上下載。前者適合于提供有效期較長的數字證書，后者適合于提供短期、臨時的數字證書。