本文轉自：瞭望智庫（zhczyj）文 | 張弛科普作者，通信博士，筆名“奧卡姆剃刀”

5月26日，據相關媒體報道，Wi-Fi聯盟、SD協會、外圍部件互連專業組織PCI-SIG、USB-IF組織、固态技術協會（JEDEC）等暫停華為會員資格或參與會員活動。

外界擔心，被排除在行業标準制定組織之外，可能給華為的未來發展帶來沖擊。

華為在最新聲明中稱，最近個别标準與産業組織受政治影響而暫停與華為的部分合作，我們對此表示遺憾，但這不會影響華為的正常業務運作及對客戶提供高質量産品和服務。

對此，有專家認為，暫停華為會員資格的組織雖号稱“國際組織”，但實質是坐落于美國、由美國發起和主導，并由多國參與的組織。會員資格被暫停後，華為雖然或将不能參與這些組織舉辦的會議，但影響有限。國際行業标準制定組織若将華為長期排除在外，其影響力及權威性勢必降低。未來，華為可以聯合其他廠商形成新的組織聯盟，繼續在國際行業标準制定領域發聲。

國際标準的制定到底有多重要？可以說，國際标準的争奪不亞于一場“戰争”。

就拿這次暫停華為會員資格的Wi-Fi聯盟來說，其所創立的Wi-Fi和中國的WAPI之間的技術标準之争，就有很多國人不知道的驚人真相！

1

美國Wi-Fi和中國WAPI誰更安全？先得搞懂這個問題！

Wi-Fi是美國行業标準組織提出的IEEE802.11系列标準，而WAPI是中國無線局域網安全強制性标準。

那美國的Wi-Fi和中國的WAPI，到底誰更安全呢？

在讨論這個問題之前，我們有必要先搞明白“層”的概念。

國際标準化組織把信息系統從物理層到應用層分成了七層結構。

我們不妨舉一個熟知的例子，當你用微信給朋友發一條信息“在嗎？”時，朋友的手機馬上就顯示這條信息。

這個過程看似簡單，其實不然。

你在手機上打出“在嗎？”這個詞語，這隻是應用層的實現，信息要一層接一層地組裝和下傳，最終通過物理層的電磁波把信号傳到對方設備上。對方再從設備的物理層開始，把信号沿着反向順序逐層解析和上傳，恢複出原始信息，最終在你朋友的微信等應用軟件上顯示出來。

這種分層方法是人類處理複雜勞動時最常用的辦法。比如糧食生産就經曆了品種選育、耕地播種、澆水施肥、收割處理、食品加工等多個階段。每個階段都有不同工作，也都有不同的生産規範和安全标準，隻有逐層配合協調工作，糧食才能生産出來。

信息系統的構建也是如此，這不是單一工種能夠完全實現的，從物理層到應用層，每個層面都有不同的功能要求和技術規範，并由不同專業的技術人員來實現。

分層的優點就在于，一個設備隻要符合了它所在層的接口規範，這個設備就具備了承接上層和銜接下層的基礎，各層就能以标準模塊的形式存在，搭建系統時可以像摞積木一樣方便。

稍有生活常識的人就能體會到，逐級檢查是最安全的，例如，乘坐飛機時先驗票，可以基本排除有人假冒乘客的危險；确定是合法乘客後再進行安檢，進一步篩查違禁物品。逐級就是分層，每個層的檢查重點不同，方法和标準也都不同。如果不分層，把所有人都放在候機區隻進行一次檢查，危險系數就大大增加了。

信息安全有個規律：底層漏洞靠上層很難彌補，而上層的加密防護很容易被從底層突破。例如，軍事安全領域中有一種旁路攻擊技術，軍用系統的加密方法很複雜，在應用層面上破密基本不可能，但是，無論如何複雜，最終都能通過某個芯片某個管腳（例如圖中的紅色管腳）的某種電磁波信号來“開啟”這個動作。

如果攻擊者找到這個管腳，偷偷安裝一個很精密的信号采集探頭，把正常開啟的物理信号采集下來，不管應用層的加密算法和密鑰如何變化，隻要把這個物理信号重新加載到這個管腳上，複雜的加密系統就被繞過去了。

這就好比是小偷偷汽車，不管鑰匙做得多複雜，隻要把發動機的點火線扯出來就能對着火。

又如廚師蒸饅頭，在整個生産過程中有不同層次的安全生産标準和規範，收割的小麥先清除雜物，然後要脫殼……每一道工序都符合安全标準，廚子才能拿到安全衛生的面粉去蒸饅頭。面沒發好或者堿放多了導緻饅頭又粘又黃，這是廚子的責任。分辨小麥是雜交還是轉基因就不是廚子的職責了。

網絡信息安全也是如此，每個層面都有不同的安全主題，相應有不同的安全标準，各層次之間相互支撐、相互配合，但是不能相互替代。

那些認為能把底層安全隐患交給上層來解決的網友們，缺乏信息系統理論的基本常識。

2

美國的Wi-Fi有個很緻命的缺陷

誰在維護信息安全？

估計大家想到的是防病毒軟件公司和提供網盤服務的公司，畢竟這些公司的工作是在與用戶直接打交道的應用層，大家都知道。

其實還有很多安全公司工作在信息系統的底層，他們的職責更基礎也更重要，隻因不跟公衆直接打交道而不被熟知。

如果信息網絡系統底層出了安全問題，就超出了防病毒軟件公司的工作層面，他們能做的也隻是盡量彌補而不是根治。這好比肝病導緻了病人臉色發黃，病人就該找醫生去醫治肝髒，而不是找美容師往臉上抹粉。

在網絡安全問題上，從物理層、鍊路層到應用層，每個層都有自己的安全挑戰，無論美國的Wi-Fi，還是中國的WAPI，它們都工作于鍊路層。鍊路層的安全挑戰包括假基站、非法終端接入、數據監聽、重放攻擊、篡改、拒絕服務攻擊等諸多問題。這些挑戰對于鍊路層上支持承載的任何應用都是存在的，包括微信、微博和支付，等等。

因此，鍊路層需要自身的安全技術，不能将安全隐患遺留給上層應用去解決。

Wi-Fi的安全就是一個最明顯的例子，2015年和2016年央視“315晚會”連續兩年曝光了Wi-Fi的安全漏洞，國内互聯網安全公司對此高度重視，但是直到現在這個問題依然沒有被完全解決。

為什麼呢？因為Wi-Fi的安全漏洞出現在鍊路層，要在鍊路層進行解決，僅靠對上層的修補并不能徹底解決問題。

于是，Wi-Fi聯盟發現WEP（Wi-fi的一種密碼保護模式）不安全後，采用WPA和WPA2來進行彌補，這的确算是在鍊路層解決鍊路層的問題。然而，結果卻讓人遺憾，安全隐患隻是得到了緩解，并沒有得到根治。

這又是為什麼呢？

根本原因是Wi-Fi的安全問題出在鍊路層的“二元安全架構”，這種架構已滿足不了新形勢下的網絡安全要求。

很多讀者一定會問，既然問題已經找到，那把二元架構換掉了不就安全了？

問題就在于，這種基本架構是改不掉的。這就好比房子的承重牆和大梁都建好了，無論後期怎麼裝修，房子的框架是變不了的。

二元架構問題到底是怎麼回事呢？

這要從20世紀90年代中期Wi-Fi設計之初說起，那時的接入設備一般都是龐大的有線路由器，無線應用還非常罕見，現在很常見的“僞造無線接入的基站”在那時簡直就是“黑科技”，所以，在設計時根本就沒考慮這事。

當時的安全需求隻是基站對終端的合法性進行鑒别，并依據鑒别結果确定是否允許終端接入。通俗地說，就是基站決定讓誰上網、不讓誰上網。因此，當時采取的是單向鑒别結構，無線接入點（即我們熟悉的無線路由器）對終端進行鑒别，而終端卻并不對接入點進行上行鑒别。

這也是電信業百年以來的慣性使然，有其曆史的局限性。

這種架構的工作原理是：接入點确定并向合法終端分發了共享密鑰，終端和接入點用共享密鑰進行鑒别和保密通信，但終端無法判斷接入點是否合法，這就為“釣魚”和中間人攻擊提供了機會。

上文提到的兩屆央視“315晚會”的Wi-Fi安全警示說的就是這種危險——黑客設置“釣魚”接入點，誘導用戶手機登錄，然後獲取用戶手機裡的個人隐私。

3

中國的WAPI到底什麼水平？

當時的研發人員忽視了這種危險，也就沒有進行針對性的安全設計。當然，我們不能跨越時空去譴責前人，但這個架構性的安全隐患是客觀存在的。

随着時間推移，無線接入點的應用越來越普及，Wi-Fi的安全問題随之愈加突出，Wi-Fi聯盟被迫采用了新的安全機制，用WPA和WPA2代替了WEP，采用802.1x來實現無線局域網的鑒别和訪問控制。

簡單地說，這種模式就是增加了一個實體性的鑒别服務器，與接入點綁定在了一起，默認兩者相互可信，形成了相對于終端的網絡端，在形式上實現了終端和網絡端之間的雙向鑒别，安全性比以前得到了提高。

雖然有所發展，但其安全架構實質還是二元鑒别架構，危險并未被解除。

而且，新結構有個重要問題：無線接入點還是沒有獨立的身份，它與鑒别服務器之間的通信是透明傳送，接入點隻是幫助終端和鑒别服務器之間形成了雙向鑒别，而終端與接入點之間卻并沒有形成雙向鑒别，“釣魚”和中間人攻擊風險依然存在，系統維護和管理的代價更高——由于依賴于接入點和鑒别服務器的“強綁定”，在接入點和鑒别服務器之間也引入了新的攻擊點。

我們不妨舉個例子，二元架構的鑒别就像學生拿着錄取通知書去大學報道，出了火車站就見到了舉着大學招牌的接站人。如果沒有那塊寫着大學名稱的招牌，學生不能确認接站人是不是自己要找的；如果沒有那張通知書，接站人也不能确認學生就是錄取通知書上的那個人。通知書和招牌就好比共享密鑰，能讓雙方互相進行确認。

然而，這種身份鑒别模式并不安全。我有個同事就曾在接站人身份鑒别方面上了當，他出站後遇到了舉着他姓名牌的接站人，于是放心地把行李交給此人，結果三拐兩拐就跟丢了。真相是騙子僞造了真接站人的牌子，就把同事給釣到了。

前面我們也提到了，Wi-Fi聯盟的專家明白這個缺陷，但“二元架構”這條技術路線在Wi-Fi設計之初就确定了，無論如何修改，都無法颠覆最初的設計，必須要做到向後兼容，不能改得以前的設備都不能用了。

這是沒有辦法的事，20多年前對安全技術認識的局限性是客觀存在的。

被美國使用各種手段強力抵制多年的中國發明的WAPI協議，在設計之初就提出了與Wi-Fi完全不同的“三元對等安全架構”，并精細設計了傳遞協議，不存在這個曆史“包袱”。

具體說來，這種三元架構是通過引入第三方的方式，實現了終端和接入點之間的直接雙向鑒别，“釣魚”和中間人攻擊無法實施，因此，從結構根源上防止了欺詐性的攻擊。

這相當于多了個公證人，他把雙方與衆不同的體貌特征做成數字簽名，然後分别核實，這就不會誤認了。

很明顯，三元架構比二元架構更安全。

這種三元架構采取了五步鑒别的模式，具體過程是這樣的：

第一步，由接入點向終端發消息“鑒證身份開始”；

第二步，終端發消息回答接入點“這是我的身份信息，請鑒别，并請給我看第三方對你的鑒别身份鑒别結果”；

第三步，接入點向鑒别服務器發消息“這是我和終端的身份信息，請鑒别并反饋結果”；

第四步，鑒别服務器給接入點發消息“這是對你和終端的身份鑒别結果”，此時接入點就知道了終端身份是否通過了鑒别；

第五步，接入點給終端發消息“這是我的身份鑒别結果”，此時終端就知道了接入點身份是否通過了鑒别。

這五步信息的傳遞設計首先要考慮它是通信協議系統的分系統，要與通信協議協同。并且，它運用公鑰密碼學原理，還包括集成數字證書技術，以提升終端和接入點雙方身份的真實性。

什麼是數字證書？

數字證書跟我們常見的用戶名和密碼完全不是一回事，用戶名和密碼的體制非常不安全，很可能洩露給犯罪分子。

你在訪問銀行網站時，會在浏覽器上看到一個小挂鎖的标志，點開就會發現是一個數字證書。WAPI采用這種銀行級别鑒别所用的數字證書作為載體，它不僅能保證身份的真實性，還能保證操作的不可抵賴性。

什麼是“不可抵賴”？

數字證書不僅能幫用戶核實接入點的真實性，還能确認是對方真實身份在操作，雙方都不能抵賴，從身份和内容兩個方面保證了信息交流的真實性。

不要小瞧這種三元架構中的五步實體鑒别方法，它曾于2010年6月被國際标準化組織通過，成為國際标準。這是我國在基礎性信息安全領域的第一個國際标準，也是全球範圍内非對稱實體鑒别領域在過去十餘年内的唯一技術，它的雙向身份鑒别可以徹底解決Wi-Fi一類的先天性二元鑒别漏洞。

4

争取底層架構的主導權事關重大！

WAPI比Wi-Fi更安全，這是三元架構所決定的，因為它的技術優勢而遭遇美國強力阻撓、抵制，在全球推廣受到了影響。

技術标準的先發優勢非常重要，一旦被推廣起來，即使發現了嚴重問題，由于行業已經被它綁架，很難改弦更張。

美國政府在全球範圍内強力推廣Wi-Fi，并阻撓抵制歐洲和中國的同類技術，等全球市場都被其占領後再放手，競争者們很難扭轉局面。

現在，公衆隻知道Wi-Fi，其實當初有多種同類技術都不比Wi-Fi差，甚至更有優勢。除了中國的WAPI之外，歐洲的HiperLAN也是一項。

無論是服務質量、速率、越區切換、安全保密，HiperLAN都優于Wi-Fi，但它的命運還不如WAPI。

當年，HiperLAN被忽悠到美國控制的标準組織IEEE去搞标準化，搞着搞着，美國企業主導的技術方案成了正式标準，HiperLAN技術則活生生地被拖垮了。

2003年，IEEE的一份内部文檔中指出：戰争要一場一場打，WAPI就是下一個（歐洲的HiperLan是上一個）。

要向全球推廣技術标準，除了技術質量過硬，還需要具備兩點條件：一是政府引導，二是産業協同生态建設。美國這兩手都很硬，Wi-Fi被集成到當時的英特爾迅馳處理器上，通過CPU的全球壟斷把Wi-Fi标準推廣起來，即便不安全也能讓話語權掌握在美國手上。

中國在推廣WAPI标準方面兩手都比較欠缺，單就建立國内産業協同生态來說，在當時就很困難，這似乎與2016年11月華為主導的Polar碼被3GPP認可成為5G eMBB場景的控制信道編碼形成了鮮明的對比。

華為是全球第一大電信設備商，其科研投入在同類企業中遙遙領先，在各種國際電信組織中都有話語權。當時，在全球四大電信設備商中，華為第一，中興第四，這兩家中國企業占據了全球近一半的電信設備市場。中興在這場5G技術标準争奪戰中力挺華為，兩大國際電信巨頭合力取勝是很正常的事。

對比Polar碼和WAPI這兩項中國人争取的技術标準，隻是性質略有不同。簡單來說，Polar碼是底層技術應用創新，而WAPI是底層技術原始創新。

業内通常認為底層的發明更重要——上層的發明是“基于網絡的發明”，而底層的發明則是“發明網絡的本身”。這好比房屋的建築與裝修，用PVC管替代鑄鐵管是很好的發明，用塑鋼窗戶替代木窗也是很好的發明，但都不如用鋼筋水泥結構替代磚石結構更重要，因為後者是底層的發明，是深刻影響全系統的關鍵因素。

WAPI和Polar碼均屬底層發明，但受到的待遇卻大相徑庭：Polar碼得到的是一片贊聲，WAPI得到的是一片奚落。

這是為什麼呢？

按筆者的理解，十多年前我們在自主技術方面還缺乏自信，大多數為Polar碼喝彩的人對這種碼一無所知，隻是看“意見領袖”們說好，也就跟風表達自豪；當年大多數嘲諷WAPI的人對其核心的三元對等架構并不了解。

發明WAPI的公司叫西電捷通，由西安電子科技大學的國家重點實驗室的班底構成，擁有600多項發明專利、多項國際技術标準，得到過世界知識産權組織和國家知識産權局的金獎。更值得一提的是，早在10多年前，西電捷通就幹了與Polar碼同樣重要的事。但是，作為一個百十人規模的小公司，無論十多年前還是今天，都難以與華為的影響力相提并論。

争取國際标準重要，推廣已經被授權的國際标準更重要。

說到WAPI的推廣，總有些網友調侃WAPI折騰了十年都沒有應用起來。

這其實是個常見的誤解。

WAPI核心技術作為國際标準化組織通過的國際标準，早已内置在全球範圍内的所有無線局域網芯片中，已經做到了無線接入領域内的普遍應用。這就像安全帶，已作為标準配置裝到了汽車裡，在行業内普遍應用；至于駕駛員系不系安全帶，是個人問題，需要公共安全秩序管理者去促進解決，安全帶發明者不需要對此事負責。

再比如手機都内置了GPS芯片，提供了普遍使用的技術條件，這就可以說GPS在手機上已經全面應用。WAPI的全面應用也是同理，包括蘋果在内，所有手機裡都内置着WAPI，區别隻在于用戶使用率的高低。

WAPI雖然已經普遍應用，但用戶使用率較低，除了Wi-Fi影響力高等外部原因外，其部署使用也面臨挑戰，核心問題就是為了安全而采用了證書，證書發放過程有些麻煩，而且比較專業，一般用戶是搞不定的。好在該使用環節現在已經有了改進，首次發布時需要配置，以後再使用就會自動處理了。

與WAPI帶來的安全優勢相比，這一點麻煩就顯得微不足道。

出于信息安全的考慮，軍隊等特殊行業的無線接入網禁止使用Wi-Fi，這對WAPI的發展是一個機會。

有網友擔心WAPI的使用成本會增加，其實根本無需擔心，盡管WAPI是個複雜的安全協議，但協議已在芯片設備軟硬件内嵌入，早已内置到手機裡了。這類似手機内原生的基本功能，你不用時它就在手機裡駐留着，使用時隻會帶來益處，也不會多花用戶一分錢。

我為什麼關注WAPI？不僅僅因為它是國産國際标準，更關鍵的在于，它是構成網絡本身的底層技術研發。

這種計算機網絡基礎技術架構層面的國際标準，中國經曆過标準與産業推動的目前隻有這一個，如何持續的發展産業和使用部署，我們沒有經驗，政府若不加強引導，隻靠勢單力薄的國内産業去跟美國政府及其産業巨頭硬扛，肯定也不行。

争取底層架構的主導權是一件大事，每個人都應該了解。

中國科技發展迅速，現在已經從上層的技術創新，逐漸下潛到底層的網絡架構，這是從網絡應用到定義網絡的重大變化，面臨的國際競争會更加劇烈。

這個坎必須得邁過，否則就隻能在他人定義的規則下競争。

本文中除标明來源的圖片，其餘均來自網絡公開渠道，不能識别其來源，如有版權争議，請聯系公号方。

欄目主編：陶峰 文字編輯：李林蔚 題圖來源：視覺中國 圖片編輯：朱瓅

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!