作為華為被Wi-Fi聯盟暫時撤銷會員資格事件的連帶效應，暌違多年的WAPI（中國無線局域網國家标準）再次回到公衆視野。很多人撫今追昔，痛陳當年WAPI遭遇的不公，面對今天華為的困境，WAPI的一切似乎都在瞬間被理解，這對于WAPI，對于中國技術創新是件好事。

當然，在這裡我們不想回顧WAPI曆史，隻是想給大家剖析一下WAPI的技術本質，以及它相對于Wi-Fi到底有哪些獨到之處。

WAPI的本質屬于網絡安全協議技術

目前，全球無線局域網（WLAN）已形成相對統一的技術架構，但其标準中的安全技術部分則存在兩條路線：一個是美國主導的IEEE 802.11i技術體系（出自IEEE标準組織），另一個是我國主導的WAPI技術體系。由此，在全球範圍内就形成了有關WLAN的兩個标準，即美國主導的802.11系列标準（俗稱Wi-Fi）和中國主導的WAPI标準。

需要說明的是，Wi-Fi标準和WAPI标準除了安全技術部分不同，其他部分諸如編碼調制、數據交換、訪問控制、頻段分配等都是一樣的。當然，需要強調的是，它們在安全技術上的差異是原理性和結構性的，這種巨大的差異導緻它們各自有着完全不同的網絡安全理念和網絡安全架構，進而讓Wi-Fi和WAPI在網絡形态上有了顯著的不同。

從技術本質來看，WAPI屬于無線局域網安全協議技術。網絡的本質在于連接，網絡協議是構建網絡連接的基礎核心技術，而網絡安全協議則是網絡協議的基本組成部分，它構建的是網絡本質安全能力，它是網絡安全的基石。

從标準中相關文本增長量來看，網絡安全協議是網絡協議技術演進的重點。早期的有線局域網國際标準中沒有一頁内容與安全有關，但是到了2016年，安全内容已經達到700多頁；無線局域網國際标準文本在2000年時，安全内容隻有11頁，但到了2016年，已經達到166頁之多；IP協議國際标準文本中，與安全有關的文本内容至今達到了200多頁，占标準文本總量将近一半。這些數據也從側面說明，網絡安全越來越受到全球的重視。

WAPI的初衷在于解決“網絡安全協議不安全”的問題

計算機網絡雖然已出現40餘年，應用場景不斷快速拓展，但網絡技術遠未成熟，特别是構成網絡安全基礎的安全協議技術，由于曆史原因和不同标準組織從“國家利益”和商業利益出發，網絡安全協議技術及标準一直有被個别國家技術力量“蓄意弱化”的問題，這些問題将會給網絡安全造成重大影響。

事實上，美國政府曾經用長達數十年的時間開發并完善可被其控制的網絡安全協議技術和标準體系，可見的資料顯示，早在1986年，美國國家安全局(NSA)就已開始介入網絡安全協議的開發。其中就包括與WAPI有競争關系的802.1x、IEEE 802.11i等多項安全協議标準。正如2013年“斯諾登事件”所披露的“棱鏡項目”那樣，美方不惜在相關标準中蓄意制造網絡安全協議漏洞，以達到大規模監控和攻擊全球網絡的目的。

“棱鏡門”直接導緻了全球網絡信任基礎的崩塌。在2015年的一次國際标準組織ISO/IEC标準讨論中，挪威專家明确指出“我們非常清晰的一緻意見是SIMON和SPECK算法不應當被包含進ISO/IEC 29192-2（某項國際标準編号—作者注）中，這個結論基于如下事實：這些算法是NSA提出的，我們不信任NSA會善意地提出安全标準。”

WAPI技術的研發在2000年便已開始啟動，那一時期，WLAN的應用部署尚屬初期，但國際上已經開始關注到無線局域網國際标準中的安全機制存在重大缺陷問題，西電捷通也在中國率先開展了高可信無線局域網安全技術研究，最終研發并提出了WAPI技術及其解決方案。

WAPI學名叫作“無線局域網鑒别與保密基礎結構”，這裡所說的“鑒别”就是實體鑒别，它與網絡連接的建立直接相關；“保密”屬于安全通信範疇。也就是說，WAPI技術主要聚焦網絡建立連接過程以及後續網絡通信過程的安全。

事實上，實體鑒别和保密通信都是保障網絡安全的“常規動作”，那麼與Wi-Fi相比，WAPI技術的獨到之處在哪裡呢？需要指出的是，現在網上依然有很多人說WAPI隻是改了一下加密算法就出來如何如何，這是對WAPI技術的嚴重曲解。

WAPI技術最大的創新點在于它采用了基于三元對等網絡安全架構的實體鑒别技術（TePA-EA），它在網絡架構上引入了在線可信第三方（TTP），不僅為解決網絡安全中普遍存在的訪問控制和安全接入問題提供了先進的技術支撐，而且它還确保了網絡身份鑒别的無線場景實施（這一點在本文後面會有詳細說明）。從TePA-EA這個安全技術基因出發，WAPI實現了用戶、接入點、網絡三者之間真正的雙向身份鑒别，使其在防範非法接入、中間人攻擊、防釣魚、防假熱點/僞基站等方面具有明顯的對比優勢，彌補了WLAN技術标準中的嚴重安全缺陷。這也是當年我國制定并發布WAPI國家标準的初衷。

什麼是三元對等實體鑒别？

先了解一下實體鑒别。實體鑒别就是确認網絡用戶或網絡設備身份是否合法的過程。打個比方。兩個陌生人會面，一般的流程是：打招呼——确認身份——握手交談，大體如此。其實，這樣的交互邏輯在網絡世界中同樣存在。

當你的終端設備（電腦、手機等）試圖連接無線局域網時，終端與網絡之間的第一個動作就是“打招呼”（普遍意義上的連網請求，通常由終端側發起，有時也可能由網絡側發起），專業術語稱之為“關聯”，主要是探測網絡是否有信号，以确認雙方在物理上是否能夠連得上。

接下來就是“确認身份”——終端與要接入的網絡之間互相進行身份的識别與驗證，以此保證合法終端接入合法網絡，這一過程就是“實體鑒别”。直觀來看，它是網絡安全的第一道關口，這道關口通過之後，剩下的就可以進行正常網絡通信了。

在現實生活中，陌生人之間确認彼此身份的方法可以有很多種，譬如可以用事先約定好的暗号，見面後對上了暗号就意味着找對了人。或者更直接一點，大家先亮出身份證，彼此檢驗一下，确認是公安機關發放的可信證件，這樣也意味着找對了人，我們稱之為“身份證法”。

比較而言，“身份證法”的安全級别更高，也更适合大規模使用，從技術應用的演進趨勢來看，随着實體（硬件平台等）的資源受限問題逐步得到解決，“身份證法”的應用會更加廣泛。這裡所說的“身份證”在網絡世界中即為數字證書。

光有身份證還不行，還要解決身份證怎麼用的問題。依照上述場景，兩個陌生人見面，掏出身份證互認，這在一定程度上解決了彼此間的互信問題，但是它依然存在安全隐患，畢竟身份證有可能造假，也有可能失效。

如果現場還有一個公安身份的人，并能夠當場驗證兩個人的身份證是否真實有效，并把結果反饋給二人，那麼這個“陌生——互信”的過程就比較靠譜了。這裡就引入了一個“三元”認證的概念，即兩個陌生人 公安人員，用網絡語言來說，兩個陌生人分别對應着用戶和接入點，公安人員則對應着在線可信第三方（TTP）。WAPI就是采用了這種有“公安人員”參與确認“身份證”的實體鑒别技術。

WAPI在網絡架構上引入了在線可信第三方——身份鑒别服務器，并賦予了用戶（如手機）、接入點、身份鑒别服務器三個實體以各自獨立的身份信息，這樣一來，在鑒别服務器的幫助下，手機和接入點就可以更完備地完成雙向對等身份鑒别，進而為網絡安全接入提供了可靠的技術支撐。

需要強調的是，在兩個陌生人相認過程中，沒有任何一個人可以有免檢或額外的特權，即他們之間都需要進行“對等”的鑒别。即不僅網絡可以鑒别手機是否合法，手機也可以鑒别網絡是否合法。網絡安全界有一句名言：“不假定任何事情，不相信任何人，檢驗所有的東西”。WAPI所采用的三元對等實體鑒别技術理念即是如此。

WAPI“雙節棍解決方案”實現了無線場景下的網絡身份鑒别

三元對等原理看似簡單，但三元對等架構下的實體鑒别在無線應用場景中的實現卻遠比想象複雜。對于三元對等實體鑒别原理，我們直觀的想象基本就是如下圖所示的邏輯結構：

電腦A、接入點B以及身份鑒别服務器TTP三者之間處于直連狀态，所以，它們各自之間可以方便地實現雙向身份鑒别，這個模型被望圖生意地稱為“金字塔模型”。

但是，做工程研發的都知道一個鐵律，技術的合理并不完全等于工程可用，“金字塔模型”也是如此。在實際應用中我們就會發現，“金字塔”結構應用于有線網絡沒有太大問題，但是對于無線網絡則幾乎不可用。

很顯然，當我們的電腦通過有線方式聯網，電腦A可以通過有線方式直接連到服務器和接入點B，因此，根據“金字塔模型”所設想的雙向對等鑒别是可以實現的。但是如果發生在無線網絡場景中，這種結構的工程實現就不适用了。

由于無線信号傳輸距離有限，手機可以通過無線方式就近連接接入點，但是卻無法連接放置在遠方機房中的服務器，它在現實場景中的邏輯結構就成了下面這樣：

此時，在線可信第三方TTP參與鑒别，但A、B兩者僅一方能夠連接可信第三方。為了适應無線場景的接入鑒别應用，“雙節棍模型”（同樣是望圖生意）解決方案被發明了出來，該解決方案也是WAPI整體技術解決方案體系的一部分。

基于“雙節棍模型”的三元對等實體鑒别機制是如何實現的呢？以下圖加以說明：

這種三元架構采取了五步鑒别的模式，具體過程是這樣的：

第一步接入點向終端發消息“鑒證身份開始”；

第二步終端發消息回答接入點“這是我的身份信息，請鑒别，并請給我看你的身份信息以及第三方對你的鑒别身份鑒别結果”；

第三步接入點向鑒别服務器發消息“這是我和終端的身份信息，請鑒别并反饋結果”；

第四步鑒别服務器給接入點發消息“這是對你和終端的身份鑒别結果”，此時接入點可判斷終端身份是否合法；

第五步接入點将對鑒别服務器對接入點的鑒别結果發給終端，終端收到後根據之前收到的接入點的身份信息以及鑒别服務器的鑒别結果判斷接入點的身份是否合法。

這五步信息的傳遞運用了公鑰密碼學原理，還包括集成數字證書技術，以提升終端和接入點雙方身份的真實性。這樣就在終端無法連接服務器的情況下，完備地實現與接入點之間可靠的鑒别過程。

另外，WAPI的特點不僅在于在網絡結構上做出了創新，引入了三元對等架構，而且它的協議具備原子性（不可進一步拆分成子協議），從而進一步提高了安全性。而對于Wi-Fi技術，它與WAPI最顯著的區别就是接入點設備沒有“身份證”，而從它的網絡結構來看，它既不具有原子性，也無法實現為接入點附加身份證信息。所以，Wi-Fi在安全結構上則存在原理性和結構性的缺陷，這也可以解釋為什麼它的安全機制這些年一直在不斷升級，從WEP到WPA，又到WPA2、WPA3，但問題在于，最新的WPA2和WPA3依然相繼被爆出包括CRACK等安全問題。

至此，我們完成了有關WAPI技術原理、特點和應用解決方案的介紹。WAPI誕生于2000年，某種意義上，WAPI及其所依托的技術架構——三元對等網絡安全架構，是一種超前于時代的網絡安全基礎技術。在那個時候，需要三元結構并實施雙向對等身份鑒别的應用場景還不多見，物聯網等對等網絡還處于概念階段。所以，它在技術上的價值在當時并沒有被業界充分認識到。直到後來僞基站、中間人攻擊等網絡安全問題大面積爆發，并成為嚴重的社會問題，這項發明的技術前瞻性才逐漸顯現出來。可以說，三元對等是有生命力的，所以在2010年和2019年，三元對等網絡安全架構分别有所屬的兩項和三項技術被ISO/IEC國際标準所采納并發布，前者也是中國輸出的第一個網絡安全國際标準。

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部