文章目录

• WAPI的本质属于网络安全协议技术。
• WAPI的初衷是解决“网络安全协议不安全”的问题
• 什么是三元对等认证？
• WAPI“双截棍解决方案”实现无线场景下的网络身份认证。

作为华为被Wi-Fi联盟暂停会员资格的连带效应，被违反多年的WAPI(中国无线局域网国家标准)再次回到公众视野。许多人回忆起WAPI在那些日子里遭受的不公正。面对华为今天的困境，WAPI的一切似乎都在一瞬间明白了，这对WAPI和中国的科技创新都是好事。

当然，在这里我们不想回顾WAPI的历史，只想给大家分析一下WAPI的技术本质以及它相对于Wi-Fi的独特性。

WAPI的本质属于网络安全协议技术。

目前，全球无线局域网(WLAN)已经形成了相对统一的技术架构，但在其标准的安全技术部分有两条路线:一条是美国主导的IEEE 802.11i技术体系(来自IEEE标准组织)，另一条是中国主导的WAPI技术体系。于是，全球形成了两个WLAN标准，即以美国为首的802.11系列标准(俗称Wi-Fi)和以中国为首的WAPI标准。

需要注意的是，Wi-Fi标准和WAPI标准在编码和调制、数据交换、访问控制、频带分配等其他部分是相同的。除了安全技术的不同。当然，需要强调的是，他们在安全技术上的差异是原则性和结构性的。这种巨大的差异导致了它们完全不同的网络安全理念和架构，使得Wi-Fi和WAPI在网络形态上有着显著的不同。

从技术本质上讲，WAPI属于无线局域网安全协议技术。网络的本质在于连接，网络协议是网络连接的基础核心技术，网络安全协议是网络协议的基础组成部分，构建了网络的内在安全能力，是网络安全的基石。

从标准中相关文本的增长来看，网络安全协议是网络协议技术演进的重点。在早期的有线局域网国际标准中，没有与安全相关的页面，但到了2016年，安全内容已经达到700多页。2000年，WLAN国际标准文本的安全内容只有11页，而到了2016年，已经达到了166页。在IP国际标准文本中，安全相关文本的内容已经达到200多页，占标准文本总量的近一半。这些数据也从侧面说明，网络安全已经越来越受到全世界的重视。

WAPI的初衷是解决“网络安全协议不安全”的问题

虽然计算机网络已经存在了40多年，应用场景也在不断快速拓展，但是网络技术还远未成熟，尤其是构成网络安全基础的安全协议技术。由于历史原因和不同标准组织对“国家利益”和商业利益的考虑，网络安全协议技术和标准被个别国家的技术力量“故意削弱”，这将对网络安全产生重大影响。

事实上，美国政府已经花了几十年的时间来发展和完善其所能掌控的网络安全协议技术和标准体系。可见资料显示，早在1986年，美国国家安全局(NSA)就开始介入网络安全协议的制定。包括802.1x、IEEE 802.11i等众多与WAPI竞争的安全深圳生活网络协议标准。就像2013年斯诺登事件中披露的“棱镜计划”，美国故意在相关标准中制造网络安全协议漏洞，以达到大规模监控和攻击全球网络的目的。

“棱镜门”直接导致了全球网络信任基金会的崩溃。在2015年的一次国际标准组织ISO/IEC标准讨论中，挪威专家明确指出“我们非常明确的共识是，SIMON和SPECK算法不应该被纳入ISO/IEC 29192-2(一个国际标准编号——作者注)。这个结论是基于这些算法是由NSA提出的，我们不信任NSA善意地提出安全标准。”

WAPI技术的研发始于2000年。当时WLAN的应用和部署还处于起步阶段，但在国际上已经认识到无线局域网国际标准中的安全机制存在重大缺陷。西电捷通还在国内率先开展了高可靠无线局域网安全技术的研究，并最终研发提出了WAPI技术及其解决方案。

WAPI的学名是“WLAN认证与安全基础设施”，这里所说的“认证”是实体认证，直接关系到网络连接的建立。“保密”属于保密通信的范畴。也就是说，WAPI技术主要关注网络连接过程和后续网络通信过程的安全性。

事实上，实体认证和安全通信都是保障网络安全的“常规动作”，那么WAPI技术相比Wi-Fi有什么独特之处呢？需要指出的是，网上还有很多人说WAPI只要改一下加密算法就能出来，这是对WAPI技术的严重曲解。

WAPI技术最大的创新在于采用了基于三元对等网络安全架构(TePA-EA)的实体认证技术，并在网络架构中引入了在线可信第三方(TTP)，不仅为解决网络安全中无处不在的访问控制和安全接入问题提供了先进的技术支持，也保证了网络身份认证的无线场景实现(本文后面会详细说明)。基于TePA-EA这一安全技术基因，WAPI实现了用户、接入点、网络之间真正的双向身份认证，使其在防止非法接入、中间人攻击、反钓鱼、反假冒热点/伪基站等方面具有明显的比较优势。，弥补了WLAN技术标准中的严重安全缺陷。这也是我国制定和发布WAPI国家标准的初衷。

什么是三元对等认证？

先学习实体识别。实体认证是深圳生活网确认网络用户或网络设备的身份是否合法的过程。比如说。两个陌生人见面，一般流程是:打招呼——确认身份——握手交谈，大致如此。其实这样的互动逻辑在网络世界也是存在的。

当你的终端设备(电脑、手机等。)尝试连接WLAN，终端与网络之间的第一个动作是“say hello”(一般来说，联网请求通常是终端侧发起的，有时也可能是网络侧发起的)。专业术语叫“关联”，主要是检测网络中是否有信号，以确认双方能否物理连接。

接下来就是“身份确认”——终端和要接入的网络之间的身份识别和验证，从而保证合法的终端可以接入合法的网络。这个过程就是“实体认证”。直观来说，它是网络安全的第一道关口。这个网关过了之后，剩下的就可以进行正常的网络通信了。

现实生活中，陌生人确认对方身份的方式有很多种。例如，他们可以使用预先约定的密码。见面后，匹配密码就是找对了人。或者更直接一点，先出示身份证，互相核对一下，确认是公安机关出具的可信证明，也就是找对人，我们称之为“身份证法”。

相比较而言，身份证法的安全级别更高，更适合大规模使用。从技术应用的演进趋势来看，由于实体(硬件平台等)的资源限制。)逐步解决，身份证法的适用将更加广泛。这里说的“身份证”，是网络世界里的数字证书。

有身份证还不够，还要解决身份证怎么用的问题。按照上面的场景，两个陌生人见面，拿出身份证互相识别，一定程度上解决了互信问题，但还是存在安全隐患。毕竟身份证可能是伪造的，也可能是作废的。

如果现场有一个公安身份的人，能够当场核实两个人的身份证是否真实有效，并将结果反馈给两个人，那么“陌生-互信”的过程就比较靠谱。这里引入一个“三元”认证的概念，即两个陌生的公安人员。在网络语言中，两个陌生人分别对应用户和接入点，公安人员对应网上可信的第三方(TTP)。WAPI是“公安人员”参与确认“身份证”的实体识别技术。

WAPI在网络架构中引入在线可信第三方——身份认证服务器，赋予用户(如手机)、接入点和身份认证服务器各自独立的身份信息。这样，在认证服务器的帮助下，手机和接入点可以更完整地完成双向对等身份认证，从而为网络安全接入提供可靠的技术支持。

需要强调的是，在两个陌生人互认的过程中，谁也不能免检，谁也不能有额外的特权，即两者都需要“平等”的身份识别。即不仅网络可以识别手机是否合法，手机也可以识别网络是否合法。网络世界有句名言:“什么都不要假设，什么都不要相信，什么都要查”。这是WAPI采用的三元对等实体认证技术的概念。

WAPI“双截棍解决方案”实现无线场景下的网络身份认证。

三元等价原理看似简单，但无线应用场景下三元等价框架下实体认证的实现远比想象中复杂。对于三元对等实体认证的原理，我们直观的想象基本是如下图所示的逻辑结构:

计算机A、接入点B和身份认证服务器TTP处于直连状态，可以方便地实现相互之间的双向身份认证。这种模式被王图称为“金字塔模式”。

但是，每个做项目的人都知道一个铁律，技术的合理性并不完全等于项目的可用性，“金字塔模型”也是如此。在实际应用中，我们会发现“金字塔”结构对于有线网络来说问题不大，但对于无线网络来说几乎不可用。

显然，当我们的电脑通过有线连接到互联网时，电脑A可以通过有线直接连接到服务器和接入点B。因此，根据“金字塔模型”，可以实现相互认证。但如果发生在无线网络场景，这种结构的工程实现并不适用。

因为无线信号传输距离有限，手机可以无线连接到附近的接入点，但无法连接到放置在远程机房的服务器。它在真实场景中的逻辑结构如下:

此时，在线可信第三方TTP参与认证，但是A和B中只有一个可以与可信第三方连接。为了适应无线场景接入认证的应用，发明了“双截棍模式”(也是网图深生活网的业务)解决方案，这也是WAPI整体技术解决方案体系的一部分。

基于“双截棍模型”的三元对等实体认证机制是如何实现的？下图说明了这一点:

这个三元架构采用五步认证模式，具体流程如下:

步骤1，接入点向终端发送“身份验证开始”消息；

步骤2，终端向接入点发送消息，“这是我的身份信息，请识别，请出示你的身份信息和第三方的识别结果”；

步骤3，接入点向认证服务器发送消息“这是我和终端的身份信息，请认证并反馈结果”；

步骤4，认证服务器向接入点发送消息“这是您和终端的认证结果”。此时，接入点可以判断终端身份是否合法。

步骤5，接入点将认证服务器的认证结果发送给终端，终端收到后，根据之前收到的接入点的身份信息和认证服务器的认证结果，判断接入点的身份是否合法。

信息传输的五个步骤应用了公开密钥加密的原理，并且还包括集成的数字证书技术，以增强终端和接入点的身份的真实性。这样，在终端无法连接到服务器的情况下，完全实现了与接入点的可靠认证过程。

此外，WAPI的特点不仅在于网络结构的创新和三元对等架构的引入，还在于其协议的原子性(不能进一步拆分为子协议)，从而进一步提高了安全性。至于Wi-Fi技术，Wi-Fi技术与WAPI最显著的区别是接入点设备没有“身份证”，但从其网络结构来看，它既不是原子的，也不能将身份证信息附加到接入点上。所以Wi-Fi在安全架构上存在原理和结构上的缺陷，这也可以解释为什么近年来其安全机制不断升级，从WEP到WPA，再到WPA2和WPA3，但问题是最新的WPA2和WPA3仍然暴露出破解等安全问题。

到目前为止，我们已经完成了WAPI技术原理、特点和应用解决方案的介绍。WAPI出生于2000年。从某种意义上说，WAPI及其技术架构——三元对等网络安全架构是一种领先于时代的基础网络安全技术。当时需要三元结构并实现双向对等认证的应用场景很少，物联网等对等网络还处于概念阶段。因此，其技术价值在当时并没有得到业界的充分认可。后来，直到伪基站、中间人攻击等网络安全问题大面积爆发，成为严重的社会问题，这一发明的技术预见才逐渐显现。可以说三元对等至关重要，所以在2010年和2019年，分别有两项和三项三元对等网络安全架构的技术被ISO/IEC国际标准采用并发布，前者也是中国首个输出的国际网络安全标准。