作为华为被Wi-Fi联盟临时撤销成员资格的连带效应，被违反多年的WAPI(中国无线局域网国家标准)再次回到公众视野。许多人回顾过去，哀叹WAPI那些年遭受的不公正。面对华为今天的困境，WAPI的一切似乎在一瞬间就明白了，这对WAPI和中国的科技创新都是好事。

当然，我们不想在这里回顾WAPI的历史，我们只想分析一下WAPI的技术本质，以及它相对于Wi-Fi的独特性。

WAPI的本质属于网络安全协议技术

目前全球无线局域网已经形成了相对统一的技术架构，但其标准的安全技术部分有两条路线：一是美国主导的IEEE802.11i技术体系(来自IEEE标准组织)，二是中国主导的WAPI技术体系。于是，全球形成了两个WLAN标准，即以美国为首的802.11系列标准(俗称Wi-Fi)和以中国为首的WAPI标准。

应该注意的是，Wi-Fi标准和WAPI标准在诸如编码和调制、数据交换、访问控制、频带分配等其他部分是不同的。除了安全技术。当然，需要强调的是，它们在安全技术上的差异是原则性和结构性的，这导致了它们完全不同的网络安全理念和网络安全架构，从而使得Wi-Fi和WAPI在网络形态上有着显著的差异。

从技术本质上讲，WAPI属于无线局域网安全协议技术。网络的本质在于连接，网络协议是构建网络连接的基础核心技术，而网络安全协议是网络协议的基本组成部分，构建了网络的本质安全能力，是网络安全的基石。

从标准中相关文本的增加来看，网络安全协议是网络协议技术演进的重点。早期的有线局域网国际标准中，没有一页是与安全相关的，但到2016年，安全内容已经达到700多页；2000年，WLAN国际标准文本的安全内容只有11页，而到了2016年，已经多达166页；在IP协议的国际标准文本中，安全相关文本的内容已经达到200多页，占标准文本总量的近一半。这些数据也从侧面说明，网络安全越来越受到全世界的重视。

WAPI的初衷在于解决“网络安全协议不安全”的问题

计算机网络出现至今已有40多年，应用场景一直在快速拓展，但网络技术远未成熟，尤其是构成网络安全基础的安全协议技术。由于历史原因和不同的标准组织，网络安全协议技术和标准一直& quot故意弱化& quot由个别国家的技术力量，这将对网络安全产生很大影响。

事实上，美国政府花了几十年的时间发展和完善其所能掌控的网络安全协议技术和标准体系。可见资料显示，早在1986年，美国国家安全局(NSA)就开始介入网络安全协议的制定。其中与WAPI有竞争力的安全协议标准有802.1x、IEEE802.11i等多个。就像& quot棱镜计划& quot在& quot斯诺登事件& quot2013年，美国故意在相关标准中制造网络安全协议漏洞，以达到大规模监控和攻击全球网络的目的。

"棱镜门& quot直接导致了全球网络信任基金会的崩溃。在2015年国际标准组织关于ISO/IEC标准的讨论中，挪威专家明确指出& quot我们有一个非常明确的共识，SIMON和SPECK算法不应该被纳入ISO/IEC29192-2(一个国际标准号——作者注)。这个结论是基于这些算法是NSA提出来的，我们不信任NSA善意地提出安全标准。"

WAPI技术的研发始于2000年。当时，无线局域网的应用和部署还处于起步阶段，但国际社会已经开始注意到其安全机制的严重缺陷

WAPI的学名是& quot无线局域网认证和安全基础设施& quot，而& quot认证& quot这里说的是实体认证，直接关系到网络连接的建立；"保密性& quot属于保密通信的范畴。换句话说，WAPI技术主要关注网络连接和后续网络通信的安全性。

事实上，实体认证和安全通信都是& quot常规操作& quot确保网络安全。那么与Wi-Fi相比，WAPI技术有什么独特之处呢？需要指出的是，网上还有很多人说WAPI只是改变了加密算法，这是对WAPI技术的严重曲解。

WAPI技术最大的创新在于采用了基于三元对等网络安全架构的实体认证技术(TePA-EA)，并在网络架构中引入了在线可信第三方(TTP)，不仅为解决网络安全中普遍存在的访问控制和安全接入问题提供了先进的技术支持，还保证了网络身份认证的无线场景实现(本文后面会详细讲解)。WAPI从TePA-EA这一安全技术基因出发，实现用户、接入点、网络之间真正的双向身份认证，使其在防止非法接入、中间人攻击、反钓鱼、反假冒热点/伪基站等方面具有明显的比较优势，弥补了WLAN技术标准中的严重安全缺陷。这也是我国制定和发布WAPI国家标准的初衷。

什么是三元对等实体鉴别？

我们先来学习一下实体识别。实体认证是确认网络用户或网络设备的身份是否合法的过程。比如说。两个陌生人见面，一般流程是：问候——，确认身份——，握手交谈，等等。其实这样的互动逻辑在网络世界也是存在的。

当你的终端设备(电)

脑、手机等）试图连接无线局域网时，终端与网络之间的第一个动作就是“打招呼”（普遍意义上的连网请求，通常由终端侧发起，有时也可能由网络侧发起），专业术语称之为“关联”，主要是探测网络是否有信号，以确认双方在物理上是否能够连得上。

接下来就是“确认身份”——终端与要接入的网络之间互相进行身份的识别与验证，以此保证合法终端接入合法网络，这一过程就是“实体鉴别”。直观来看，它是网络安全的第一道关口，这道关口通过之后，剩下的就可以进行正常网络通信了。

在现实生活中，陌生人之间确认彼此身份的方法可以有很多种，譬如可以用事先约定好的暗号，见面后对上了暗号就意味着找对了人。或者更直接一点，大家先亮出身份证，彼此检验一下，确认是公安机关发放的可信证件，这样也意味着找对了人，我们称之为“身份证法”。

比较而言，“身份证法”的安全级别更高，也更适合大规模使用，从技术应用的演进趋势来看，随着实体（硬件平台等）的资源受限问题逐步得到解决，“身份证法”的应用会更加广泛。这里所说的“身份证”在网络世界中即为数字证书。

光有身份证还不行，还要解决身份证怎么用的问题。依照上述场景，两个陌生人见面，掏出身份证互认，这在一定程度上解决了彼此间的互信问题，但是它依然存在安全隐患，毕竟身份证有可能造假，也有可能失效。

如果现场还有一个公安身份的人，并能够当场验证两个人的身份证是否真实有效，并把结果反馈给二人，那么这个“陌生——互信”的过程就比较靠谱了。这里就引入了一个“三元”认证的概念，即两个陌生人+公安人员，用网络语言来说，两个陌生人分别对应着用户和接入点，公安人员则对应着在线可信第三方（TTP）。WAPI就是采用了这种有“公安人员”参与确认“身份证”的实体鉴别技术。

WAPI在网络架构上引入了在线可信第三方——身份鉴别服务器，并赋予了用户（如手机）、接入点、身份鉴别服务器三个实体以各自独立的身份信息，这样一来，在鉴别服务器的帮助下，手机和接入点就可以更完备地完成双向对等身份鉴别，进而为网络安全接入提供了可靠的技术支撑。

需要强调的是，在两个陌生人相认过程中，没有任何一个人可以有免检或额外的特权，即他们之间都需要进行“对等”的鉴别。即不仅网络可以鉴别手机是否合法，手机也可以鉴别网络是否合法。网络安全界有一句名言：“不假定任何事情，不相信任何人，检验所有的东西”。WAPI所采用的三元对等实体鉴别技术理念即是如此。

WAPI“双节棍解决方案”实现了无线场景下的网络身份鉴别

三元对等原理看似简单，但三元对等架构下的实体鉴别在无线应用场景中的实现却远比想象复杂。对于三元对等实体鉴别原理，我们直观的想象基本就是如下图所示的逻辑结构：

电脑A、接入点B以及身份鉴别服务器TTP三者之间处于直连状态，所以，它们各自之间可以方便地实现双向身份鉴别，这个模型被望图生意地称为“金字塔模型”。

但是，做工程研发的都知道一个铁律，技术的合理并不完全等于工程可用，“金字塔模型”也是如此。在实际应用中我们就会发现，“金字塔”结构应用于有线网络没有太大问题，但是对于无线网络则几乎不可用。

很显然，当我们的电脑通过有线方式联网，电脑A可以通过有线方式直接连到服务器和接入点B，因此，根据“金字塔模型”所设想的双向对等鉴别是可以实现的。但是如果发生在无线网络场景中，这种结构的工程实现就不适用了。

由于无线信号传输距离有限，手机可以通过无线方式就近连接接入点，但是却无法连接放置在远方机房中的服务器，它在现实场景中的逻辑结构就成了下面这样：

此时，在线可信第三方TTP参与鉴别，但A、B两者仅一方能够连接可信第三方。为了适应无线场景的接入鉴别应用，“双节棍模型”（同样是望图生意）解决方案被发明了出来，该解决方案也是WAPI整体技术解决方案体系的一部分。

基于“双节棍模型”的三元对等实体鉴别机制是如何实现的呢？以下图加以说明：

这种三元架构采取了五步鉴别的模式，具体过程是这样的：

第一步接入点向终端发消息“鉴证身份开始”；

第二步终端发消息回答接入点“这是我的身份信息，请鉴别，并请给我看你的身份信息以及第三方对你的鉴别身份鉴别结果”；

第三步接入点向鉴别服务器发消息“这是我和终端的身份信息，请鉴别并反馈结果”；

第四步鉴别服务器给接入点发消息“这是对你和终端的身份鉴别结果”，此时接入点可判断终端身份是否合法；

第五步接入点将对鉴别服务器对接入点的鉴别结果发给终端，终端收到后根据之前收到的接入点的身份信息以及鉴别服务器的鉴别结果判断接入点的身份是否合法。

这五步信息的传递运用了公钥密码学原理，还包括集成数字证书技术，以提升终端和接入点双方身份的真实性。这样就在终端无法连接服务器的情况下，完备地实现与接入点之间可靠的鉴别过程。

另外，WAPI的特点不仅在于在网络结构上做出了创新，引入了三元对等架构，而且它的协议具备原子性（不可进一步拆分成子协议），从而进一步提高了安全性。而对于Wi-Fi技术，它与WAPI最显著的区别就是接入点设备没有“身份证”，而从它的网络结构来看，它既不具有原子性，也无法实现为接入点附加身份证信息。所以，Wi-Fi在安全结构上则存在原理性和结构性的缺陷，这也可以解释为什么它的安全机制这些年一直在不断升级，从WEP到WPA，又到WPA2、WPA3，但问题在于，最新的WPA2和WPA3依然相继被爆出包括CRACK等安全问题。

至此，我们完成了有关WAPI技术原理、特点和应用解决方案的介绍。WAPI诞生于2000年，某种意义上，WAPI及其所依托的技术架构——三元对等网络安全架构，是一种超前于时代的网络安全基础技术。在那个时候，需要三元结构并实施双向对等身份鉴别的应用场景还不多见，物联网等对等网络还处于概念阶段。所以，它在技术上的价值在当时并没有被业界充分认识到。直到后来伪基站、中间人攻击等网络安全问题大面积爆发，并成为严重的社会问题，这项发明的技术前瞻性才逐渐显现出来。可以说，三元对等是有生命力的，所以在2010年和2019年，三元对等网络安全架构分别有所属的两项和三项技术被ISO/IEC国际标准所采纳并发布，前者也是中国输出的第一个网络安全国际标准。