作為華為被Wi-Fi聯(lián)盟暫時(shí)撤銷會(huì)員資格事件的連帶效應(yīng) ， 暌違多年的WAPI（中國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)）再次回到公眾視野 。很多人撫今追昔 ， 痛陳當(dāng)年WAPI遭遇的不公 ， 面對(duì)今天華為的困境 ， WAPI的一切似乎都在瞬間被理解 ， 這對(duì)于WAPI ， 對(duì)于中國(guó)技術(shù)創(chuàng)新是件好事 。
當(dāng)然 ， 在這里我們不想回顧WAPI歷史 ， 只是想給大家剖析一下WAPI的技術(shù)本質(zhì) ， 以及它相對(duì)于Wi-Fi到底有哪些獨(dú)到之處 。
WAPI的本質(zhì)屬于網(wǎng)絡(luò)安全協(xié)議技術(shù)目前 ， 全球無(wú)線局域網(wǎng)（WLAN）已形成相對(duì)統(tǒng)一的技術(shù)架構(gòu) ， 但其標(biāo)準(zhǔn)中的安全技術(shù)部分則存在兩條路線：一個(gè)是美國(guó)主導(dǎo)的IEEE 802.11i技術(shù)體系（出自IEEE標(biāo)準(zhǔn)組織） ， 另一個(gè)是我國(guó)主導(dǎo)的WAPI技術(shù)體系 。由此 ， 在全球范圍內(nèi)就形成了有關(guān)WLAN的兩個(gè)標(biāo)準(zhǔn) ， 即美國(guó)主導(dǎo)的802.11系列標(biāo)準(zhǔn)（俗稱Wi-Fi）和中國(guó)主導(dǎo)的WAPI標(biāo)準(zhǔn) 。
需要說(shuō)明的是 ， Wi-Fi標(biāo)準(zhǔn)和WAPI標(biāo)準(zhǔn)除了安全技術(shù)部分不同 ， 其他部分諸如編碼調(diào)制、數(shù)據(jù)交換、訪問(wèn)控制、頻段分配等都是一樣的 。當(dāng)然 ， 需要強(qiáng)調(diào)的是 ， 它們?cè)诎踩夹g(shù)上的差異是原理性和結(jié)構(gòu)性的 ， 這種巨大的差異導(dǎo)致它們各自有著完全不同的網(wǎng)絡(luò)安全理念和網(wǎng)絡(luò)安全架構(gòu) ， 進(jìn)而讓W(xué)i-Fi和WAPI在網(wǎng)絡(luò)形態(tài)上有了顯著的不同 。
從技術(shù)本質(zhì)來(lái)看 ， WAPI屬于無(wú)線局域網(wǎng)安全協(xié)議技術(shù) 。網(wǎng)絡(luò)的本質(zhì)在于連接 ， 網(wǎng)絡(luò)協(xié)議是構(gòu)建網(wǎng)絡(luò)連接的基礎(chǔ)核心技術(shù) ， 而網(wǎng)絡(luò)安全協(xié)議則是網(wǎng)絡(luò)協(xié)議的基本組成部分 ， 它構(gòu)建的是網(wǎng)絡(luò)本質(zhì)安全能力 ， 它是網(wǎng)絡(luò)安全的基石 。
從標(biāo)準(zhǔn)中相關(guān)文本增長(zhǎng)量來(lái)看 ， 網(wǎng)絡(luò)安全協(xié)議是網(wǎng)絡(luò)協(xié)議技術(shù)演進(jìn)的重點(diǎn) 。早期的有線局域網(wǎng)國(guó)際標(biāo)準(zhǔn)中沒(méi)有一頁(yè)內(nèi)容與安全有關(guān) ， 但是到了2016年 ， 安全內(nèi)容已經(jīng)達(dá)到700多頁(yè)；無(wú)線局域網(wǎng)國(guó)際標(biāo)準(zhǔn)文本在2000年時(shí) ， 安全內(nèi)容只有11頁(yè) ， 但到了2016年 ， 已經(jīng)達(dá)到166頁(yè)之多；IP協(xié)議國(guó)際標(biāo)準(zhǔn)文本中 ， 與安全有關(guān)的文本內(nèi)容至今達(dá)到了200多頁(yè) ， 占標(biāo)準(zhǔn)文本總量將近一半 。這些數(shù)據(jù)也從側(cè)面說(shuō)明 ， 網(wǎng)絡(luò)安全越來(lái)越受到全球的重視 。
WAPI的初衷在于解決“網(wǎng)絡(luò)安全協(xié)議不安全”的問(wèn)題計(jì)算機(jī)網(wǎng)絡(luò)雖然已出現(xiàn)40余年 ， 應(yīng)用場(chǎng)景不斷快速拓展 ， 但網(wǎng)絡(luò)技術(shù)遠(yuǎn)未成熟 ， 特別是構(gòu)成網(wǎng)絡(luò)安全基礎(chǔ)的安全協(xié)議技術(shù) ， 由于歷史原因和不同標(biāo)準(zhǔn)組織從“國(guó)家利益”和商業(yè)利益出發(fā) ， 網(wǎng)絡(luò)安全協(xié)議技術(shù)及標(biāo)準(zhǔn)一直有被個(gè)別國(guó)家技術(shù)力量“蓄意弱化”的問(wèn)題 ， 這些問(wèn)題將會(huì)給網(wǎng)絡(luò)安全造成重大影響 。
【蘋果手機(jī)wifi信號(hào)弱如何解決 wapi是什么】事實(shí)上 ， 美國(guó)政府曾經(jīng)用長(zhǎng)達(dá)數(shù)十年的時(shí)間開發(fā)并完善可被其控制的網(wǎng)絡(luò)安全協(xié)議技術(shù)和標(biāo)準(zhǔn)體系 ， 可見(jiàn)的資料顯示 ， 早在1986年 ， 美國(guó)國(guó)家安全局(NSA)就已開始介入網(wǎng)絡(luò)安全協(xié)議的開發(fā) 。其中就包括與WAPI有競(jìng)爭(zhēng)關(guān)系的802.1x、IEEE 802.11i等多項(xiàng)安全協(xié)議標(biāo)準(zhǔn) 。正如2013年“斯諾登事件”所披露的“棱鏡項(xiàng)目”那樣 ， 美方不惜在相關(guān)標(biāo)準(zhǔn)中蓄意制造網(wǎng)絡(luò)安全協(xié)議漏洞 ， 以達(dá)到大規(guī)模監(jiān)控和攻擊全球網(wǎng)絡(luò)的目的 。
“棱鏡門”直接導(dǎo)致了全球網(wǎng)絡(luò)信任基礎(chǔ)的崩塌 。在2015年的一次國(guó)際標(biāo)準(zhǔn)組織ISO/IEC標(biāo)準(zhǔn)討論中 ， 挪威專家明確指出“我們非常清晰的一致意見(jiàn)是SIMON和SPECK算法不應(yīng)當(dāng)被包含進(jìn)ISO/IEC 29192-2（某項(xiàng)國(guó)際標(biāo)準(zhǔn)編號(hào)—作者注）中 ， 這個(gè)結(jié)論基于如下事實(shí)：這些算法是NSA提出的 ， 我們不信任NSA會(huì)善意地提出安全標(biāo)準(zhǔn) ?！?br />
WAPI技術(shù)的研發(fā)在2000年便已開始啟動(dòng) ， 那一時(shí)期 ， WLAN的應(yīng)用部署尚屬初期 ， 但國(guó)際上已經(jīng)開始到無(wú)線局域網(wǎng)國(guó)際標(biāo)準(zhǔn)中的安全機(jī)制存在重大缺陷問(wèn)題 ， 西電捷通也在中國(guó)率先開展了高可信無(wú)線局域網(wǎng)安全技術(shù)研究 ， 最終研發(fā)并提出了WAPI技術(shù)及其解決方案 。
WAPI學(xué)名叫作“無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)” ， 這里所說(shuō)的“鑒別”就是實(shí)體鑒別 ， 它與網(wǎng)絡(luò)連接的建立直接相關(guān)；“保密”屬于安全通信范疇 。也就是說(shuō) ， WAPI技術(shù)主要聚焦網(wǎng)絡(luò)建立連接過(guò)程以及后續(xù)網(wǎng)絡(luò)通信過(guò)程的安全 。
事實(shí)上 ， 實(shí)體鑒別和保密通信都是保障網(wǎng)絡(luò)安全的“常規(guī)動(dòng)作” ， 那么與Wi-Fi相比 ， WAPI技術(shù)的獨(dú)到之處在哪里呢？需要指出的是 ， 現(xiàn)在網(wǎng)上依然有很多人說(shuō)WAPI只是改了一下加密算法就出來(lái)如何如何 ， 這是對(duì)WAPI技術(shù)的嚴(yán)重曲解 。
WAPI技術(shù)最大的創(chuàng)新點(diǎn)在于它采用了基于三元對(duì)等網(wǎng)絡(luò)安全架構(gòu)的實(shí)體鑒別技術(shù)（TePA-EA） ， 它在網(wǎng)絡(luò)架構(gòu)上引入了在線可信第三方（TTP） ， 不僅為解決網(wǎng)絡(luò)安全中普遍存在的訪問(wèn)控制和安全接入問(wèn)題提供了先進(jìn)的技術(shù)支撐 ， 而且它還確保了網(wǎng)絡(luò)身份鑒別的無(wú)線場(chǎng)景實(shí)施（這一點(diǎn)在本文后面會(huì)有詳細(xì)說(shuō)明） 。從TePA-EA這個(gè)安全技術(shù)基因出發(fā) ， WAPI實(shí)現(xiàn)了用戶、接入點(diǎn)、網(wǎng)絡(luò)三者之間真正的雙向身份鑒別 ， 使其在防范非法接入、中間人攻擊、防釣魚、防假熱點(diǎn)/偽基站等方面具有明顯的對(duì)比優(yōu)勢(shì) ， 彌補(bǔ)了WLAN技術(shù)標(biāo)準(zhǔn)中的嚴(yán)重安全缺陷 。這也是當(dāng)年我國(guó)制定并發(fā)布WAPI國(guó)家標(biāo)準(zhǔn)的初衷 。
什么是三元對(duì)等實(shí)體鑒別？先了解一下實(shí)體鑒別 。實(shí)體鑒別就是確認(rèn)網(wǎng)絡(luò)用戶或網(wǎng)絡(luò)設(shè)備身份是否合法的過(guò)程 。打個(gè)比方 。兩個(gè)陌生人會(huì)面 ， 一般的流程是：打招呼——確認(rèn)身份——握手交談 ， 大體如此 。其實(shí) ， 這樣的交互邏輯在網(wǎng)絡(luò)世界中同樣存在 。
當(dāng)你的終端設(shè)備（電腦、手機(jī)等）試圖連接無(wú)線局域網(wǎng)時(shí) ， 終端與網(wǎng)絡(luò)之間的第一個(gè)動(dòng)作就是“打招呼”（普遍意義上的連網(wǎng)請(qǐng)求 ， 通常由終端側(cè)發(fā)起 ， 有時(shí)也可能由網(wǎng)絡(luò)側(cè)發(fā)起） ， 專業(yè)術(shù)語(yǔ)稱之為“關(guān)聯(lián)” ， 主要是探測(cè)網(wǎng)絡(luò)是否有信號(hào) ， 以確認(rèn)雙方在物理上是否能夠連得上 。
接下來(lái)就是“確認(rèn)身份”——終端與要接入的網(wǎng)絡(luò)之間互相進(jìn)行身份的識(shí)別與驗(yàn)證 ， 以此保證合法終端接入合法網(wǎng)絡(luò) ， 這一過(guò)程就是“實(shí)體鑒別” 。直觀來(lái)看 ， 它是網(wǎng)絡(luò)安全的第一道關(guān)口 ， 這道關(guān)口通過(guò)之后 ， 剩下的就可以進(jìn)行正常網(wǎng)絡(luò)通信了 。
在現(xiàn)實(shí)生活中 ， 陌生人之間確認(rèn)彼此身份的方法可以有很多種 ， 譬如可以用事先約定好的暗號(hào) ， 見(jiàn)面后對(duì)上了暗號(hào)就意味著找對(duì)了人 ?；蛘吒苯右稽c(diǎn) ， 大家先亮出身份證 ， 彼此檢驗(yàn)一下 ， 確認(rèn)是公安機(jī)關(guān)發(fā)放的可信證件 ， 這樣也意味著找對(duì)了人 ， 我們稱之為“身份證法” 。
比較而言 ， “身份證法”的安全級(jí)別更高 ， 也更適合大規(guī)模使用 ， 從技術(shù)應(yīng)用的演進(jìn)趨勢(shì)來(lái)看 ， 隨著實(shí)體（硬件平臺(tái)等）的資源受限問(wèn)題逐步得到解決 ， “身份證法”的應(yīng)用會(huì)更加廣泛 。這里所說(shuō)的“身份證”在網(wǎng)絡(luò)世界中即為數(shù)字證書 。
光有身份證還不行 ， 還要解決身份證怎么用的問(wèn)題 。依照上述場(chǎng)景 ， 兩個(gè)陌生人見(jiàn)面 ， 掏出身份證互認(rèn) ， 這在一定程度上解決了彼此間的互信問(wèn)題 ， 但是它依然存在安全隱患 ， 畢竟身份證有可能造假 ， 也有可能失效 。
如果現(xiàn)場(chǎng)還有一個(gè)公安身份的人 ， 并能夠當(dāng)場(chǎng)驗(yàn)證兩個(gè)人的身份證是否真實(shí)有效 ， 并把結(jié)果反饋給二人 ， 那么這個(gè)“陌生——互信”的過(guò)程就比較靠譜了 。這里就引入了一個(gè)“三元”認(rèn)證的概念 ， 即兩個(gè)陌生人 公安人員 ， 用網(wǎng)絡(luò)語(yǔ)言來(lái)說(shuō) ， 兩個(gè)陌生人分別對(duì)應(yīng)著用戶和接入點(diǎn) ， 公安人員則對(duì)應(yīng)著在線可信第三方（TTP） 。WAPI就是采用了這種有“公安人員”參與確認(rèn)“身份證”的實(shí)體鑒別技術(shù) 。
WAPI在網(wǎng)絡(luò)架構(gòu)上引入了在線可信第三方——身份鑒別服務(wù)器 ， 并賦予了用戶（如手機(jī)）、接入點(diǎn)、身份鑒別服務(wù)器三個(gè)實(shí)體以各自獨(dú)立的身份信息 ， 這樣一來(lái) ， 在鑒別服務(wù)器的幫助下 ， 手機(jī)和接入點(diǎn)就可以更完備地完成雙向?qū)Φ壬矸蓁b別 ， 進(jìn)而為網(wǎng)絡(luò)安全接入提供了可靠的技術(shù)支撐 。
需要強(qiáng)調(diào)的是 ， 在兩個(gè)陌生人相認(rèn)過(guò)程中 ， 沒(méi)有任何一個(gè)人可以有免檢或額外的特權(quán) ， 即他們之間都需要進(jìn)行“對(duì)等”的鑒別 。即不僅網(wǎng)絡(luò)可以鑒別手機(jī)是否合法 ， 手機(jī)也可以鑒別網(wǎng)絡(luò)是否合法 。網(wǎng)絡(luò)安全界有一百思特網(wǎng)句名言：“不假定任何事情 ， 不相信任何人 ， 檢驗(yàn)所有的東西” 。WAPI所采用的三元對(duì)等實(shí)體鑒別技術(shù)理念即是如此 。
WAPI“雙節(jié)棍解決方案”實(shí)現(xiàn)了無(wú)線場(chǎng)景下的網(wǎng)絡(luò)身份鑒別三元對(duì)等原理看似簡(jiǎn)單 ， 但三元對(duì)等架構(gòu)下的實(shí)體鑒別在無(wú)線應(yīng)用場(chǎng)景中的實(shí)現(xiàn)卻遠(yuǎn)比想象復(fù)雜 。對(duì)于三元對(duì)等百思特網(wǎng)實(shí)體鑒別原理 ， 我們直觀的想象基本就是如下圖所示的邏輯結(jié)構(gòu)：

電腦A、接入點(diǎn)B以及身份鑒別服務(wù)器TTP三者之間處于直連狀態(tài) ， 所以 ， 它們各自之間可以方便地實(shí)現(xiàn)雙向身份鑒別 ， 這個(gè)模型被望圖生意地稱為“金字塔模型” 。
但是 ， 做工程研發(fā)的都知道一個(gè)鐵律 ， 技術(shù)的合理并不完全等于工程可用 ， “金字塔模型”也是如此 。在實(shí)際應(yīng)用百思特網(wǎng)中我們就會(huì)發(fā)現(xiàn) ， “金字塔”結(jié)構(gòu)應(yīng)用于有線網(wǎng)絡(luò)沒(méi)有太大問(wèn)題 ， 但是對(duì)于無(wú)線網(wǎng)絡(luò)則幾乎不可用 。
很顯然 ， 當(dāng)我們的電腦通過(guò)有線方式聯(lián)網(wǎng) ， 電腦A可以通過(guò)有線方式直接連到服務(wù)器和接入點(diǎn)B ， 因此 ， 根據(jù)“金字塔模型”所設(shè)想的雙向?qū)Φ辱b別是可以實(shí)現(xiàn)的 。但是如果發(fā)生在無(wú)線網(wǎng)絡(luò)場(chǎng)景中 ， 這種結(jié)構(gòu)的工程實(shí)現(xiàn)就不適用了 。
由于無(wú)線信號(hào)傳輸距離有限 ， 手機(jī)可以通過(guò)無(wú)線方式就近連接接入點(diǎn) ， 但是卻無(wú)法連接放置在遠(yuǎn)方機(jī)房中的服務(wù)器 ， 它在現(xiàn)實(shí)場(chǎng)景中的邏輯結(jié)構(gòu)就成了下面這樣：
此時(shí) ， 在線可信第三方TTP參與鑒別 ， 但A、B兩者僅一方能夠連接可信第三方 。為了適應(yīng)無(wú)線場(chǎng)景的接入鑒別應(yīng)用 ， “雙節(jié)棍模型”（同樣是望圖生意）解決方案被發(fā)明了出來(lái) ， 該解決方案也是WAPI整體技術(shù)解決方案體系的一部分 。
基于“雙節(jié)棍模型”的三元對(duì)等實(shí)體鑒別機(jī)制是如何實(shí)現(xiàn)的呢？以下圖加以說(shuō)明：
這種三元架構(gòu)采取了五步鑒別的模式 ， 具體過(guò)程是這樣的：
第一步接入點(diǎn)向終端發(fā)消息“鑒證身份開始”；
第二步終端發(fā)消息回答接入點(diǎn)“這是我的身份信息 ， 請(qǐng)鑒別 ， 并請(qǐng)給我看你的身份信息以及第三方對(duì)你的鑒別身份鑒別結(jié)果”；
第三步接入點(diǎn)向鑒別服務(wù)器發(fā)消息“這是我和終端的身份信息 ， 請(qǐng)鑒別并反饋結(jié)果”；
第四步鑒別服務(wù)器給接入點(diǎn)發(fā)消息“這是對(duì)你和終端的身份鑒別結(jié)果” ， 此時(shí)接入點(diǎn)可判斷終端身份是否合法；
第五步接入點(diǎn)將對(duì)鑒別服務(wù)器對(duì)接入點(diǎn)的鑒別結(jié)果發(fā)給終端 ， 終端收到后根據(jù)之前收到的接入點(diǎn)的身份信息以及鑒別服務(wù)器的鑒別結(jié)果判斷接入點(diǎn)的身份是否合法 。
這五步信息的傳遞運(yùn)用了公鑰密碼學(xué)原理 ， 還包括集成數(shù)字證書技術(shù) ， 以提升終端和接入點(diǎn)雙方身份的真實(shí)性 。這樣就在終端無(wú)法連接服務(wù)器的情況下 ， 完備地實(shí)現(xiàn)與接入點(diǎn)之間可靠的鑒別過(guò)程 。
另外 ， WAPI的特點(diǎn)不僅在于在網(wǎng)絡(luò)結(jié)構(gòu)上做出了創(chuàng)新 ， 引入了三元對(duì)等架構(gòu) ， 而且它的協(xié)議具備原子性（不可進(jìn)一步拆分成子協(xié)議） ， 從而進(jìn)一步提高了安全性 。而對(duì)于Wi-Fi技術(shù) ， 它與WAPI最顯著的區(qū)別就是接入點(diǎn)設(shè)備沒(méi)有“身份證” ， 而從它的網(wǎng)絡(luò)結(jié)構(gòu)來(lái)看 ， 它既不具有原子性 ， 也無(wú)法實(shí)現(xiàn)為接入點(diǎn)附加身份證信息 。所以 ， Wi-Fi在安全結(jié)構(gòu)上則存在原理性和結(jié)構(gòu)性的缺陷 ， 這也可以解釋為什么它的安全機(jī)制這些年一直在不斷升級(jí) ， 從WEP到WPA ， 又到WPA2、WPA3 ， 但問(wèn)題在于 ， 最新的WPA2和WPA3依然相繼被爆出包括CRACK等安全問(wèn)題 。
至此 ， 我們完成了有關(guān)WAPI技術(shù)原理、特點(diǎn)和應(yīng)用解決方案的介紹 。WAPI誕生于2000年 ， 某種意義上 ， WAPI及其所依托的技術(shù)架構(gòu)——三元對(duì)等網(wǎng)絡(luò)安全架構(gòu) ， 是一種超前于時(shí)代的網(wǎng)絡(luò)安全基礎(chǔ)技術(shù) 。在那個(gè)時(shí)候 ， 需要三元結(jié)構(gòu)并實(shí)施雙向?qū)Φ壬矸蓁b別的應(yīng)用場(chǎng)景還不多見(jiàn) ， 物聯(lián)網(wǎng)等對(duì)等網(wǎng)絡(luò)還處于概念階段 。所以 ， 它在技術(shù)上的價(jià)值在當(dāng)時(shí)并沒(méi)有被業(yè)界充分認(rèn)識(shí)到 。直到后來(lái)偽基站、中間人攻擊等網(wǎng)絡(luò)安全問(wèn)題大面積爆發(fā) ， 并成為嚴(yán)重的社會(huì)問(wèn)題 ， 這項(xiàng)發(fā)明的技術(shù)前瞻性才逐漸顯現(xiàn)出來(lái) ?？梢哉f(shuō) ， 三元對(duì)等是有生命力的 ， 所以在2010年和2019年 ， 三元對(duì)等網(wǎng)絡(luò)安全架構(gòu)分別有所屬的兩項(xiàng)和三項(xiàng)技術(shù)被ISO/IEC國(guó)際標(biāo)準(zhǔn)所采納并發(fā)布 ， 前者也是中國(guó)輸出的第一個(gè)網(wǎng)絡(luò)安全國(guó)際標(biāo)準(zhǔn) 。

推薦閱讀

• 

  關(guān)于節(jié)約糧食的名言詩(shī)句 關(guān)于節(jié)約糧食的名言和詩(shī)句
• 

  奮斗勵(lì)志朋友圈句子 勵(lì)志短句致自己奮斗朋友圈
• 

  想發(fā)朋友圈表示心情不好的句子 心情不好發(fā)朋友圈的句子 心情短句
• 

  貝拉玻尿酸是合法的嗎 貝拉玻尿酸是進(jìn)口的還是國(guó)產(chǎn)的
• 

  核桃仁做菜的菜譜，您知道桃仁脆溜雞的做法
• 

  淺紫色顯皮膚黑還是白
• 

  庫(kù)倫旗景點(diǎn)
• 

  居家隔離和集中隔離的區(qū)別 什么情況下要隔離28天
• 

  蟬蛹是什么
• 

  怎樣能豐胸最安全有效

• 抖音怎么發(fā)布小游戲，抖音暫停抓兔子游戲怎么發(fā)布視頻
• 黃河流域最大的灌區(qū)是哪個(gè)
• 家用臺(tái)式純電蒸箱哪個(gè)好
• 文房四寶的意思是什么
• 方太SCD39-Z2M7怎么樣
• 絲綢之路的意義
• 4口人蒸箱22升還是38升
• 嵌入式蒸箱品牌排行榜
• 南水北調(diào)是哪一年開始的