作为华为被暂停Wi-Fi联盟成员资格的影响，WAPI(中国WLAN国家标准)在消失多年后再次回归公众。许多人回顾过去，感叹WAPI所遭受的不公正待遇。面对华为今天的困境，关于WAPI的一切似乎都在一瞬间被理解，这对WAPI和中国的技术创新都是一件好事。

当然，我们不想在这里回顾WAPI的历史，但我们想要分解WAPI的技术本质，以及与Wi-Fi相比，它的独特之处。

目前，全球无线局域网(WLAN)已经形成了相对统一的技术框架，但其安全技术部分的标准有两条路线：一条是美国主导的IEEE 802.11i技术体系(来自IEEE标准组织)，另一条是中国主导的WAPI技术体系。因此，世界范围内形成了两个关于WLAN的标准，即美国主导的802.11系列标准(俗称Wi-Fi)和中国主导的WAPI标准。

值得注意的是，Wi-Fi标准和WAPI标准除了安全技术部分是相同的，其他部分如编码调制、数据交换、访问控制、频段分配等。当然，需要强调的是，它们在安保技术上的差异是原始性的、结构性的。这一巨大的差异导致了它们完全不同的网络安全理念和网络安全架构，从而使得Wi-Fi和WAPI在网络形态上有明显的不同。

从技术本质上看，WAPI属于无线局域网安全协议技术。网络的本质在于连接，网络协议是构建网络连接的基本核心技术，而网络安全协议是网络协议的基本组成部分，它构建了网络的基本安全能力，是网络安全的基石。

从标准中相关文本的增长来看，网络安全协议是网络协议技术发展的重点。早期的有线局域网国际标准没有包含一页与安全相关的内容，但到2016年，安全内容已达到700多页；2000年，安全内容只有11页，而2016年已达到166页之多。IP协议国际标准文本中，安全相关文本内容已达200多页，占标准文本总数的近一半。这些数字也表明网络安全在世界范围内受到越来越多的关注。

尽管计算机网络已经出现了40多年，其应用场景也在迅速扩展，但网络技术还远未成熟，尤其是构成网络安全基础的安全协议技术。由于历史原因和不同的标准组织，从“国家利益”和商业利益的角度来看，网络安全协议技术和标准被个别国家的技术力量“故意削弱”，这些问题将对网络安全产生重大影响。

事实上，美国政府已经花了几十年的时间来开发和完善它所能控制的网络安全协议技术和标准体系。可见资料显示，早在1986年，美国国家安全局(NSA)就开始干预网络安全协议的制定。其中包括802.1x、IEEE 802.11i和其他与WAPI竞争的安全协议标准。就像2013年斯诺登事件曝光的“棱镜”项目一样，美国故意在相关标准中制造网络安全协议漏洞，以达到大规模监控和攻击全球网络的目的。

“棱镜”事件直接导致全球互联网信任基础的崩溃。在2015年ISO/IEC标准讨论中，挪威专家明确表示：“我们非常明确的共识是，SIMON和SPECK算法不应该包括在ISO/IEC 29192-2(一个国际标准编号——作者注)中，基于这样一个事实：NSA提出了这些算法，我们不相信NSA会真诚地提出安全标准。”

WAPI技术的研发始于2000年。当时WLAN的应用和部署还处于起步阶段，但国际社会开始关注无线局域网国际标准在安全机制上的重大缺陷。西东通还在国内率先开展了高可信无线局域网安全技术的研究。最后，开发并提出了WAPI技术及其解决方案。

WAPI的学名是“无线局域网认证和安全基础设施”。这里的“认证”是实体认证，直接关系到网络连接的建立；“机密”属于安全通信的范畴。也就是说，WAPI技术主要关注网络连接建立和后续网络通信过程的安全性。

事实上，实体认证和安全通信都是确保网络安全的“常规”操作，那么与Wi-Fi相比，WAPI技术的独特之处在哪里呢？需要指出的是，现在网上还有很多人说WAPI只是改变了加密算法，这是对WAPI技术的严重误读。

WAPI技术最大的创新在于采用了基于三元对等网络安全架构的实体认证技术(TePA-EA)。将在线可信第三方(TTP)引入网络体系结构，不仅为解决网络安全中常见的访问控制和安全访问问题提供了先进的技术支持。它还确保网络身份验证的无线场景强制执行(本文后面将对此进行详细介绍)。WAPI从TePA-EA这一安全技术基因入手，实现了用户、接入点和网络之间真正的双向身份认证，从而在防止非法访问、中间人攻击、反钓鱼、防伪热点/假冒基站等方面具有明显的比较优势，弥补了WLAN技术标准中存在的严重安全缺陷。这也是建立和发布WAPI国家标准的初衷。

字体让我们从实体识别开始。实体认证是验证网络用户或网络设备身份是否合法的过程。打个比方。两个陌生人见面，一般的过程是：打招呼确认身份，握手交谈，一般。事实上，这样的交互逻辑在网络世界中也存在。

当您的终端设备(计算机、手机等)尝试连接到无线局域网时，终端与网络之间的第一个动作是“打招呼”(通用网络连接请求，通常由终端端发起，有时也可能由网络端发起)。技术术语叫“关联”，主要是检测网络上是否有信号。看看他们是否能有生理上的联系。

接下来就是“身份识别”——终端与接入网络之间的相互身份识别和验证，以确保合法终端接入合法网络，这个过程就是“实体识别”。直观地说，它是网络安全的第一个网关，通过这个网关之后，其余的就可以进行正常的网络通信了。

在现实生活中，陌生人相互确认身份的方式有很多种。例如，他们可以使用事先约定好的密码，这意味着他们见面后就能找到合适的人。或者更直接地说，人们首先出示自己的身份证，互相核实，以确保这是一个可信的证明由公安机关，这也意味着他们找到了正确的人，我们称之为“身份证法”。

相对而言，“身份证法”的安全级别更高，更适合大规模使用。从技术应用的演变趋势来看，随着实体(硬件平台等)资源限制的逐步解决，“身份证法则”的应用将更加广泛。这里所说的“身份证”是网络世界中的一种数字证书。

仅仅拥有一张身份证是不够的，还要解决如何使用它的问题。根据上述场景，两个陌生人见面，拿出身份证互相识别，在一定程度上解决了相互信任的问题，但仍然存在安全风险，毕竟身份证可能是假的或无效的。

如果现场有公安身份证明，并能当场验证两个人的身份证是否真实有效，并将结果交给两个人，那么“奇葩——互信”流程就更靠谱。这里引入了“三方”认证的概念，即两个陌生人+公安人员。在网络语言中，两个陌生人分别对应用户和接入点，公安人员对应在线可信第三方(TTP)。WAPI就是利用这样一种“公安人员”来验证实体身份的认证技术。

WAPI在网络架构上引入了在线可信第三方——认证服务器，并赋予用户(如手机)、接入点、身份认证服务器三个实体各自独立的身份信息，从而在认证服务器的帮助下，手机和接入点可以更完整地完成双向点对点身份认证。为网络安全接入提供可靠的技术支持。

需要强调的是，在两个陌生人的识别过程中，任何人都不能免除检测或额外的特权，即他们需要“平等”的识别。即不仅网络可以对手机进行认证，手机也可以对网络进行认证。在网络安全领域有一种说法：“不假设，不相信任何人，测试一切。”WAPI的三元对等实体身份验证概念就是这样。

三元组等价的原理看似简单，但在无线应用场景下，三元组等价架构下的实体认证实现远比想象的复杂。对于三元等价实体识别原理，我们的直观想象基本是如下图所示的逻辑结构：

计算机A、接入点B和认证服务器TTP直接相连，可以很容易地实现双向身份认证，这就是所谓的“金字塔模型”。

然而，工程开发人员知道一个铁律，即技术声音不等于工程可用性，金字塔模型也是如此。在实践中，我们会发现“金字塔”结构对于有线网络是可以的，但对于无线网络几乎是不可能的。

显然，当我们的计算机连接到Internet时，计算机A可以通过有线方式直接连接到服务器和点B。因此，根据金字塔模型，双向点对点认证是可能的。但是，如果发生在无线网络场景中，这种结构的工程实现就不适用了。

由于无线信号传输距离有限，手机可以通过无线方式连接到最近的接入点，但无法连接到放置在远处机房的服务器。它在现实世界中的逻辑结构如下：

在这种情况下，在线的可信第三方TTPS参与认证，但只有A、B一方可以连接到可信第三方。为了适应无线场景下的接入认证应用，WAPI的整体技术解决方案架构中发明了“双棍模型”解决方案(也称为图片业务)。

如何实现基于“双节棍模型”的三联体实体识别机制？如下图所示：

这个三元素体系结构采用了一个五步识别模式，如下所示：

在第一步中，接入点向终端发送“身份验证开始”的消息；

第二步，终端向接入点发送应答消息“这是我的身份信息，请识别，请向我出示您的身份信息和第三方对您的识别结果”;

步骤3:接入点向认证服务器发送消息“这是我和终端的身份信息，请识别并反馈结果”;

步骤4认证服务器向接入点发送消息“这是您与终端之间身份验证的结果”。此时，接入点可以确定终端的身份是否合法。

步骤5接入点将认证服务器的认证结果发送给终端。终端收到认证结果后，根据之前收到的接入点的身份信息和认证服务器的认证结果判断接入点的身份是否合法。

五步信息传输采用公钥密码原理和集成数字证书技术，增强了终端和接入点身份的真实性。这样，终端无法连接到服务器，完全实现了接入点与服务器之间的可靠认证过程。

此外，WAPI的特点不仅是在网络结构上做了创新，引入了三元对等体架构，而且其协议是原子的(不能进一步细分为子协议)，从而进一步提高了安全性。对于Wi-Fi技术来说，与WAPI最显著的区别在于接入点设备没有“ID”，从其网络结构来看，它既不是原子的，也不能实现将ID信息附加到接入点。因此，Wi-Fi的安全结构存在着原有的和结构性的缺陷，这也可以解释为什么它的安全机制多年来不断升级，从WEP到WPA，再到WPA2和WPA3。但问题是，最新的WPA2和WPA3仍然陆续暴露，包括CRACK等安全问题。

至此，我们已经完成了WAPI技术原理、特性和应用解决方案的介绍。WAPI诞生于2000年。从某种意义上讲，WAPI及其配套的技术体系结构——三元点对点网络安全体系结构是一项领先于时代的网络安全基础技术。当时，需要三元结构和实现双向点对点认证的应用还很少，物联网等点对点网络还处于概念阶段。因此，它的技术价值在当时并没有得到业界的充分认可。直到后来假冒基站、中间人攻击等网络安全问题大面积爆发，成为严重的社会问题，这一发明的技术先见之明才逐渐显现。可以说，三元等价具有生命力。因此，在2010年和2019年，分别有2项和3项属于三元等价网络安全架构的技术被ISO/IEC国际标准采用并发布。前者也是中国出口的第一个国际网络安全标准。