WAPI

當前全球無線局域網領域僅有的兩個標準，分別是美國行業標準組織提出的IEEE 802.11系列標準(包括802.11a/b/g/n/ac等)，以及中國提出的WAPI標準。WAPI是我國首個在計算機寬帶無線網絡通信領域自主創新並擁有知識產權的安全接入技術標準。

本方案已由國際標準化組織ISO/IEC授權的機構IEEE Registration Authority（IEEE註冊權威機構）正式批准發佈，分配了用於WAPI協議的以太類型字段，這也是中國在該領域唯一獲得批准的協議。

WAPI 同時也是中國無線局域網強制性標準中的安全機制。

與WIFI的單向加密認證不同，WAPI雙向均認證，從而保證傳輸的安全性。WAPI安全系統採用公鑰密碼技術，鑑權服務器AS負責證書的頒發、驗證與吊銷等，無線客户端與無線接入點AP上都安裝有AS頒發的公鑰證書，作為自己的數字身份憑證。當無線客户端登錄至無線接入點AP時，在訪問網絡之前必須通過鑑別服務器AS對雙方進行身份驗證。根據驗證的結果，持有合法證書的移動終端才能接入持有合法證書的無線接入點AP。

無線局域網鑑別與保密基礎結構（WAPI）系統中包含以下部分：

1、WAI鑑別及密鑰管理

2、WPI數據傳輸保護

無線局域網保密基礎結構（WPI）對MAC子層的MPDU進行加、解密處理，分別用於WLAN設備的數字證書、密鑰協商和傳輸數據的加解密，從而實現設備的身份鑑別、鏈路驗證、訪問控制和用户信息在無線傳輸狀態下的加密保護。

WAPI無線局域網鑑別基礎結構（WAI）不僅具有更加安全的鑑別機制、更加靈活的密鑰管理技術，而且實現了整個基礎網絡的集中用户管理。從而滿足更多用户和更復雜的安全性要求。

世界貿易組織的一個重要協定—貿易技術壁壘協定(WTO/TBT)規定WTO各成員國可以為本國安全、健康、環保等正當目標，在符合WTO總協定的有關標準和國際指南的前提下修改或制定出本國新的技術法規、標準等相關文件。眾所周知，WAPI旨在加強無線網絡的安全性，符合WTO上述規則。

1、出於安全性考慮。

2013年斯諾登曝光了美國稜鏡門事件，同時也披露了美國包括NSA、國土安全部、FBI、CIA在內的十餘家情報機構，通過與美國標準制定機構長期合作，將有明顯技術缺陷的密碼算法和安全機制方案埋入其主導並參與的國際標準，從而實施全球網絡監控計劃的技術標準控制路徑。這為各國的網絡與信息安全敲響了警鐘，各國都開始重新審視WIFI安全性和美國阻擊WAPI的真實用心，這也成為WAPI重獲新生的機遇。

對於個人用户而言，WAPI的出現最大的受益就是讓自己的筆記本電腦從此更加安全。無線局域網傳輸速度快，覆蓋範圍廣，因此它在安全方面非常脆弱。因為數據在傳輸的過程中都曝露在空中，很容易被別有用心的人截取數據包。雖然，3COM、安奈特等國外廠商都針對802.11制定了一系列的安全解決方案，但總得來説並不盡人意，而且其核心技術掌握在別國人手中，他們既然能制定得出來就一定有辦法破解，所以在安全方面成了政府和商業用户使用WLAN的一大隱患。WIFI加密技術經歷了WEP、WPA、WPA2的演化，每一次都極大提高了安全性和破解難度，然而由於其單向認證的缺陷，這些加密技術均已經被破解並公佈。WPA於2008年被破解。WPA2則於2010年上半年被黑客破解並在網上公佈。

而WAPI由於採用了更加合理的雙向認證加密技術，比802.11更為先進，WAPI採用國家密碼管理委員會辦公室批准的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，實現了設備的身份鑑別、鏈路驗證、訪問控制和用户信息在無線傳輸狀態下的加密保護。此外，WAPI從應用模式上分為單點式和集中式兩種，可以徹底扭轉WLAN採用多種安全機制並存且互不兼容的現狀，從根本上解決安全問題和兼容性問題。所以我國強制性地要求相關商業機構執行WAPI標準能更有效地保護數據的安全。

另外，設備間互聯是運營商必須要考慮的問題。當前，雖然許多廠商的產品都宣稱通過了wi-fi兼容性測試，但由於各廠商所提出和採用的安全解決方案不同。例如，安奈特（AT-WR2411無線網卡）提供的是多級的安全體系，包括擴頻編碼和加密技術，安全的信息通過40和128位的Wired Equivalent Privacy (WEP) 加密方法；而3Com的無線網卡如果和3Com 11 Mbps無線局域網Access Point 6000配合使用，則可以使用高級的動態安全鏈路技術，該技術與共享密鑰的方案不同，它會自動為每一個會話生成一個128位的加密密鑰。這樣，由於缺乏統一的安全解決方案標準，導致了不同的WLAN設備在啓用安全功能時無法互通，會造成運營商的設備管理極其複雜，需要針對不同的安全方案開發不同用户管理功能，導致運營和維護成本大大增加，也不利於保護投資，而用户因為無法在不同的安全AP(Access Point)間漫遊，而降低客户滿意度。

2、出於利益方面的考慮。

我國是個經濟蓬勃發展的發展中國家，許多產品都擁有巨大的發展空間，尤其是高科技產品。但是，在以前，我國在高科技產品方面喪失了很多的機會，由於極少有自主核心技術和自己業界標準的產品，造成了頗為被動的局面：DVD要被外國人收取大量的專利費，GPRS、CDMA1X等等的標準都掌握在外國人手裏，我國只能乖乖地將大把的鈔票送給人家去買人家的標準，而自己則像個替人“打工”的工人，只能去搞OEM、去幫人組裝產品。所以，有人説“一流的企業賣標準、二流的企業賣技術、三流的企業賣產品”。

WAPI包括兩部分：WAI（WLANAuthentication Infrastructure）和WPI（WLAN Privacy Infrastructure）。WAI和WPI分別實現對用户身份的鑑別和對傳輸的業務數據加密，其中WAI採用公開密鑰密碼體制，利用公鑰證書來對WLAN系統中的STA和AP進行認證；WPI則採用對稱密碼算法實現對MAC層MSDU的加、解密操作。

1、WAPI 接入控制實體

WAPI接入控制中包括以下4個實體。

（1）鑑別服務單元ASU（authentication service unit），基本功能是實現對用户證書的管理和用户身份的鑑別等，是基於公鑰密碼技術的WAI 鑑別基礎結構中重要的組成部分。ASU管理的證書裏包含證書頒發者（ASU）的公鑰和簽名以及證書持有者STA和AP的公鑰和簽名，並採用WAPI特有的橢圓曲線作為數字簽名算法。

（2）鑑別器實體AE（Authenticator Entity），為鑑別請求者實體在接入服務之前提供鑑別操作的實體。該實體駐留在AP 設備或者AC設備中。

（3）鑑別請求者實體ASUE（Authentication SUpplicant Entity），在接入服務之前請求進行鑑別操作的實體。該實體駐留在STA 中。

（4）鑑別服務實體ASE（Authentication Service Entity），為鑑別器實體和鑑別請求者實體提供相互鑑別服務的實體。該實體駐留在ASU 中。

2、WAPI 信息元素

為了使STA能夠識別啓用WAPI無線安全機制，在信標幀、關聯請求幀、重新關聯請求幀和探詢請求幀中攜帶WAPI信息元素。對於AP來説，需要在發出信標幀和探詢響應幀中，根據當前AP上WAPI的配置加入相應的WAPI信息元素。同時，解析關聯請求幀和重新關聯請求幀，只有在符合當前AP上WAPI的配置條件時才能和該STA進行後續的協商。WAPI信息元素的格式如圖1所示，該元素長度最大不超過255Byte。

其中元素標識ID應為68。長度字段標識WAPI信息元素中除元素標識ID和長度字段以外字段的字節數。版本字段標識WAPI協議的版本號，本規範中版本號為1，其他值保留。鑑別和密鑰管理（AKM）套件計數字段標識STA支持的鑑別和密鑰管理機制個數。鑑別和密鑰管理（AKM）套件字段包含STA支持的鑑別和密鑰管理機制，m為鑑別和密鑰管理套件計數字段的值。單播密碼套件計數字段標識STA支持的單播密碼算法個數。單播密碼套件字段包含STA支持的單播密碼算法，n 為單播密碼套件計數字段的值。組播密碼套件字段包含STA支持的組播密碼算法。WAPI能力信息，比特0為預鑑別標識位，其他位保留。BKID計數和列表字段，BKID計數和列表字段僅用於發往AP的關聯或重新關聯請求幀中。BKID計數字段表示BKID列表字段中包含的BKID個數。

3、WAPI 身份鑑別和密鑰協商

WAPI鑑別及密鑰管理的方式有兩種，即基於證書和基於預共享密鑰PSK。若採用基於證書的方式，整個過程包括證書鑑別、單播密鑰協商與組播密鑰通告；若採用預共享密鑰的方式，整個過程則為單播密鑰協商與組播密鑰通告。這幾個過程的交互如圖2中圖2、圖2中圖3，圖3所示，

4、WAPI 報文封裝和加解密

WPI保密基礎結構對MAC子層的MPDU進行加、解密處理，但對於WAI協議分組不進行加解密處理。經過加密處理後的MPDU封裝結構如圖4所示。

圖4　WAPI 的MPDU 封裝結構

其中，MAC頭當地址4 存在時，長度為30個字節；當地址4不存在時，長度為24個字節。當MAC 頭包含服務質量控制（QoS）子字段時，長度再增加兩個字節，WAPI協議中沒有定義無線QoS的操作，即不支持無線QoS。KeyIdx表示USKID或MSKID或STAKeyID的索引值，這個報文使用的會話密鑰索引值，保留字段默認值為0。PN字段表示一個整數，標識數據分組

序號，該數據分組序號作為OFB、CBC-MAC模式下數據加密和校驗時所需的IV。數據分組序號PN字段按照小端模式編碼發送。PDU（數據）字段為MPDU數據，最大長度為2278=2312－18（WPI頭）－16（MIC）。FCS字段為MAC幀格式的幀校驗序列。MIC字段是利用完整性校驗密鑰採用CBCMAC工作方式對完整性校驗數據計算得到，圖5為MIC計算時完整性校驗數據的組成結構。

圖5　WAPI 的MPDU 封裝結構

（參考來源： ^[2]  ）

1992年，中國開始無線局域網研究

1994年，中國第一台WLAN樣機，誕生於西安電子科技大學綜合業務網理論及關鍵技術國家重點實驗室，並通過部級鑑定。

2000年底，西電捷通成立——由西安電子科技大學(綜合業務網理論及關鍵技術國家重點實驗室)等發起成立的高科技股份制企業，無線局域網國家標準的起草者。

2001年6月，由於IEEE 802.11標準存在的嚴重安全技術漏洞，信息產業部開始下達無線局域網國家標準起草任務。

2001年8月，西電捷通發起成立中國“寬帶無線IP標準工作組”，開發中國的無線局域網安全技術，同年11月完成標準草案。

2003年5月，國家強制標準GB 15629.11/1102-2003批准即WAPI發佈，並宣佈將於2003年底實施。英特爾等跨國公司以準備時間不足為由，要求推遲實施。

2003年11月，國家質監總局和國家標準化管理委員會發佈公告,從2004年6月1日起,境內的無線局域網產品必須採用WAPI標準。但英特爾、博通等美國公司強烈抵制,並威脅將停止在中國開展無線業務,聲稱WAPI標準將迫使自己與中國公司共享敏感信息.

2004年3月，美國務卿鮑威爾、商務部長埃文斯、貿易代表佐立克聯名致信，要求中國放棄WAPI標準。稱這一標準是國際貿易的壁壘。

2004年4月，國家質檢總局、國家認監委、國家標準委聯合發佈公告：2004年6月1日將延期強制實施WAPI標準。

2004年7月，中國向國際標準化組織ISO提交了WAPI提案,試圖推進其成為國際標準,但遭到美國方面的強烈阻撓，包括阻止中方WAPI技術專家參加會議的方式。中國代表團中所有WAPI技術專家均被拒籤，僅管理人員獲得簽證。中國代表團不得不尋求保護並將相關工作延遲至次年的德國法蘭克福會議。

2005年11月，發改委等八部委連續召開WAPI部際聯席會議。12月，財政部等三部委聯合 “關於印發無線局域網產品政府採購實施意見的通知”

2006年1月，國家質檢總局頒佈了無線局域網修改單GB 15629.11-2003/XG1-2006及其擴展子項國家標準GB 15629.1101-2006《無線局域網媒體訪問控制和物理層規範：5.8GHz頻段高速物理層擴展規範》、GB15629.1104-2006《無線局域網媒體訪問控制和物理層規範：2.4GHz頻段更高數據速率擴展規範》、GB/T 15629.1103-2006《無線局域網媒體訪問控制和物理層規範：附加管理域操作規範》等三項補篇國家標準，形成了全面採用WAPI技術的WLAN國家標準體系。

2006年3月，國際標準化組織ISO的投票中,WAPI以懸殊的得票率負於美國標準802.11i.

2006年6月，質檢總局、國標委聯合發佈《關於發佈無線局域網國家標準的公告》

2008年 WAPI在中國電信和中國移動WLAN入網測試規範中被定為A類必須滿足的測試項。

2008年3月 兩會期間全國人大代表、西安電子科技大學副校長郝躍提交《關於加速推進我國自主網絡通信安全標準WAPI的建議》的議案。

2008年4月，在ISO/IECJTC1/SC6日內瓦會議上,中國第二次啓動WAPI提案。在這次會議上,國際標準組織認為802.11i仍無法滿足無線網絡的安全需求,同意了WAPI進入研究階段；經過獨立標準、附錄、技術報告等多種方式的評估後，會議確定WAPI以獨立標準和技術報告（屬ISO標準文獻類）作為WAPI推進為國際標準的兩個最終考慮方案。

2008年7月，在包括ISO/IEC總部官員、中方代表、IEEE代表等參加的WAPI特別會議上,IEEE代表和美國代表改變原本堅決反對WAPI提案的立場,達成了WAPI可作為獨立標準推進的共識。全球第一款WAPI+GSM雙模手持終端研製成功。

2008年8月，北京奧運會期間 在奧運場館無線覆蓋項目中，WAPI取得“零故障、零投訴”的好成績。

2008年9月，WAPI產業聯盟面向應用市場推出WAPI SOM系列解決方案，並積極地開展面向運營商的示範網項目。

2008年10月21日至25日 在北京國際信息通信展覽會上，WAPI產業聯盟對外表示，從運營商建網需求角度講，WAPI已進入全新的發展階段。

2008年12月，WAPI聯盟廠商實現最低成本解決Wi-Fi網絡及終端向WAPI平滑過渡。

2008年底，WAPI被中國移動、中國電信和新聯通三大電信運營企業標準採納。

2009年1月，全球無線芯片知名廠商Marvell的核心芯片模組廠商海華科技推出了全系列配合WAPI應用的無線模塊IC。

2009年2月，WAPI已成為中國移動和中國電信採購WLAN設備測試的必測項。

2009年4月，中國電信集團宣佈，將大力推動WAPI的發展，並建立以WLAN全國漫遊認證中心，以實現WLAN用户的漫遊需求。擬通過WAPI在大規模公眾網絡的部署和開展運營，尤其是在手機端與CDMA網絡結合與互補，構建廣覆蓋、高速率的寬帶無線網絡。

2009年4月，中國工信部召集手機廠商開會，宣佈今後國內所有2G和3G手機都可以使用WAPI技術

2009年4月，第一款由海爾和中國電信共同打造的WAPI/Wi-Fi手機對外發布。大唐電信、京信通信、廣州傑賽、烽火虹信、傲天動聯等8家WAPI產業聯盟成員企業共同對外宣佈，他們的WAPI會聚型產品（瘦AP）已實現互聯互通。

2009年5月 中國移動、中國電信先後展開2009年WLAN網絡設備招標，要求新建WLAN網絡設備全部具有WAPI功能。

2009年6月，在東京召開的ISO/IEC JTC1/SC6會議上,包括美、英、法等10餘個與會國家成員體一致同意,將WAPI作為無線局域網絡接入安全機制獨立標準形式推進為國際標準。(其中美國代表傑西·沃克既是英特爾的安全架構師,也是802.11i標準的編輯者)，從而獲得打破IEEE壟斷的希望。

2009年6月18日，摩托羅拉宣佈中國第一款支持WAPI高速無線網絡接入的智能手機MOTO A3100正式上市。

2010年6月，WAPI基礎框架方法（虎符TePA）獲國際標準化組織正式批准發佈。

從2004到2011年，只要是在美國舉辦的國際標準化組織會議，老美均拒絕給中方WAPI技術人員簽證。中方不得不多次推遲到下一次非美國本土舉行的會議上。2013年斯諾登曝光稜鏡計劃為WAPI獲得國際認可掃清了心理障礙。

2013年12月，商務部公佈的《第24屆中美商貿聯委會中方成果清單》顯示WAPI的核心專利已在美國通過專利。至此，中德英法日韓美等多個國家已經承認相關專利。 ^[3] 

2014年上半年，飛天聯合、西南交大等單位和鐵路部門一道，聯合設計了一款基於WAPI標準的車內無線網絡系統，火車上網有望實現。

2018年11月，支持WAPI的無線局域網芯片已超過400款型號、全球累計出貨量超過110億顆，移動終端和網絡側設備等已超過13000款。

截至2019年12月，全球無線局域網芯片均已支持WAPI，芯片達500多個型號，全球出貨量超過140億顆，具備WAPI安全能力的無線局域網產品超過14000款。 ^[4] 

支持WAPI的手機：由於WAPI是中國無線局域網安全強制性標準，因此包括iPhone在內的智能手機均已支持WAPI標準（這些手機均同時支持WIFI標準）。

2023年8月，WAPI產業聯盟發消息稱我國自主研發的2項無線局域網接入控制技術——組網架構和調度平台技術由國際標準化組織和國際電工委員會(ISO/IEC)聯合發佈為國際標準。這是我國在無線通信網絡雲管理技術領域，圍繞基礎架構和組網模式提出並獲得發佈的首批國際標準。 ^[5] 

WAPI是中國自主研發的，擁有自主知識產權的無線局域網安全技術標準。相比WiFi，對於用户而言，WAPI可以使筆記本電腦以及其他終端產品更加安全。WAPI的安全性雖然獲得了包括美國在內的國際上的認可，但是一直都受到WIFI聯盟商業上的封鎖，一是宣稱技術被中國掌握不安全，所謂的中國威脅論；二是宣稱與現有WIFI設備不兼容。由於美國的阻擊，WiFi已主導市場。

市面上單純應用WAPI安全協議標準的產品很少，無線路由器暫時沒有，筆記本電腦只有聯想、索尼和方正曾經推出過。在實際操作中，WAPI一直處於未採用、邊緣化的狀態。

實際上無線設備是可以同時支持WIFI和WAPI的標準的，只需要軟件上添加WAPI證書就可以了，不存在硬件成本或者所謂的分裂整個無線世界的問題。而採用有嚴重缺陷的WiFi標準建設將使國家公共基礎設施網絡存在極大的安全隱患和公共信息安全問題。

WAPI和WiFi能否兼容

早在2006年，著名電信專家、北京郵電大學教授闞凱力就表示，WAPI與WiFi的唯一區別就是在認證保密方面，WAPI比WiFi強。雖然WiFi與WAPI不兼容，但應用WAPI標準的筆記本電腦或者其他終端產品，可以自動切換並接收WIFI信號，拿到國外也一樣。

WAPI聯盟的技術專家告訴記者，在國內全面推廣WAPI，並非需要購買單獨的網卡才可以使用WAPI。“只要英特爾願意在網上公佈迅馳筆記本的WAPI軟件補丁或直接把驅動嵌入進操作系統中安裝，迅馳筆記本或者採用WiFi標準的無線產品都可以應用WAPI標準的無線網絡。”該專家表示，“這件事對於英特爾來説是輕而易舉的事情。問題的關鍵是英特爾願不願意，而不是能不能。”

由於在WIFI聯盟的抵制，為了兼容他們生產的設備，即使支持WAPI的設備，事實上也仍然用的WIFI加密標準，因此WAPI也就成了擺設。例如小米手機、iPhone是支持WAPI加密信號的，但是真要用，需要無線路由器也按WAPI協議發射信號。否則在WIFI網絡環境下，手機終端仍然執行的WIFI協議，這也正是WAPI在國內沒有存在感的原因。

WAPI產業內部人士介紹，WAPI其實不像外界想象的那樣，這些年停滯不前，實際上是在持續的發展和推進。WAPI產業鏈已頗具厚度，具有WAPI功能的芯片全球出貨量累計已超過40億顆，移動終端產品型號超過7000款/近6億部。國內三大電信運營商建設的公共無線局域網絡設備(AP/AC)均具備WAPI能力(累計約700萬個無線局域網熱點)，並已在電力、金融、教育等行業逐步推廣。