華為突然被踢出局！暴露出美國、歐洲和中國“Wi-Fi標準”生死暗戰十幾年的真相！

原標題：華為突然被踢出局！暴露出美國、歐洲和中國“Wi-Fi標準”生死暗戰十幾年的真相！

　　5月26日，據相關媒體報道，Wi-Fi聯盟、SD協會、外圍部件互連專業組織PCI-SIG、USB-IF組織、固態技術協會（JEDEC）等暫停華為會員資格或參與會員活動。

外界擔心，被排除在行業標準制定組織之外，可能給華為的未來發展帶來衝擊。

華為在最新宣告中稱，最近個別標準與產業組織受政治影響而暫停與華為的部分合作，我們對此表示遺憾，但這不會影響華為的正常業務運作及對客戶提供高質量產品和服務。

對此，有專家認為，暫停華為會員資格的組織雖號稱“國際組織”，但實質是坐落於美國、由美國發起和主導，並由多國參與的組織。

會員資格被暫停後，華為雖然或將不能參與這些組織舉辦的會議，但影響有限。國際行業標準制定組織若將華為長期排除在外，其影響力及權威性勢必降低。未來，華為可以聯合其他廠商形成新的組織聯盟，繼續在國際行業標準制定領域發聲。

或許是爭議聲太大，5月29日，SD儲存卡協會恢復華為會員資格，隨後，Wi-Fi聯盟、JEDEC等也轉向了。

國際標準的制定到底有多重要？可以說， 國際標準的爭奪不亞於一場“戰爭”。

就拿這次暫停華為會員資格的Wi-Fi聯盟來說，其所創立的Wi-Fi和中國的WAPI之間的技術標準之爭，就有很多國人不知道的驚人真相！

文

張弛 科普作者，通訊博士，筆名“奧卡姆剃刀”

編輯

李浩然 瞭望智庫

本文為瞭望智庫原創文章，如需轉載請在文前註明來源瞭望智庫（zhcz）及作者資訊，否則將嚴格追究法律責任。

1

美國Wi-Fi和中國WAPI誰更安全？先得搞懂這個問題！

Wi-Fi是美國行業標準組織提出的IEEE802.11系列標準，而WAPI是中國無線區域網安全強制性標準。

那美國的Wi-Fi和中國的WAPI，到底誰更安全呢？

在討論這個問題之前，我們有必要先搞明白“層”的概念。

國際標準化組織把資訊系統從物理層到應用層分成了七層結構。

我們不妨舉一個熟知的例子，當你用微信給朋友發一條資訊“在嗎？”時，朋友的手機馬上就顯示這條資訊。

這個過程看似簡單，其實不然。

你在手機上打出“在嗎？”這個詞語，這只是應用層的實現，資訊要一層接一層地組裝和下傳，最終通過物理層的電磁波把訊號傳到對方裝置上。對方再從裝置的物理層開始，把訊號沿著反向順序逐層解析和上傳，恢復出原始資訊，最終在你朋友的微信等應用軟體上顯示出來。

這種分層方法是人類處理複雜勞動時最常用的辦法。比如糧食生產就經歷了品種選育、耕地播種、澆水施肥、收割處理、食品加工等多個階段。每個階段都有不同工作，也都有不同的生產規範和安全標準，只有逐層配合協調工作，糧食才能生產出來。

資訊系統的構建也是如此，這不是單一工種能夠完全實現的，從物理層到應用層，每個層面都有不同的功能要求和技術規範，並由不同專業的技術人員來實現。

分層的優點就在於，一個裝置只要符合了它所在層的介面規範，這個裝置就具備了承接上層和銜接下層的基礎，各層就能以標準模組的形式存在，搭建系統時可以像摞積木一樣方便。

稍有生活常識的人就能體會到，逐級檢查是最安全的，例如，乘坐飛機時先驗票，可以基本排除有人假冒乘客的危險；確定是合法乘客後再進行安檢，進一步篩查違禁物品。逐級就是分層，每個層的檢查重點不同，方法和標準也都不同。如果不分層，把所有人都放在候機區只進行一次檢查，危險係數就大大增加了。

資訊保安有個規律：底層漏洞靠上層很難彌補，而上層的加密防護很容易被從底層突破。例如，軍事安全領域中有一種旁路攻擊技術，軍用系統的加密方法很複雜，在應用層面上破密基本不可能，但是，無論如何複雜，最終都能通過某個晶片某個管腳（例如圖中的紅色管腳）的某種電磁波訊號來“開啟”這個動作。

如果攻擊者找到這個管腳，偷偷安裝一個很精密的訊號採集探頭，把正常開啟的物理訊號採集下來，不管應用層的加密演算法和金鑰如何變化，只要把這個物理訊號重新載入到這個管腳上，複雜的加密系統就被繞過去了。

這就好比是小偷偷汽車，不管鑰匙做得多複雜，只要把發動機的點火線扯出來就能對著火。

又如廚師蒸饅頭，在整個生產過程中有不同層次的安全生產標準和規範，收割的小麥先清除雜物，然後要脫殼……每一道工序都符合安全標準，廚子才能拿到安全衛生的麵粉去蒸饅頭。面沒發好或者鹼放多了導致饅頭又粘又黃，這是廚子的責任。分辨小麥是雜交還是轉基因就不是廚子的職責了。

網路資訊保安也是如此，每個層面都有不同的安全主題，相應有不同的安全標準，各層次之間相互支撐、相互配合，但是不能相互替代。

那些認為能把底層安全隱患交給上層來解決的網友們，缺乏資訊系統理論的基本常識。

2

美國的Wi-Fi有個很致命的缺陷

誰在維護資訊保安？

估計大家想到的是防病毒軟體公司和提供網盤服務的公司，畢竟這些公司的工作是在與使用者直接打交道的應用層，大家都知道。

其實還有很多安全公司工作在資訊系統的底層，他們的職責更基礎也更重要，只因不跟公眾直接打交道而不被熟知。

如果資訊網路系統底層出了安全問題，就超出了防病毒軟體公司的工作層面，他們能做的也只是儘量彌補而不是根治。這好比肝病導致了病人臉色發黃，病人就該找醫生去醫治肝臟，而不是找美容師往臉上抹粉。

在網路安全問題上，從物理層、鏈路層到應用層，每個層都有自己的安全挑戰， 無論美國的Wi-Fi，還是中國的WAPI，它們都工作於鏈路層。鏈路層的安全挑戰包括假基站、非法終端接入、資料監聽、重放攻擊、篡改、拒絕服務攻擊等諸多問題。這些挑戰對於鏈路層上支援承載的任何應用都是存在的，包括微信、微博和支付，等等。

因此，鏈路層需要自身的安全技術，不能將安全隱患遺留給上層應用去解決。

Wi-Fi的安全就是一個最明顯的例子，2015年和2016年央視“315晚會”連續兩年曝光了Wi-Fi的安全漏洞，國內網際網路安全公司對此高度重視，但是直到現在這個問題依然沒有被完全解決。

為什麼呢？

因為Wi-Fi的安全漏洞出現在鏈路層，要在鏈路層進行解決，僅靠對上層的修補並不能徹底解決問題。

於是，Wi-Fi聯盟發現WEP（Wi-fi的一種密碼保護模式）不安全後，採用WPA和WPA2來進行彌補，這的確算是在鏈路層解決鏈路層的問題。然而，結果卻讓人遺憾，安全隱患只是得到了緩解，並沒有得到根治。

這又是為什麼呢？

根本原因是Wi-Fi的安全問題出在鏈路層的 “二元安全架構”，這種架構已滿足不了新形勢下的網路安全要求。

很多讀者一定會問，既然問題已經找到，那把二元架構換掉了不就安全了？

問題就在於，這種基本架構是改不掉的。這就好比房子的承重牆和大梁都建好了，無論後期怎麼裝修，房子的框架是變不了的。

二元架構問題到底是怎麼回事呢？

這要從20世紀90年代中期Wi-Fi設計之初說起，那時的接入裝置一般都是龐大的有線路由器，無線應用還非常罕見，現在很常見的“偽造無線接入的基站”在那時簡直就是“黑科技”，所以，在設計時根本就沒考慮這事。

當時的安全需求只是基站對終端的合法性進行鑑別，並依據鑑別結果確定是否允許終端接入。通俗地說，就是基站決定讓誰上網、不讓誰上網。因此，當時採取的是單向鑑別結構，無線接入點（即我們熟悉的無線路由器）對終端進行鑑別，而終端卻並不對接入點進行上行鑑別。

這也是電信業百年以來的慣性使然，有其歷史的侷限性。

這種架構的

工作原理是：接入點確定並向合法終端分發了共享金鑰，終端和接入點用共享金鑰進行鑑別和保密通訊，但終端無法判斷接入點是否合法，這就為“釣魚”和中間人攻擊提供了機會。

上文提到的兩屆央視“315晚會”的Wi-Fi安全警示說的就是這種危險——黑客設定“釣魚”接入點，誘導使用者手機登入，然後獲取使用者手機裡的個人隱私。

3

中國的WAPI到底什麼水平？

當時的研發人員忽視了這種危險，也就沒有進行鍼對性的安全設計。當然，我們不能跨越時空去譴責前人，但這個架構性的安全隱患是客觀存在的。

隨著時間推移，無線接入點的應用越來越普及，Wi-Fi的安全問題隨之愈加突出，Wi-Fi聯盟被迫採用了新的安全機制， 用WPA和WPA2代替了WEP，採用802.1x來實現無線區域網的鑑別和訪問控制。

簡單地說，這種模式就是增加了一個實體性的鑑別伺服器，與接入點繫結在了一起，預設兩者相互可信，形成了相對於終端的網路端，在形式上實現了終端和網路端之間的雙向鑑別，安全性比以前得到了提高。

雖然有所發展，但其安全架構實質還是二元鑑別架構，危險並未被解除。

而且，新結構有個重要問題：無線接入點還是沒有獨立的身份，它與鑑別伺服器之間的通訊是透明傳送，接入點只是幫助終端和鑑別伺服器之間形成了雙向鑑別，而終端與接入點之間卻 並沒有形成雙向鑑別，“釣魚”和中間人攻擊風險依然存在，系統維護和管理的代價更高——由於依賴於接入點和鑑別伺服器的“強繫結”，在接入點和鑑別伺服器之間也引入了新的攻擊點。

我們不妨舉個例子，二元架構的鑑別就像學生拿著錄取通知書去大學報道，出了火車站就見到了舉著大學招牌的接站人。如果沒有那塊寫著大學名稱的招牌，學生不能確認接站人是不是自己要找的；如果沒有那張通知書，接站人也不能確認學生就是錄取通知書上的那個人。通知書和招牌就好比共享金鑰，能讓雙方互相進行確認。

然而，這種身份鑑別模式並不安全。我有個同事就曾在接站人身份鑑別方面上了當，他出站後遇到了舉著他姓名牌的接站人，於是放心地把行李交給此人，結果三拐兩拐就跟丟了。真相是騙子偽造了真接站人的牌子，就把同事給釣到了。

前面我們也提到了，Wi-Fi聯盟的專家明白這個缺陷， 但“二元架構”這條技術路線在Wi-Fi設計之初就確定了，無論如何修改，都無法顛覆最初的設計，必須要做到向後相容，不能改得以前的裝置都不能用了。

這是沒有辦法的事，20多年前對安全技術認識的侷限性是客觀存在的。

被美國使用各種手段強力抵制多年的中國發明的WAPI協議，在設計之初就提出了與Wi-Fi完全不同的“三元對等安全架構”，並精細設計了傳遞協議，不存在這個歷史“包袱”。

具體說來，這種三元架構是通過引入第三方的方式，實現了終端和接入點之間的直接雙向鑑別，“釣魚”和中間人攻擊無法實施，因此，從結構根源上防止了欺詐性的攻擊。

這相當於多了個公證人，他把雙方與眾不同的體貌特徵做成數字簽名，然後分別核實，這就不會誤認了。

很明顯， 三元架構比二元架構更安全。

這種三元架構採取了 五步鑑別的模式，具體過程是這樣的：

第一步，由接入點向終端發訊息“鑑證身份開始”；

第二步，終端發訊息回答接入點“這是我的身份資訊，請鑑別，並請給我看第三方對你的鑑別身份鑑別結果”；

第三步，接入點向鑑別伺服器發訊息“這是我和終端的身份資訊，請鑑別並反饋結果”；

第四步，鑑別伺服器給接入點發訊息“這是對你和終端的身份鑑別結果”，此時接入點就知道了終端身份是否通過了鑑別；

第五步，接入點給終端發訊息“這是我的身份鑑別結果”，此時終端就知道了接入點身份是否通過了鑑別。

這五步資訊的傳遞設計首先要考慮它是通訊協議系統的分系統，要與通訊協議協同。並且，它運用公鑰密碼學原理，還包括整合數字證書技術，以提升終端和接入點雙方身份的真實性。

什麼是數字證書？

數字證書跟我們常見的使用者名稱和密碼完全不是一回事，使用者名稱和密碼的體制非常不安全，很可能洩露給犯罪分子。

你在訪問銀行網站時，會在瀏覽器上看到一個小掛鎖的標誌，點開就會發現是一個數字證書。WAPI採用這種銀行級別鑑別所用的數字證書作為載體，它不僅能保證身份的真實性，還能保證操作的不可抵賴性。

什麼是“不可抵賴”？

數字證書不僅能幫使用者核實接入點的真實性，還能確認是對方真實身份在操作，雙方都不能抵賴，從身份和內容兩個方面保證了資訊交流的真實性。

不要小瞧這種三元架構中的五步實體鑑別方法，它曾於2010年6月被國際標準化組織通過，成為國際標準。

這是我國在基礎性資訊保安領域的第一個國際標準，也是全球範圍內非對稱實體鑑別領域在過去十餘年內的唯一技術，它的雙向身份鑑別可以徹底解決Wi-Fi一類的先天性二元鑑別漏洞。

4

爭取底層架構的主導權事關重大！

WAPI比Wi-Fi更安全，這是三元架構所決定的，因為它的技術優勢而遭遇美國強力阻撓、抵制，在全球推廣受到了影響。

技術標準的先發優勢非常重要，一旦被推廣起來，即使發現了嚴重問題，由於行業已經被它綁架，很難改弦更張。

美國政府在全球範圍內強力推廣Wi-Fi，並阻撓抵制歐洲和中國的同類技術，等全球市場都被其佔領後再放手，競爭者們很難扭轉局面。

現在，公眾只知道Wi-Fi，其實當初有多種同類技術都不比Wi-Fi差，甚至更有優勢。除了中國的WAPI之外，歐洲的HiperLAN也是一項。

無論是服務質量、速率、越區切換、安全保密，HiperLAN都優於Wi-Fi，但它的命運還不如WAPI。

當年，HiperLAN被忽悠到美國控制的標準組織IEEE去搞標準化，搞著搞著，美國企業主導的技術方案成了正式標準，HiperLAN技術則活生生地被拖垮了。

2003年，IEEE的一份內部文件中指出：

戰爭要一場一場打，WAPI就是下一個（歐洲的HiperLan是上一個）。

要向全球推廣技術標準，除了技術質量過硬，還需要具備兩點條件：一是政府引導，二是產業協同生態建設。美國這兩手都很硬，Wi-Fi被整合到當時的英特爾迅馳處理器上，通過CPU的全球壟斷把Wi-Fi標準推廣起來，即便不安全也能讓話語權掌握在美國手上。

中國在推廣WAPI標準方面兩手都比較欠缺，單就建立國內產業協同生態來說，在當時就很困難，這似乎與2016年11月華為主導的Polar碼被3GPP認可成為5G eMBB場景的控制通道編碼形成了鮮明的對比。

華為是全球第一大電信裝置商，其科研投入在同類企業中遙遙領先，在各種國際電信組織中都有話語權。當時，在全球四大電信裝置商中，華為第一，中興第四，這兩家中國企業佔據了全球近一半的電信裝置市場。中興在這場5G技術標準爭奪戰中力挺華為，兩大國際電信巨頭合力取勝是很正常的事。

對比Polar碼和WAPI這兩項中國人爭取的技術標準，只是性質略有不同。簡單來說，Polar碼是底層技術應用創新，而WAPI是底層技術原始創新。

業內通常認為底層的發明更重要——上層的發明是“基於網路的發明”，而底層的發明則是“發明網路的本身”。這好比房屋的建築與裝修，用PVC管替代鑄鐵管是很好的發明，用塑鋼窗戶替代木窗也是很好的發明，但都不如用鋼筋水泥結構替代磚石結構更重要，因為後者是底層的發明，是深刻影響全系統的關鍵因素。

WAPI和Polar碼均屬底層發明，但受到的待遇卻大相徑庭：Polar碼得到的是一片贊聲，WAPI得到的是一片奚落。

這是為什麼呢？

按筆者的理解，十多年前我們在自主技術方面還缺乏自信，大多數為Polar碼喝彩的人對這種碼一無所知，只是看“意見領袖”們說好，也就跟風表達自豪；當年大多數嘲諷WAPI的人對其核心的三元對等架構並不瞭解。

發明WAPI的公司叫西電捷通，由西安電子科技大學的國家重點實驗室的班底構成，擁有600多項發明專利、多項國際技術標準，得到過世界智慧財產權組織和國家智慧財產權局的金獎。更值得一提的是，早在10多年前，西電捷通就幹了與Polar碼同樣重要的事。但是，作為一個百十人規模的小公司，無論十多年前還是今天，都難以與華為的影響力相提並論。

爭取國際標準重要，推廣已經被授權的國際標準更重要。

說到WAPI的推廣，總有些網友調侃WAPI折騰了十年都沒有應用起來。

這其實是個常見的誤解。

WAPI核心技術作為國際標準化組織通過的國際標準，早已內建在全球範圍內的所有無線區域網晶片中，已經做到了無線接入領域內的普遍應用。這就像安全帶，已作為標準配置裝到了汽車裡，在行業內普遍應用；至於駕駛員系不繫安全帶，是個人問題，需要公共安全秩序管理者去促進解決，安全帶發明者不需要對此事負責。

再比如手機都內建了GPS晶片，提供了普遍使用的技術條件，這就可以說GPS在手機上已經全面應用。

WAPI的全面應用也是同理，包括蘋果在內，所有手機裡都內建著WAPI，區別只在於使用者使用率的高低。

WAPI雖然已經普遍應用，但使用者使用率較低，除了Wi-Fi影響力高等外部原因外，其部署使用也面臨挑戰，核心問題就是為了安全而採用了證書，證書發放過程有些麻煩，而且比較專業，一般使用者是搞不定的。好在該使用環節現在已經有了改進，首次釋出時需要配置，以後再使用就會自動處理了。

與WAPI帶來的安全優勢相比，這一點麻煩就顯得微不足道。

出於資訊保安的考慮，軍隊等特殊行業的無線接入網禁止使用Wi-Fi，這對WAPI的發展是一個機會。

有網友擔心WAPI的使用成本會增加，其實根本無需擔心，儘管WAPI是個複雜的安全協議，但協議已在晶片裝置軟硬體內嵌入，早已內建到手機裡了。這類似手機內原生的基本功能，你不用時它就在手機裡駐留著，使用時只會帶來益處，也不會多花使用者一分錢。

我為什麼關注WAPI？

不僅僅因為它是國產國際標準，更關鍵的在於，它是構成網路本身的底層技術研發。

這種計算機網路基礎技術架構層面的國際標準，中國經歷過標準與產業推動的目前只有這一個，如何持續的發展產業和使用部署，我們沒有經驗，政府若不加強引導，只靠勢單力薄的國內產業去跟美國政府及其產業巨頭硬扛，肯定也不行。

爭取底層架構的主導權是一件大事，每個人都應該瞭解。

中國科技發展迅速，現在已經從上層的技術創新，逐漸下潛到底層的網路架構，這是從網路應用到定義網路的重大變化，面臨的國際競爭會更加劇烈。

這個坎必須得邁過，否則就只能在他人定義的規則下競爭。

科技國際