WAPI和Wifi的区别

众所周知，电信已经确定了其C+W的部署战略。此前我们了解到Wi-Fi这项无线局域网标准迟迟不能获得工信部的通过是因为业界普遍认为Wi-Fi作为一项WLAN技术，也就是无线局域网技术，其安全性太低，故不适合做我国运营商级别的网络，但为什么最近肯松口了呢？原因就是WAPI被摆上台面了。

据动讯网称，电总已于3月份开始了Wi-Fi设备的测试, 此次电总Wi-Fi测试中思科、Aruba、西门子、Ruckus等等均没参与，传统意义上被认为具备提供企业级和运营商级的设备提供商中，仅仅只有摩托 罗拉、阿德利亚和H3C等三家企业，在21家参与测试的设备提供商名单中，北京傲天、广州杰赛等WAPI联盟成员榜上有名。

看到这里，对WLAN这一行有所了解的朋友应该会非常讶异：连思科这种Top1都进不了电总的名单，WAPI是啥玩意儿？

因为我以前对这个名词也只是停留在听说的阶段，于是特地去网上查了查资料。众所周知，平时我们的路由器、网卡都有很多加密方式，WEP、WAP、 WPA2-PSK等等，再下去还有AES、TKIP一堆生涩的名词。其实这些我们都可以不管，因为除WEP外，其余加密标准都是由IEEE 802.11i规定的，该协议的制定就是为了增强wifi网络的安全性能，引入安全性能更高的WPA加密方式，辅以业界流行的AES等加密算法。我们每次连接路由器时，如果路由器采用了WPA加密，客户端和AP都有一系列的认证过程。

那么什么是WAPI呢？这其实是中国自主研发的一套wifi认证协议，采用了更加高级的算法，安全性“据说”高于WPA。为什么是据说呢？因为国家 推行WAPI的根本目的在于保护数据不被其他国家窃取。WPA是美国IEEE制定的，从某种角度说，如果IEEE“留了一手”，到头来满中国的wifi对 他们来讲都是良好的收集情报的工具。工信部会这么想我觉得很正常，毕竟前阵子华为的设备在欧洲还被某国家怀疑，涉嫌窃取该国机密啥的。

项目		WAPI	IEEE 802.11i
鉴别	鉴别机制	双向鉴别（AP和MT通过AS实现相互的身份鉴别）	单向和双向鉴别（MT和Radius之间），MT不能够鉴别AP的合法性
	鉴别方法	鉴别过程简单易行；身份凭证为公钥数字证书；无线用户与无线接入点地位对等，不仅实现无线接入点的接入控制，而且保证无线用户接入的安全性；客户端支持多证书，方便用户多处使用，充分保证其漫游功能	鉴别过程较为复杂；用户身份通常为用户名和口令；AP后端的Radius服务器对用户进行认证；
	鉴别对象	用户	用户
	密钥管理	全集中（局域网内统一由AS管理）	AP和Radius服务器之间需手工设置共享密钥；AP和MT之间只定义了认证体系结构，不同厂商的具体设计可能不兼容；实现兼容性的成本较高
	算法	192位椭圆曲线算法（ECC192）	与具体的协议有关
	安全漏洞	未查明	用户身份凭证简单，易被盗取，且被盗取后可任意使用；：共享密钥管理存在安全隐患
加密	密钥	动态（基于用户、基于鉴别、通信过程中动态更新）	动态
	算法	国密办批准的分组加密算法（SMS4）	128 bit AES和128 bit RC4

上面这个表格是WAPI和802.11i认证方式的一个对比，其实差别真的不大，核心算法不同而已。而且

由于WAPI和另一种WLAN技术WiFi的物理层是一样的，只是协议和 MAC层不一样，因此很容易在同一WLAN芯片上支持两种标准。

所以，在现有的wifi设备上，做到电信所谓的WAPI和wifi兼容是一件不难的事。通信产业报有称，WAPI已经在2008年北京奥运会等大型 示范项目中进行部署，并赢得了零故障率的成绩。据了解，最新的WAPI手机专用无线模块可同时支持WAPI/WAPI+WiFi/WAPI+WiFi+蓝 牙等功能。

可以预期的是今后的终端，尤其是电信旗下的EVDO终端手机、上网卡等设备，会逐渐从WAPI与Wifi兼容逐渐过渡到WAPI上。这种策略是明智 的，因为现有的wifi网络已经大规模铺开，上海、北京、浙江等省市已在08年底完成了2.5万个wifi热点的覆盖，而且用户也是在用正常的wifi设 备上网。所以至少目前来看，兼容这条路很正确。

到后期，基于WAPI的终端开始深入人心的时候，搞不好国家会来个一刀切，所有的迅驰、黑莓、iPhone那时候都完蛋，回家刷上了WAPI再来中国卖！所以接下来有两条路

1、在国外，普及WAPI，去国外推广这项加密技术，让Intel、Cisco等厂商认可这项加密，在现有的wifi技术中加入WAPI支持；

2、在国内大量普及WAPI终端，趁着3G终端热卖的时候把这项技术深入到每一个3G用户，切换802.11i至WAPI就水到渠成了。