最近美国政府打压华为的行动依然在持续着,在宣布国家紧急状态并把华为纳入实体名单后,美国政府先后影响谷歌、ARM停止与华为合作,又要求技术联盟的停止与华为合作,对华为发起新一轮的攻势。
近日,WiFi联盟宣布暂时撤销华为会员资格。此事件对华为已售和在售的手机、笔记本等产品没有影响,但让华为未来无法参与WiFi新标准制定,丧失在无线技术标准制定的权力。
WiFi联盟有何权利暂停一个对WiFi技术发展有重要贡献的成员?姑且不讨论这点,也不讨论WiFi联盟对自身开放形象带来的恶劣影响,在人们对此事件热议时,很多人想到WAPI,认为当年中国主导制定WAPI国家标准很有先见之明,当然也有人借机对中国主导制定的WAPI技术标准进行抹黑,认为WAPI替代WiFi痴心妄想。
作为圈内人,笔者觉得很有必要为大家普及一下什么是WAPI。
目前,全球WLAN已形成相对统一的技术架构,但在安全技术部分有两条路线:一个是美国主导的IEEE 802.11i标准,另一个是我国主导的WAPI标准(无线局域网鉴别与保密基础结构)。基于上述技术路线形成的WLAN网络,业界分别称为WiFi网络和WAPI网络。
WiFi网络在发展过程中安全隐患日益突显,那么作为基于不同技术路线的WAPI网络能否代替WiFi网络呢?
WiFi安全问题日益突出
在网络安全问题上,从物理层、链路层到应用层,每个层都有自己的安全挑战,其中链路层的安全挑战就包括假基站、非法终端接入、数据监听、重放攻击、篡改、拒绝服务攻击等等,这些挑战对于链路层上支持承载的任何应用都是存在的,包括日常生活中大家熟知的微信、支付宝等支付手段。
其实早在2015年的315晚会上,央视曝光了免费公共WiFi存在的诸多问题,并在现场做了实验,观众只要连接现场公用WiFi并登陆手机APP,自己的隐私信息就会被黑客盗取。
2016年的315晚会上,央视再次曝光了WiFi的危险性,女主持人谢颖颖在现场用手机订一个美甲服务,下单后男主持人陈伟鸿就通过后台黑客掌握了谢颖颖的信息,包括预约时间、下单留的地址、电话等内容。
一年一度重磅的315晚会,能够持续两年报道曝光Wi-Fi危险性,足以看出WiFi安全问题日益突出。
作为Wi-Fi的创造者,WiFi联盟在发现WEP不安全后,采用了WPA和WPA2来进行弥补。但从结果看并不理想,2017年10月份,WiFi安全协议的最高安全机制WPA2遭到破解,预示着WiFi联盟在WiFi安全性上的努力并未取得想要的结果。
随后,WiFi联盟又发布了WPA3,试图缓解由密钥重装攻击(KRACK)所引发的WiFi安全危机。但在今年4月,据ZDNet消息:两位曾发现WPA2中KRACK攻击漏洞的安全研究人员,又披露了WiFi WPA3标准中一组称为Dragonblood的新漏洞,新发现的这些漏洞影响了WPA3 WiFi安全和认证标准。一旦被利用,这些漏洞将允许攻击者在受害者网络范围内恢复WiFi密码,并渗透到目标网络。
其实早在2000年,英特尔公司安全架构师Walker就表达了这个观点。当时英特尔在其主办的开发商论坛会场虽然也提供WiFi无线连接,但同时警告与会者WiFi并不安全,使用WiFi过程中隐私得不到保证,英特尔不对其安全性提供担保。
随后,很多学者也揭露了WiFi的安全性问题。比如:2001年1月,加州大学伯克利分校的研究者独立发表论文,描述了WEP的安全问题;2001年5月,马里兰大学发现针对WEP和WEP2的新密码攻击与IV长度无关,并在奥兰多会议上提出这个发现;2001年6月,Tim Newsham发现协议算法的问题,并做了对截获的WEP业务进行的字典攻击等,这样的观点还有很多。
WiFi安全问题源于架构
谈及WiFi许多人可能只知道它是生活中经常用到的上网手段,对其身世并不清楚。WiFi是一个商业品牌,隶属于总部位于美国德州奥斯汀的WiFi联盟。
WiFi从一出生便带着一个先天的痼疾,那就是认证策略并不完善。其实,日常在网络上传输的信息,其安全保障可分为两个方面,一是加密,二是认证。加密很好理解,就是将传输内容的明文变成密文,令截获了信息的人不知道其表达的意思。
认证就是指在信息传输时,对信息发出和接受方的身份进行识别。就好比你朋友在电话里找你借钱,你需要提出一些你们之前发生的事情来判断他是否是你的朋友,这就是身份认证。
当前的信息安全形势有个特点,那就是“加密强认证弱”,WiFi从一出生也犯了同样的错误。在我们日常使用WiFi时,你会发现你家的WiFi经常会被不认识的手机连接上,或者你在商场连接WiFi时,你的手机无法判断这个WiFi的安全性。这些事例都反应了WiFi在认证上的缺陷。
可以说,WiFi的安全问题出在链路层,具体说就是链路层的二元安全架构,这种架构已不满足新形势下的网络安全要求,这是根本原因。如果WiFi最根本的架构问题不能解决,那么WiFi的安全隐患将无法彻底解决。
回顾WiFi联盟在WiFi安全上的努力可以看出,并未取得实质突破。其实早在2000年,WiFi就被发现存在严重安全漏洞后,美IEEE 802.11i工作组提出IEEE 802.11i来弥补Wi-Fi存在的安全问题,但是由于太考虑和过去不安全的产品和设施兼容,只是换了细节,架构没有更新。
WAPI还好吗?
想要回答这个问题并非易事,笔者先谈一下WAPI标准坎坷之路:自WAPI出生起,就受到国内外重重打击。
西电捷通早在2000年就注意到WiFi所基于的协议有安全隐患,并针对性的发明了一个新的网络安全协议WAPI。
到2003年,西电捷通完成了硬件部分和开发套件的设计。2004年7月,中国方面向国际标准化组织ISO/IEC提交了WAPI国际标准提案。
看似一切非常顺利,但是美国国家标准学会居然于2004年9月单方面撤销了WAPI国际提案,突如其来的打击是WAPI标准遭受的第一次打击。
随后在中国政府的努力下,国际标准化组织终于答应搞个WAPI标准宣讲会了。就在中方专家准备在会议上据理力争时,参加ISO/IEC国际标准会议的中方参会专家,在办理签证时全部遭到美国政府的拒签。
2011年6月,国际标准化组织(ISO/IEC)相关会议在美国召开,按照国际标准流程,本次会议将是WAPI国际提案由工作组草案向前迈进的关键节点。中方专家本想着在会议上据理力争,参会人员在办理赴美签证时再次被拒签,致使中方只能撤销本次会议所对应的所有WAPI议题。
随后,美方对WAPI百般挑剔,在挑不出任何毛病后,美方居然将标准搁置起来。从以上阐述足以看出WAPI一路的艰辛。
接下来,笔者分析一下WAPI的能力现状:
首先,WAPI协议更具优势:国内有部分人认为,WAPI就是对802.11标准进行了略微改动,其实WAPI协议采用了独创的三元对等架构,实现了终端与接入点之点的双向身份鉴别。
三元架构的鉴别相当于多了个公证人,他把双方的与众不同的体貌特征做成数字签名,然后分别核实,不会出现误判现象,相比而言,WAPI的三元架构比WiFi的二元架构更安全。
其次,WAPI的核心支撑技术TePA已成为国际标准:2006年1月9日,国家密码管理局公布了无线局域网国家标准WAPI的加密算法,使得国外厂商也可自由获取使用;2009年在国际标准化组织的东京会议上,WAPI获得英、法等十多个与会国家成员体一致同意,以独立文本形式向国际标准推进;2010年6月,TePA三元对等鉴别全票通过正式成为国际标准,这是我国在信息安全领域的第一个国际标准,可以彻底地解决Wi-Fi的先天性认证漏洞。
2013年10月,美国专利商标局通知中方,西电捷通提出的无线局域网安全标准WAPI的核心专利在美国获得授权。
最后,WAPI已形成产业联盟:目前,西电捷通与全球500余家ICT产业合作伙伴有密切的产业合作,其中包括全球ICT50强企业中的28家,全球半导体20强中的12家,财富世界500强中的57家,福布斯世界500强中的51家。
2018年底,相关芯片已达400多个型号,全球累计出货量超过110亿颗,网络侧设备和移动终端超过13000款。
此外,WAPI产业联盟成员已发展到92家,包括三大电信运营商和ICT领域骨干企业。除公共WLAN网络外,WAPI在政务、海关、公安、电力、交通、教育等诸多行业得到应用。
通过以上分析可以看出,WAPI在技术、标准、产业联盟、产业化、应用上已具备一定的实力。此次WiFi暂停华为会员,也给业界上了一课。自主可控会变得更加受重视,有利WAPI。如果WAPI要进一步发展,还需要加强演进,更加开放,更低使用成本,让更多人喜欢用。
结语
可以看出标准非常重要,谁掌握了标准,谁就能站在行业的最高峰,谁就能引导技术的发展方向。特别是在互联网的协议标准方面,它不仅与国民经济休息相关,甚至事关国家安全。
中国企业除了在基础科技技术上不断努力外,在标准制定中的话语权也非常重要。比如在5G标准制定中,中国企业所占的话语权比重相当高,这也让美国意识到了中国的威胁,从而不断对中国科技企业发起攻势。
但是,越是在这种情况下,我们越要认识到基础技术及标准的重要性。只有在这些领域有所突破,才不会受制于人,在面对国际竞争时更具实力。
突破是非常痛苦的事情,但突破后的阳光却无比精彩。在华为遭遇封锁时,为什么有这么多人想到WAPI?我们是否要一直享受便捷的服务,而把大门钥匙、保险柜钥匙交给别人?我们能否多给自主可控技术一些发展的空间和理性的对待?恐怕都需要我们再好好权衡下。时间也许是最好的验金石。
作者:黄海峰
,