10月17日媒体消息,比利时相关研究机构发现,用于保护Wi-Fi网络安全的WPA2安全加密协议已被黑客破解。这种被称作“Krack”(密钥重装攻击)攻击意味着用户连接的绝大多数Wi-Fi已经不安全了,包括家中的路由器Wi-Fi,都存在被盗号的风险。《华尔街日报》援引相关专家的说法称,这是多年来发现的最严重漏洞。
事实上,对于Wi-Fi的安全问题,央视315晚会曾在2015年、2016年连续两年对同一问题进行曝光和警示,早已充分说明了这个问题的严重性。尽管Wi-Fi联盟发现WEP不安全后,采用了WPA和WPA2来进行弥补,但还是未能解决链路层这个根本问题,而这就涉及到Wi-Fi本身“二元架构”技术路线。
这种“二元架构”因为无法判断接入点是否合法,所以也留下了安全隐患。相比于“二元架构”,我国企业西电捷通就针对性的发明了一个新的网络安全协议WAPI,这个协议采用了独创的三元对等架构,实现了终端与接入点之点的双向身份鉴别。技术细节就不讲了,核心就一句话,这个技术保证了“合法用户访问合法网络”。
在这里多说一句,我们一般会把采用WAPI安全机制的无线局域网称为WAPI网络,而把采用IEEE 802.11i安全机制的无线局域网称为Wi-Fi网络。
WAPI这种“三元架构”采取了五步鉴别的模式,具体过程是这样的:第一步接入点向终端发消息“鉴证身份开始”,第二步终端发消息回答接入点“这是我的身份信息,请鉴别,并请给我看第三方对你的鉴别身份鉴别结果”,第三步接入点向鉴别服务器发消息“这是我和终端的身份信息,请鉴别并反馈结果”,第四步鉴别服务器给接入点发消息“这是对你和终端的身份鉴别结果”,此时接入点就知道了终端身份是否通过了鉴别,第五步接入点给终端发消息“这是我的身份鉴别结果”,此时终端就知道了接入点身份是否通过了鉴别。
这五步信息的传递设计首先要考虑它是通信协议系统的分系统,要与通信协议协同。另一方面,它运用公钥密码学原理,还包括集成数字证书技术,以提升终端和接入点双方身份的真实性。
可以说,三元架构的鉴别相当于多了个公证人,他把双方的与众不同的体貌特征做成数字签名,然后分别核实,这就不会误认了,很明显三元架构比二元架构更安全。
WAPI核心技术作为国际标准化组织通过的国际标准,也是全球范围内非对称实体鉴别领域在过去十余年内的唯一技术,它的双向身份鉴别可以彻底解决Wi-Fi一类的先天性二元鉴别漏洞,目前早已内置在全球范围内的所有无线局域网芯片中。
据业内人士称,与Wi-Fi网络相比,WAPI在防范非法接入、防钓鱼等信息安全方面具有一定优势。除了公共WLAN网络外,WAPI在政务、海关、金融、电力、医疗、教育等诸多行业也获得应用。
,