作為華為被Wi-Fi聯盟暫時撤銷會員資格事件的連帶效應,暌違多年的WAPI(中國無線局域網國家標準)再次回到公眾視野。很多人撫今追昔,痛陳當年WAPI遭遇的不公,面對今天華為的困境,WAPI的一切似乎都在瞬間被理解,這對於WAPI,對於中國技術創新是件好事。
當然,在這裡我們不想回顧WAPI歷史,只是想給大家剖析一下WAPI的技術本質,以及它相對於Wi-Fi到底有哪些獨到之處。
WAPI的本質屬於網絡安全協議技術
目前,全球無線局域網(WLAN)已形成相對統一的技術架構,但其標準中的安全技術部分則存在兩條路線:一個是美國主導的IEEE 802.11i技術體系(出自IEEE標準組織),另一個是我國主導的WAPI技術體系。由此,在全球範圍內就形成了有關WLAN的兩個標準,即美國主導的802.11系列標準(俗稱Wi-Fi)和中國主導的WAPI標準。
需要說明的是,Wi-Fi標準和WAPI標準除了安全技術部分不同,其他部分諸如編碼調製、數據交換、訪問控制、頻段分配等都是一樣的。當然,需要強調的是,它們在安全技術上的差異是原理性和結構性的,這種巨大的差異導致它們各自有著完全不同的網絡安全理念和網絡安全架構,進而讓Wi-Fi和WAPI在網絡形態上有了顯著的不同。
從技術本質來看,WAPI屬於無線局域網安全協議技術。網絡的本質在於連接,網絡協議是構建網絡連接的基礎核心技術,而網絡安全協議則是網絡協議的基本組成部分,它構建的是網絡本質安全能力,它是網絡安全的基石。
從標準中相關文本增長量來看,網絡安全協議是網絡協議技術演進的重點。早期的有線局域網國際標準中沒有一頁內容與安全有關,但是到了2016年,安全內容已經達到700多頁;無線局域網國際標準文本在2000年時,安全內容只有11頁,但到了2016年,已經達到166頁之多;IP協議國際標準文本中,與安全有關的文本內容至今達到了200多頁,佔標準文本總量將近一半。這些數據也從側面說明,網絡安全越來越受到全球的重視。
WAPI的初衷在於解決“網絡安全協議不安全”的問題
計算機網絡雖然已出現40餘年,應用場景不斷快速拓展,但網絡技術遠未成熟,特別是構成網絡安全基礎的安全協議技術,由於歷史原因和不同標準組織從“國家利益”和商業利益出發,網絡安全協議技術及標準一直有被個別國家技術力量“蓄意弱化”的問題,這些問題將會給網絡安全造成重大影響。
事實上,美國政府曾經用長達數十年的時間開發並完善可被其控制的網絡安全協議技術和標準體系,可見的資料顯示,早在1986年,美國國家安全局(NSA)就已開始介入網絡安全協議的開發。其中就包括與WAPI有競爭關係的802.1x、IEEE 802.11i等多項安全協議標準。正如2013年“斯諾登事件”所披露的“稜鏡項目”那樣,美方不惜在相關標準中蓄意製造網絡安全協議漏洞,以達到大規模監控和攻擊全球網絡的目的。
“稜鏡門”直接導致了全球網絡信任基礎的崩塌。在2015年的一次國際標準組織ISO/IEC標準討論中,挪威專家明確指出“我們非常清晰的一致意見是SIMON和SPECK算法不應當被包含進ISO/IEC 29192-2(某項國際標準編號—作者注)中,這個結論基於如下事實:這些算法是NSA提出的,我們不信任NSA會善意地提出安全標準。”
WAPI技術的研發在2000年便已開始啟動,那一時期,WLAN的應用部署尚屬初期,但國際上已經開始關注到無線局域網國際標準中的安全機制存在重大缺陷問題,西電捷通也在中國率先開展了高可信無線局域網安全技術研究,最終研發並提出了WAPI技術及其解決方案。
WAPI學名叫作“無線局域網鑑別與保密基礎結構”,這裡所說的“鑑別”就是實體鑑別,它與網絡連接的建立直接相關;“保密”屬於安全通信範疇。也就是說,WAPI技術主要聚焦網絡建立連接過程以及後續網絡通信過程的安全。
事實上,實體鑑別和保密通信都是保障網絡安全的“常規動作”,那麼與Wi-Fi相比,WAPI技術的獨到之處在哪裡呢?需要指出的是,現在網上依然有很多人說WAPI只是改了一下加密算法就出來如何如何,這是對WAPI技術的嚴重曲解。
WAPI技術最大的創新點在於它採用了基於三元對等網絡安全架構的實體鑑別技術(TePA-EA),它在網絡架構上引入了在線可信第三方(TTP),不僅為解決網絡安全中普遍存在的訪問控制和安全接入問題提供了先進的技術支撐,而且它還確保了網絡身份鑑別的無線場景實施(這一點在本文後面會有詳細說明)。從TePA-EA這個安全技術基因出發,WAPI實現了用戶、接入點、網絡三者之間真正的雙向身份鑑別,使其在防範非法接入、中間人攻擊、防釣魚、防假熱點/偽基站等方面具有明顯的對比優勢,彌補了WLAN技術標準中的嚴重安全缺陷。這也是當年我國制定併發布WAPI國家標準的初衷。
什麼是三元對等實體鑑別?
先了解一下實體鑑別。實體鑑別就是確認網絡用戶或網絡設備身份是否合法的過程。打個比方。兩個陌生人會面,一般的流程是:打招呼——確認身份——握手交談,大體如此。其實,這樣的交互邏輯在網絡世界中同樣存在。
當你的終端設備(電腦、手機等)試圖連接無線局域網時,終端與網絡之間的第一個動作就是“打招呼”(普遍意義上的連網請求,通常由終端側發起,有時也可能由網絡側發起),專業術語稱之為“關聯”,主要是探測網絡是否有信號,以確認雙方在物理上是否能夠連得上。
接下來就是“確認身份”——終端與要接入的網絡之間互相進行身份的識別與驗證,以此保證合法終端接入合法網絡,這一過程就是“實體鑑別”。直觀來看,它是網絡安全的第一道關口,這道關口通過之後,剩下的就可以進行正常網絡通信了。
在現實生活中,陌生人之間確認彼此身份的方法可以有很多種,譬如可以用事先約定好的暗號,見面後對上了暗號就意味著找對了人。或者更直接一點,大家先亮出身份證,彼此檢驗一下,確認是公安機關發放的可信證件,這樣也意味著找對了人,我們稱之為“身份證法”。
比較而言,“身份證法”的安全級別更高,也更適合大規模使用,從技術應用的演進趨勢來看,隨著實體(硬件平臺等)的資源受限問題逐步得到解決,“身份證法”的應用會更加廣泛。這裡所說的“身份證”在網絡世界中即為數字證書。
光有身份證還不行,還要解決身份證怎麼用的問題。依照上述場景,兩個陌生人見面,掏出身份證互認,這在一定程度上解決了彼此間的互信問題,但是它依然存在安全隱患,畢竟身份證有可能造假,也有可能失效。
如果現場還有一個公安身份的人,並能夠當場驗證兩個人的身份證是否真實有效,並把結果反饋給二人,那麼這個“陌生——互信”的過程就比較靠譜了。這裡就引入了一個“三元”認證的概念,即兩個陌生人+公安人員,用網絡語言來說,兩個陌生人分別對應著用戶和接入點,公安人員則對應著在線可信第三方(TTP)。WAPI就是採用了這種有“公安人員”參與確認“身份證”的實體鑑別技術。
WAPI在網絡架構上引入了在線可信第三方——身份鑑別服務器,並賦予了用戶(如手機)、接入點、身份鑑別服務器三個實體以各自獨立的身份信息,這樣一來,在鑑別服務器的幫助下,手機和接入點就可以更完備地完成雙向對等身份鑑別,進而為網絡安全接入提供了可靠的技術支撐。
需要強調的是,在兩個陌生人相認過程中,沒有任何一個人可以有免檢或額外的特權,即他們之間都需要進行“對等”的鑑別。即不僅網絡可以鑑別手機是否合法,手機也可以鑑別網絡是否合法。網絡安全界有一句名言:“不假定任何事情,不相信任何人,檢驗所有的東西”。WAPI所採用的三元對等實體鑑別技術理念即是如此。
WAPI“雙節棍解決方案”實現了無線場景下的網絡身份鑑別
三元對等原理看似簡單,但三元對等架構下的實體鑑別在無線應用場景中的實現卻遠比想象複雜。對於三元對等實體鑑別原理,我們直觀的想象基本就是如下圖所示的邏輯結構:
電腦A、接入點B以及身份鑑別服務器TTP三者之間處於直連狀態,所以,它們各自之間可以方便地實現雙向身份鑑別,這個模型被望圖生意地稱為“金字塔模型”。
但是,做工程研發的都知道一個鐵律,技術的合理並不完全等於工程可用,“金字塔模型”也是如此。在實際應用中我們就會發現,“金字塔”結構應用於有線網絡沒有太大問題,但是對於無線網絡則幾乎不可用。
很顯然,當我們的電腦通過有線方式聯網,電腦A可以通過有線方式直接連到服務器和接入點B,因此,根據“金字塔模型”所設想的雙向對等鑑別是可以實現的。但是如果發生在無線網絡場景中,這種結構的工程實現就不適用了。
由於無線信號傳輸距離有限,手機可以通過無線方式就近連接接入點,但是卻無法連接放置在遠方機房中的服務器,它在現實場景中的邏輯結構就成了下面這樣:
此時,在線可信第三方TTP參與鑑別,但A、B兩者僅一方能夠連接可信第三方。為了適應無線場景的接入鑑別應用,“雙節棍模型”(同樣是望圖生意)解決方案被髮明瞭出來,該解決方案也是WAPI整體技術解決方案體系的一部分。
基於“雙節棍模型”的三元對等實體鑑別機制是如何實現的呢?以下圖加以說明:
這種三元架構採取了五步鑑別的模式,具體過程是這樣的:
第一步接入點向終端發消息“鑑證身份開始”;
第二步終端發消息回答接入點“這是我的身份信息,請鑑別,並請給我看你的身份信息以及第三方對你的鑑別身份鑑別結果”;
第三步接入點向鑑別服務器發消息“這是我和終端的身份信息,請鑑別並反饋結果”;
第四步鑑別服務器給接入點發消息“這是對你和終端的身份鑑別結果”,此時接入點可判斷終端身份是否合法;
第五步接入點將對鑑別服務器對接入點的鑑別結果發給終端,終端收到後根據之前收到的接入點的身份信息以及鑑別服務器的鑑別結果判斷接入點的身份是否合法。
這五步信息的傳遞運用了公鑰密碼學原理,還包括集成數字證書技術,以提升終端和接入點雙方身份的真實性。這樣就在終端無法連接服務器的情況下,完備地實現與接入點之間可靠的鑑別過程。
另外,WAPI的特點不僅在於在網絡結構上做出了創新,引入了三元對等架構,而且它的協議具備原子性(不可進一步拆分成子協議),從而進一步提高了安全性。而對於Wi-Fi技術,它與WAPI最顯著的區別就是接入點設備沒有“身份證”,而從它的網絡結構來看,它既不具有原子性,也無法實現為接入點附加身份證信息。所以,Wi-Fi在安全結構上則存在原理性和結構性的缺陷,這也可以解釋為什麼它的安全機制這些年一直在不斷升級,從WEP到WPA,又到WPA2、WPA3,但問題在於,最新的WPA2和WPA3依然相繼被爆出包括CRACK等安全問題。
至此,我們完成了有關WAPI技術原理、特點和應用解決方案的介紹。WAPI誕生於2000年,某種意義上,WAPI及其所依託的技術架構——三元對等網絡安全架構,是一種超前於時代的網絡安全基礎技術。在那個時候,需要三元結構並實施雙向對等身份鑑別的應用場景還不多見,物聯網等對等網絡還處於概念階段。所以,它在技術上的價值在當時並沒有被業界充分認識到。直到後來偽基站、中間人攻擊等網絡安全問題大面積爆發,併成為嚴重的社會問題,這項發明的技術前瞻性才逐漸顯現出來。可以說,三元對等是有生命力的,所以在2010年和2019年,三元對等網絡安全架構分別有所屬的兩項和三項技術被ISO/IEC國際標準所採納併發布,前者也是中國輸出的第一個網絡安全國際標準。
