作为华为被Wi-Fi联盟暂时撤销会员资格事件的连带效应,暌违多年的WAPI再次回到公众视野。从标准中相关文本增长量来看,网络安全协议是网络协议技术演进的重点。“棱镜门”直接导致了全球网络信任基础的崩塌。也就是说,WAPI技术主要聚焦网络建立连接过程以及后续网络通信过程的安全。这也是当年我国制定并发布WAPI国家标准的初衷。WAPI就是采用了这种有“公安人员”参与确认“身份证”的实体鉴别技术。
WAPI的本质属于网络安全协议技术作为华为被Wi-Fi联盟暂时撤销会员资格事件的连带效应,暌违多年的WAPI(中国无线局域网国家标准)再次回到公众视野。很多人抚今追昔,痛陈当年WAPI遭遇的不公,面对今天华为的困境,WAPI的一切似乎都在瞬间被理解,这对于WAPI,对于中国技术创新是件好事。
当然,在这里我们不想回顾WAPI历史,只是想给大家剖析一下WAPI的技术本质,以及它相对于Wi-Fi到底有哪些独到之处。
目前,全球无线局域网(WLAN)已形成相对统一的技术架构,但其标准中的安全技术部分则存在两条路线:一个是美国主导的IEEE 802.11i技术体系(出自IEEE标准组织),另一个是我国主导的WAPI技术体系。由此,在全球范围内就形成了有关WLAN的两个标准,即美国主导的802.11系列标准(俗称Wi-Fi)和中国主导的WAPI标准。
需要说明的是,Wi-Fi标准和WAPI标准除了安全技术部分不同,其他部分诸如编码调制、数据交换、访问控制、频段分配等都是一样的。当然,需要强调的是,它们在安全技术上的差异是原理性和结构性的,这种巨大的差异导致它们各自有着完全不同的网络安全理念和网络安全架构,进而让Wi-Fi和WAPI在网络形态上有了显著的不同。
从技术本质来看,WAPI属于无线局域网安全协议技术。网络的本质在于连接,网络协议是构建网络连接的基础核心技术,而网络安全协议则是网络协议的基本组成部分,它构建的是网络本质安全能力,它是网络安全的基石。
从标准中相关文本增长量来看,网络安全协议是网络协议技术演进的重点。早期的有线局域网国际标准中没有一页内容与安全有关,但是到了2016年,安全内容已经达到700多页;无线局域网国际标准文本在2000年时,安全内容只有11页,但到了2016年,已经达到166页之多;IP协议国际标准文本中,与安全有关的文本内容至今达到了200多页,占标准文本总量将近一半。这些数据也从侧面说明,网络安全越来越受到全球的重视。
WAPI的初衷在于解决“网络安全协议不安全”的问题计算机网络虽然已出现40余年,应用场景不断快速拓展,但网络技术远未成熟,特别是构成网络安全基础的安全协议技术,由于历史原因和不同标准组织从“国家利益”和商业利益出发,网络安全协议技术及标准一直有被个别国家技术力量“蓄意弱化”的问题,这些问题将会给网络安全造成重大影响。
事实上,美国政府曾经用长达数十年的时间开发并完善可被其控制的网络安全协议技术和标准体系,可见的资料显示,早在1986年,美国国家安全局(NSA)就已开始介入网络安全协议的开发。其中就包括与WAPI有竞争关系的802.1x、IEEE 802.11i等多项安全协议标准。正如2013年“斯诺登事件”所披露的“棱镜项目”那样,美方不惜在相关标准中蓄意制造网络安全协议漏洞,以达到大规模监控和攻击全球网络的目的。
“棱镜门”直接导致了全球网络信任基础的崩塌。在2015年的一次国际标准组织ISO/IEC标准讨论中,挪威专家明确指出“我们非常清晰的一致意见是SIMON和SPECK算法不应当被包含进ISO/IEC 29192-2(某项国际标准编号—作者注)中,这个结论基于如下事实:这些算法是NSA提出的,我们不信任NSA会善意地提出安全标准。”
WAPI技术的研发在2000年便已开始启动,那一时期,WLAN的应用部署尚属初期,但国际上已经开始关注到无线局域网国际标准中的安全机制存在重大缺陷问题,西电捷通也在中国率先开展了高可信无线局域网安全技术研究,最终研发并提出了WAPI技术及其解决方案。
WAPI学名叫作“无线局域网鉴别与保密基础结构”,这里所说的“鉴别”就是实体鉴别,它与网络连接的建立直接相关;“保密”属于安全通信范畴。也就是说,WAPI技术主要聚焦网络建立连接过程以及后续网络通信过程的安全。
事实上,实体鉴别和保密通信都是保障网络安全的“常规动作”,那么与Wi-Fi相比,WAPI技术的独到之处在哪里呢?需要指出的是,现在网上依然有很多人说WAPI只是改了一下加密算法就出来如何如何,这是对WAPI技术的严重曲解。
WAPI技术最大的创新点在于它采用了基于三元对等网络安全架构的实体鉴别技术(TePA-EA),它在网络架构上引入了在线可信第三方(TTP),不仅为解决网络安全中普遍存在的访问控制和安全接入问题提供了先进的技术支撑,而且它还确保了网络身份鉴别的无线场景实施(这一点在本文后面会有详细说明)。从TePA-EA这个安全技术基因出发,WAPI实现了用户、接入点、网络三者之间真正的双向身份鉴别,使其在防范非法接入、中间人攻击、防钓鱼、防假热点/伪基站等方面具有明显的对比优势,弥补了WLAN技术标准中的严重安全缺陷。这也是当年我国制定并发布WAPI国家标准的初衷。
什么是三元对等实体鉴别?先了解一下实体鉴别。实体鉴别就是确认网络用户或网络设备身份是否合法的过程。打个比方。两个陌生人会面,一般的流程是:打招呼——确认身份——握手交谈,大体如此。其实,这样的交互逻辑在网络世界中同样存在。
当你的终端设备(电脑、手机等)试图连接无线局域网时,终端与网络之间的第一个动作就是“打招呼”(普遍意义上的连网请求,通常由终端侧发起,有时也可能由网络侧发起),专业术语称之为“关联”,主要是探测网络是否有信号,以确认双方在物理上是否能够连得上。
接下来就是“确认身份”——终端与要接入的网络之间互相进行身份的识别与验证,以此保证合法终端接入合法网络,这一过程就是“实体鉴别”。直观来看,它是网络安全的第一道关口,这道关口通过之后,剩下的就可以进行正常网络通信了。
在现实生活中,陌生人之间确认彼此身份的方法可以有很多种,譬如可以用事先约定好的暗号,见面后对上了暗号就意味着找对了人。或者更直接一点,大家先亮出身份证,彼此检验一下,确认是公安机关发放的可信证件,这样也意味着找对了人,我们称之为“身份证法”。
比较而言,“身份证法”的安全级别更高,也更适合大规模使用,从技术应用的演进趋势来看,随着实体(硬件平台等)的资源受限问题逐步得到解决,“身份证法”的应用会更加广泛。这里所说的“身份证”在网络世界中即为数字证书。
光有身份证还不行,还要解决身份证怎么用的问题。依照上述场景,两个陌生人见面,掏出身份证互认,这在一定程度上解决了彼此间的互信问题,但是它依然存在安全隐患,毕竟身份证有可能造假,也有可能失效。
如果现场还有一个公安身份的人,并能够当场验证两个人的身份证是否真实有效,并把结果反馈给二人,那么这个“陌生——互信”的过程就比较靠谱了。这里就引入了一个“三元”认证的概念,即两个陌生人 公安人员,用网络语言来说,两个陌生人分别对应着用户和接入点,公安人员则对应着在线可信第三方(TTP)。WAPI就是采用了这种有“公安人员”参与确认“身份证”的实体鉴别技术。
WAPI在网络架构上引入了在线可信第三方——身份鉴别服务器,并赋予了用户(如手机)、接入点、身份鉴别服务器三个实体以各自独立的身份信息,这样一来,在鉴别服务器的帮助下,手机和接入点就可以更完备地完成双向对等身份鉴别,进而为网络安全接入提供了可靠的技术支撑。
需要强调的是,在两个陌生人相认过程中,没有任何一个人可以有免检或额外的特权,即他们之间都需要进行“对等”的鉴别。即不仅网络可以鉴别手机是否合法,手机也可以鉴别网络是否合法。网络安全界有一句名言:“不假定任何事情,不相信任何人,检验所有的东西”。WAPI所采用的三元对等实体鉴别技术理念即是如此。
WAPI“双节棍解决方案”实现了无线场景下的网络身份鉴别三元对等原理看似简单,但三元对等架构下的实体鉴别在无线应用场景中的实现却远比想象复杂。对于三元对等实体鉴别原理,我们直观的想象基本就是如下图所示的逻辑结构:
电脑A、接入点B以及身份鉴别服务器TTP三者之间处于直连状态,所以,它们各自之间可以方便地实现双向身份鉴别,这个模型被望图生意地称为“金字塔模型”。
但是,做工程研发的都知道一个铁律,技术的合理并不完全等于工程可用,“金字塔模型”也是如此。在实际应用中我们就会发现,“金字塔”结构应用于有线网络没有太大问题,但是对于无线网络则几乎不可用。
很显然,当我们的电脑通过有线方式联网,电脑A可以通过有线方式直接连到服务器和接入点B,因此,根据“金字塔模型”所设想的双向对等鉴别是可以实现的。但是如果发生在无线网络场景中,这种结构的工程实现就不适用了。
由于无线信号传输距离有限,手机可以通过无线方式就近连接接入点,但是却无法连接放置在远方机房中的服务器,它在现实场景中的逻辑结构就成了下面这样:
此时,在线可信第三方TTP参与鉴别,但A、B两者仅一方能够连接可信第三方。为了适应无线场景的接入鉴别应用,“双节棍模型”(同样是望图生意)解决方案被发明了出来,该解决方案也是WAPI整体技术解决方案体系的一部分。
基于“双节棍模型”的三元对等实体鉴别机制是如何实现的呢?以下图加以说明:
这种三元架构采取了五步鉴别的模式,具体过程是这样的:
第一步接入点向终端发消息“鉴证身份开始”;
第二步终端发消息回答接入点“这是我的身份信息,请鉴别,并请给我看你的身份信息以及第三方对你的鉴别身份鉴别结果”;
第三步接入点向鉴别服务器发消息“这是我和终端的身份信息,请鉴别并反馈结果”;
第四步鉴别服务器给接入点发消息“这是对你和终端的身份鉴别结果”,此时接入点可判断终端身份是否合法;
第五步接入点将对鉴别服务器对接入点的鉴别结果发给终端,终端收到后根据之前收到的接入点的身份信息以及鉴别服务器的鉴别结果判断接入点的身份是否合法。
这五步信息的传递运用了公钥密码学原理,还包括集成数字证书技术,以提升终端和接入点双方身份的真实性。这样就在终端无法连接服务器的情况下,完备地实现与接入点之间可靠的鉴别过程。
另外,WAPI的特点不仅在于在网络结构上做出了创新,引入了三元对等架构,而且它的协议具备原子性(不可进一步拆分成子协议),从而进一步提高了安全性。而对于Wi-Fi技术,它与WAPI最显著的区别就是接入点设备没有“身份证”,而从它的网络结构来看,它既不具有原子性,也无法实现为接入点附加身份证信息。所以,Wi-Fi在安全结构上则存在原理性和结构性的缺陷,这也可以解释为什么它的安全机制这些年一直在不断升级,从WEP到WPA,又到WPA2、WPA3,但问题在于,最新的WPA2和WPA3依然相继被爆出包括CRACK等安全问题。
至此,我们完成了有关WAPI技术原理、特点和应用解决方案的介绍。WAPI诞生于2000年,某种意义上,WAPI及其所依托的技术架构——三元对等网络安全架构,是一种超前于时代的网络安全基础技术。在那个时候,需要三元结构并实施双向对等身份鉴别的应用场景还不多见,物联网等对等网络还处于概念阶段。所以,它在技术上的价值在当时并没有被业界充分认识到。直到后来伪基站、中间人攻击等网络安全问题大面积爆发,并成为严重的社会问题,这项发明的技术前瞻性才逐渐显现出来。可以说,三元对等是有生命力的,所以在2010年和2019年,三元对等网络安全架构分别有所属的两项和三项技术被ISO/IEC国际标准所采纳并发布,前者也是中国输出的第一个网络安全国际标准。
