技術(shù)前沿：WLAN(無(wú)線(xiàn)局域網(wǎng))發(fā)展與應用

　　3 Wi-Fi-802.11i的安全協(xié)議缺陷

　　IEEE802.11i是IEEE為了彌補802.11脆弱的安全加密功能(WEP，Wired Equivalent Privacy)而制定的修正案，于2004年7月完成，其中定義了基于A(yíng)ES的全新加密協(xié)議CCMP(CTR with CBC-MAC Protocol)。

　　無(wú)線(xiàn)網(wǎng)絡(luò )中的安全問(wèn)題從暴露到最終解決經(jīng)歷了相當長(cháng)的時(shí)間，而各大通信芯片商顯然無(wú)法接受在這期間什么都不出售，所以Wi-Fi廠(chǎng)商以802.11i的草案3為藍圖設計了一系列通信設備，稱(chēng)為支持WPA(Wi-Fi Protected Access)的設備。這個(gè)協(xié)議包含向前兼容RC4的加密協(xié)議TKIP(Temporal Key Integrity Protocol)，它沿用了WEP所使用的硬件并修正了一些缺失，但在安全方面仍然存在缺陷。之后將支持802.11i最終版協(xié)議的通信設備稱(chēng)為支持WPA2(Wi-Fi Protected Access 2)的設備。如眾所知，隨著(zhù)傳統意義上的WLAN演進(jìn)為公眾通信P-WLAN/O-WLAN，WLAN已成為中國幾大公眾業(yè)務(wù)基礎運營(yíng)商共同關(guān)注的焦點(diǎn)。公眾運營(yíng)商級的WLAN用戶(hù)主要為企業(yè)客戶(hù)、經(jīng)常出差的商務(wù)人員及家庭用戶(hù)等，多半屬高端用戶(hù)，對服務(wù)質(zhì)量及安全性非常關(guān)注。而IEEE 802.11x標準中原先提出的安全方案已被廣泛證實(shí)存在安全漏洞。

　　例如，基于有線(xiàn)環(huán)境設計的端口訪(fǎng)問(wèn)控制協(xié)議802.1x，安全協(xié)議WEP及RC4流密碼，DHCP+WEB認證中的用戶(hù)名和密碼系按明文HTTP1.0或弱加密HTTP1.1的MD5算法。MAC地址過(guò)濾及非法接入及目前使用較多的PPPoE認證方式也是用明文或弱加密方式傳送口令，不適合于開(kāi)放無(wú)線(xiàn)環(huán)境。且PPP報文及PPPoE封裝效率較低，無(wú)后續數據加密，均對電信運營(yíng)商級高可靠性要求帶來(lái)較大隱患。

　　針對這些情況，我國依據“商用密碼管理條例”制定的WLAN安全標準WAPI(無(wú)線(xiàn)網(wǎng)絡(luò )鑒別保密基礎結構)，采用基于公共密鑰密碼體系的證書(shū)機制，動(dòng)態(tài)密鑰綜合安全度高。而采用我國SMS4密碼算法及ECDSA，ECDH密碼算法的橢園曲線(xiàn)及參數，是我國商用密碼在無(wú)線(xiàn)局域網(wǎng)及寬帶無(wú)線(xiàn)網(wǎng)絡(luò )安全領(lǐng)域的典型應用，創(chuàng )新地提出了R-A-S三元安全架構，賦予接入點(diǎn)以獨立認證身份，解決了無(wú)線(xiàn)網(wǎng)絡(luò )中“偽造網(wǎng)絡(luò )，中間人攻擊”等問(wèn)題，保障了合法用戶(hù)接入合法網(wǎng)絡(luò )，相比Wi-Fi有明顯安全技術(shù)優(yōu)勢。用戶(hù)只需安裝一張證書(shū)即可方便地在WLAN覆蓋的不同地區實(shí)現漫游，可支持包括Windows98/2000/XP及Linux等多種操作系統，可滿(mǎn)足運營(yíng)商、企業(yè)及家庭等多種應用模式，能提供與現有計費技術(shù)兼容的服務(wù)。完善的安全認證也是實(shí)施身份識別、分類(lèi)計費、路由策略和流量控制等優(yōu)良運營(yíng)用戶(hù)管理的基礎。這一安全標準符合我國國家標準與法規要求，同時(shí)該WAPI協(xié)議已由ISO/IEC授權的IEEE注冊權威機構IEEE RA(Registration Authority)審查認可，并分配了用于該協(xié)議機制的以太型字段0x88b4等8大方面。這是我國在WLAN安全領(lǐng)域取得的自主創(chuàng )新成果，有重要國際影響與戰略意義。這些成果有可能打破外國企業(yè)在這一市場(chǎng)的絕對壟斷格局，從而引起了相應外國政府和企業(yè)、組織的強烈關(guān)注與嚴重不安。他們采用政府高層施壓、Wi-Fi聯(lián)盟反對、芯片禁運等各種手段抵制與阻撓實(shí)施，使WAPI標準受阻。

　　2004年4月29日，國家認監委和國家標準委聯(lián)合發(fā)布2004年第44號公告，聲明WAPI國家標準的強制性認證實(shí)施時(shí)間后延。此前，吳儀副總理已在2004年4月22日中美商務(wù)會(huì )議上與美方會(huì )談后表示，中國同意在6月1日最后期限到來(lái)之時(shí)，不強制實(shí)施我國自主創(chuàng )新制定的WAPI技術(shù)標準，并與WLAN國際標準機構密切合作。究其原因，最主要的因素是一些國家在標榜與要求別國“技術(shù)中立”的同時(shí)，卻充分利用自身技術(shù)壟斷與貿易實(shí)力方面的優(yōu)勢，以貿易摩擦為由推行“技術(shù)標準政治化”，以維護其技術(shù)產(chǎn)品的市場(chǎng)壟斷地位，其中芯片量產(chǎn)上的Wi-Fi，WiMAX等市場(chǎng)利益的策略考慮是其重要方面。

　　在自主創(chuàng )新其他新標準之際，我國WAPI標準受阻失利的經(jīng)驗教訓確實(shí)值得反思。但應該指出，國內參與WAPI標準化工作的單位，在重壓情況下仍再接再厲，團結合作，進(jìn)一步將WAPI標準完善和務(wù)實(shí)推進(jìn)，并推向新的共贏(yíng)合作高度值得贊揚。國外一些有識之士已經(jīng)指出，中國能夠在標準大戰中憑借其龐大的市場(chǎng)和迅猛增長(cháng)來(lái)獲勝，全球科技和電信公司需要對中國標準方案進(jìn)行評估，并在適當時(shí)候與中國企業(yè)聯(lián)手共同打造技術(shù)標準。制訂標準的目的是要促使市場(chǎng)健康有效地發(fā)展，一個(gè)國家或一個(gè)組織的標準不可能無(wú)條件壟斷全球，也談不上可以在全球壟斷創(chuàng )新，尤其當自身標準不完善之際，博采眾長(cháng)與集思廣益才屬上策。霸權式標準化準則絕對不合情理，所謂全球化標準想要占領(lǐng)甚至獨占中國這塊全球最有吸引力的市場(chǎng)，不樹(shù)立切實(shí)的共贏(yíng)合作思想是不會(huì )如愿以?xún)數?，可能?huì )吃大虧。期望長(cháng)久依靠“貿易磨擦與技術(shù)政治化方式”維持技術(shù)產(chǎn)品壟斷及單方面不平等受益，是肯定行不通的。

　　我國政府不遺余力地支持WAPI。2005年，財政部、發(fā)改委及當時(shí)的信息產(chǎn)業(yè)部聯(lián)合下發(fā)了“關(guān)于印發(fā)無(wú)線(xiàn)局域網(wǎng)產(chǎn)品政府采購實(shí)施意見(jiàn)的通知”，表示在政府采購中將優(yōu)先考慮符合國家標準的產(chǎn)品。國家密碼管理構也表示將開(kāi)放WAPI密碼算法，這大大降低了國內外企業(yè)進(jìn)入WAPI市場(chǎng)的門(mén)檻，推進(jìn)WAPI產(chǎn)業(yè)聯(lián)盟的工作。加緊芯片制造，借助政府采購快速推進(jìn)相關(guān)需求、用戶(hù)應用與進(jìn)一步全面增強性能與改進(jìn)信價(jià)比等，這些均是明智之舉。

　　WAPI雖受諸多不確定因素影響，但堅持開(kāi)放與務(wù)實(shí)發(fā)展的基本方針是完全正確的。在西電捷通、六合萬(wàn)通及華大電子等企業(yè)合作基礎上，應積極快速地擴大國內外合作范圍，特別是與有實(shí)力有名望的國際廠(chǎng)商緊密合作，在政府相關(guān)部門(mén)的積極協(xié)調支持下，盡快形成有實(shí)力的產(chǎn)業(yè)規模，及時(shí)適應市場(chǎng)的實(shí)際需求。在這方面已經(jīng)出現了一些可喜的進(jìn)展，例如西電捷通提供的基于WAPI標準的AirSec專(zhuān)業(yè)級無(wú)線(xiàn)局域網(wǎng)產(chǎn)品作為首批政府采購清單的推薦產(chǎn)品，已在國家金審工程、中國飛行試驗研究院、中國人民解放軍信息安全測評認證中心、中國科學(xué)院等諸多高要求行業(yè)的重點(diǎn)客戶(hù)實(shí)現了兩年以上性能穩定可靠的運行，滿(mǎn)足了政府、金融、軍事等行業(yè)對安全性方面的高標準實(shí)際需求。同時(shí)，西電捷通還以40余項發(fā)明專(zhuān)利為基礎，在國內外首次推出了一種IP自適應網(wǎng)絡(luò )系統產(chǎn)品AIPNTM，可使用局域網(wǎng)固定私有IP地址，隨時(shí)隨地接入局域網(wǎng)，可柔性延伸支持其連續業(yè)務(wù)運作，已在電力、政府機關(guān)、科研院所中實(shí)現了規模商用，并穩定安全地保障了用戶(hù)關(guān)鍵業(yè)務(wù)的開(kāi)展。2006年3月，WAPI產(chǎn)業(yè)聯(lián)盟成立。截至2009年8月，WAPI聯(lián)盟已有63家正式成員。

　　Wi-Fi安全性架構從1999WEP→2002WAP→2004 802.11i/WPA2逐的步改進(jìn)，引進(jìn)了128位高級加密標準AES，并通過(guò)預共享密鑰PSK(個(gè)人模式下)和IEEE 802.1x/EP(企業(yè)模式下)提供雙向鑒權，但漏洞事件在全球依然屢有發(fā)生。WAPI的使用至今未發(fā)現有安全技術(shù)漏洞，2008年北京奧運會(huì )中實(shí)現了成功服務(wù)，取得了“零故障、零投訴”的好成績(jì)。WAPI產(chǎn)品目前已涉及辦公設備(打印機、投影儀等)，手持設備(手機，PDA及相機等)，家電設備(DVD，電視機，冰箱，家庭網(wǎng)關(guān)等)以及國防軍用等諸多方面上千種產(chǎn)品。Wi-Fi無(wú)線(xiàn)上網(wǎng)漏洞除可免費“蹭網(wǎng)”(所即一種盜竊他人帶寬的網(wǎng)上行為，它利用自身計算設備連接相鄰路由器設備，不經(jīng)相應ISP正規線(xiàn)路上網(wǎng)，減免個(gè)人上網(wǎng)費用，甚至竊取他人私人信息、數據)外，還可輕松盜取郵箱用戶(hù)名、密碼和截獲MSN聊天等信息，其安全攻擊操作方法簡(jiǎn)單。在互聯(lián)網(wǎng)強勢傳播環(huán)境下，這種Wi-Fi漏洞被廣泛利用的情況難以避免，應予切實(shí)重視。而WAPI從技術(shù)上講，其鑒別機制完善，實(shí)現了終端和網(wǎng)絡(luò )的雙向對等鑒別，使用數字證書(shū)(x.509)作為身份標識，采用集中密鑰進(jìn)行管理。此外，其構建與應用方便，擴展性好，除安全性比Wi-Fi好外，對運營(yíng)商可提供更強大與方便的運營(yíng)與管理能力。從用戶(hù)體驗而言，其“零干預、零配置”具優(yōu)良的易用性，隨著(zhù)WLAN在手機，PDA及消費電子等領(lǐng)域應用的擴展，WAPI的優(yōu)越性將會(huì )更進(jìn)一步體現。

　　2009年6月，工業(yè)和信息化部發(fā)布的新政策，即凡加裝WAPI功能的手機可入網(wǎng)檢測并獲進(jìn)網(wǎng)許可，是對推動(dòng)WAPI產(chǎn)業(yè)發(fā)展與應用的巨大支持。有“高安全、可運營(yíng)、可管理”優(yōu)勢的WAPI已為3大運營(yíng)商廣泛接受并推向市場(chǎng)商用化，成為我國當前建設低成本寬帶無(wú)線(xiàn)網(wǎng)絡(luò )的戰略重點(diǎn)之一，并列入了2009年新發(fā)布的“電子技術(shù)產(chǎn)品調整和振興規劃”中，成為促進(jìn)產(chǎn)業(yè)結構調整及拉動(dòng)內需的自主創(chuàng )新標準之一。目前，許多TD，WCDMA及cdma2000新型手機或多模智能手機中均已內置WAPI功能(如華為8230 Andriod平臺手機，聯(lián)想O1 3G Ophone手機等)。

　　2009年6月，在日本召開(kāi)的IEC/ISO JCT1/SC6會(huì )議上，WAPI獲得了包括美、英、法等10余個(gè)與會(huì )國家成員體的一致同意，將以單獨文本形式推進(jìn)其為國際標準。如標準獲得通過(guò)，WAPI將成為無(wú)線(xiàn)計算機網(wǎng)絡(luò )通信和無(wú)線(xiàn)局域網(wǎng)技術(shù)領(lǐng)域中除IEEE標準組織外惟一的ISO/IEC國家成員體直接提交的國際標準提案。WAPI框架方法(TePA，三元對等鑒別)作為迄今為止我國在IEC/ISO信息安全技術(shù)領(lǐng)域第一個(gè)獨立項目編輯的國際提案，其技術(shù)內容已得到各國代表廣泛認可，已在ISO/IEC JTC1/SC27內進(jìn)入最終委員會(huì )投票階段，預計2010年初有望成為國際標準。