WAPI是什么意思(wapi到底是什么?)
作為華為被Wi-Fi聯盟暫時吊銷會員資格的附帶影響,多年來一直違規的WAPI(無線局域網標準)再次回到公眾視野。許多人回顧過去,哀嘆WAPI過去遭受的不公正。面對華為如今的困境,關于WAPI的一切似乎瞬間被理解,這對WAPI和的技術創新都是一件好事。
【資料圖】
當然,我們在這里不想回顧WAPI的歷史,只想分析一下WAPI的技術精髓,以及與Wi-Fi相比的獨特之處。
目前,全球無線局域網已經形成了相對統一的技術架構,但其標準的安全技術部分有兩條路線:一條是主導的IEEE 802.11i技術體系(來自IEEE標準組織),另一條是主導的WAPI技術體系。由此,全球形成了兩個WLAN標準,即主導的802.11系列標準(俗稱Wi-Fi)和主導的WAPI標準。
需要注意的是,Wi-Fi標準和WAPI標準在編碼調制、數據交換、接入控制、頻段分配等其他部分是相同的。當然,需要強調的是,他們在安全技術上的差異是原則性和結構性的,這種巨大的差異導致了他們完全不同的網絡安全理念和網絡安全架構,這反過來又使得Wi-Fi和WAPI在網絡形式上有著顯著的不同。
從技術本質上講,WAPI屬于無線局域網安全協議技術。網絡的本質在于連接,網絡協議是構建網絡連接的基本核心技術,而網絡安全協議是網絡協議的基本組成部分,構建了網絡的內在安全能力,是網絡安全的基石。
從標準中相關文本的增長來看,網絡安全協議是網絡協議技術演進的重點。在有線局域網早期的國際標準中,沒有與安全相關的頁面,但到了2016年,安全內容已經達到700多頁。2000年,無線局域網的國際標準文本只有11頁的安全內容,但到了2016年,已經達到了166頁之多。在IP協議的國際標準文本中,與安全相關的文本內容迄今已達到200多頁,占標準文本總量的近一半。這些數據也表明網絡安全越來越受到全世界的關注。
雖然計算機已經出現了40多年,其應用場景也在迅速擴展,但網絡技術還遠未成熟,尤其是構成網絡安全基礎的安全協議技術。由于歷史原因和不同的標準組織,網絡安全協議技術和標準總是被個別的技術力量“故意削弱”,這將對網絡安全產生重大影響。
事實上,政府已經花了幾十年的時間來發展和完善可由其控制的網絡安全協議技術和標準體系。可見數據顯示,早在1986年,局(NSA)就開始介入網絡安全協議的制定。包括802.1x、IEEE 802.11i等與WAPI競爭的安全協議標準。就像2013年斯諾登事件中披露的“棱鏡計劃”一樣,美方故意在相關標準中制造網絡安全協議漏洞,以達到大規模監控和攻擊全球網絡的目的。
“棱鏡之門”直接導致了全球網絡信任基礎的崩潰。在2015年的一次國際標準組織ISO/IEC標準討論中,挪威專家明確指出,“我們非常明確的共識是,SIMON和SPECK算法不應包含在ISO/IEC 29192-2(一個國際標準編號-作者注釋)中。這個結論是基于這樣一個事實,即這些算法是NSA提出的,我們不相信NSA會善意地提出安全標準。”
WAPI技術的研發始于2000年。當時,無線局域網的應用和部署還處于起步階段,但國際社會開始關注無線局域網國際標準中安全機制的重大缺陷。西電捷通還在國內率先開展了高可靠性WLAN安全技術的研究,最終研發并提出了WAPI技術及其解決方案。
WAPI被稱為“無線局域網的認證和安全基礎設施”,這里的“認證”是實體認證,直接關系到網絡連接的建立。“機密性”屬于安全通信的范疇。也就是說,WAPI科技主要關注的是深圳人壽與后續網絡通信過程中的網絡連接過程的安全性。
實際上,實體認證和保密通信都是保證網絡安全的“常規動作”。與Wi-Fi相比,WAPI技術有什么獨特之處?需要指出的是,網上還是有很多人說WAPI只改加密算法,這是對WAPI技術的嚴重曲解。
WAPI科技最大的創新是采用了基于三元對等網絡安全架構的實體認證技術(TePA-EA),將在線可信第三方(TTP)引入網絡架構,不僅為解決網絡安全中常見的訪問控制和安全訪問問題提供了先進的技術支持,還保證了網絡身份認證的無線場景實現(本文后面會詳細講解)。從安全技術基因TePA-EA出發,WAPI實現了用戶、接入點、網絡之間真正的雙向身份認證,使其在防范非法接入、中間人攻擊、反釣魚、防偽熱點/偽基站等方面具有明顯的比較優勢。,彌補了WLAN技術標準中存在的嚴重安全缺陷。這也是我國制定和發布WAPI標準的初衷。
我們先來看實體認證。實體認證是確認網絡用戶或網絡設備的身份是否合法的過程。比如說。兩個陌生人見面,一般流程是:打招呼-確認身份-握手交談。其實這樣的互動邏輯在網絡世界中也是存在的。
當你的終端設備(電腦、手機等。)嘗試連接WLAN,終端與網絡之間的第一個動作是“問候”(一般意義上的組網請求通常由終端側發起,有時也可能由網絡側發起),技術上稱為“關聯”,主要是檢測網絡是否有信號確認雙方是否可以物理連接。
接下來是“身份確認”——終端和被接入網絡相互識別和驗證,從而保證合法終端接入合法網絡。這個過程就是“實體認證”。直觀來說,它是網絡安全的第一道關口。該網關通過后,其余部分可以進行正常的網絡通信。
現實生活中,陌生人確認對方身份的方式有很多。例如,他們可以使用預先約定的密碼。當他們相遇時,遇到暗號意味著找到合適的人。或者更直接一點,我們先出示,互相核對,確認是公安機關出具的可信證明。這也意味著找到合適的人,我們稱之為“法”。
相比之下,“法”的安全等級更高,更適合大規模使用。從技術應用的演進趨勢來看,作為資源約束的實體(硬件平臺等。)都在逐步解決,“法”將得到更廣泛的應用。這里所說的“”是網絡世界的數字證書。
有還不夠,還要解決怎么用的問題。按照上面的場景,兩個陌生人見面,拿出互相認識,一定程度上解決了相互信任的問題,但還是存在安全隱患。畢竟可能是假的,也可能是無效的。
如果現場有公安人員,能夠當場驗證其的真偽和有效性,并將結果反饋給他們,那么“陌生感-互信”的過程就更可靠了。本文引入了“三元”認證的概念,即兩個陌生人+公安人員。在網絡語言中,兩個陌生人分別對應用戶和接入點,而公安人員對應在線可信第三方(TTP)。WAPI采用這種實體識別技術,由“公安人員”參與確認“”。
WAPI在網絡架構中引入了在線可信第三方——身份認證服務器,賦予用戶(如手機)、接入點和身份認證服務器獨立的身份信息。這樣,在認證服務器的幫助下,手機和接入點可以更完整地完成雙向對等認證,從而為網絡安全接入提供可靠的技術支持。
需要強調的是,在識別兩個陌生人的過程中,任何人都不能免檢或擁有額外的特權,即都需要“一視同仁”地進行識別。即不僅網絡可以識別手機是否合法,手機也可以識別網絡是否合法。網絡安全圈有句名言:“不要假設任何事,不要相信任何人,檢查一切”。這是WAPI采用的三元對等認證技術的概念。
三元對等的原理看似簡單,但在無線應用場景中實現三元對等架構下的實體認證卻遠比想象中復雜。對于三元對等認證的原理,我們直觀的想象基本上是下圖所示的邏輯結構:
計算機A、接入點B和身份認證服務器TTP處于直連狀態,可以輕松實現相互身份認證。這種模式被王圖稱為“金字塔模式”。
但是,每個從事工程研發的人都知道一個鐵律,技術的合理性并不完全等于工程的可用性,“金字塔模型”也是如此。在實際應用中,我們會發現“金字塔”結構在應用于有線網絡時問題不大,但在無線網絡中幾乎不可用。
顯然,當我們的計算機通過有線連接到互聯網時,計算機A可以通過有線直接連接到服務器和接入點B。因此,根據金字塔模型,可以實現雙向對等認證。然而,如果發生在無線網絡場景中,這種結構的工程實現是不適用的。
由于無線信號傳輸距離有限,手機可以通過無線方式連接到附近的接入點,但無法連接到放置在遠程機房的服務器。它在真實場景中的邏輯結構如下:
此時,在線可信第三方TTP參與認證,但A和B中只有一方可以與可信第三方連接。為了適應接入認證在無線場景中的應用,發明了“雙節棍模式”(也是看圖業務)解決方案,這也是WAPI整體技術解決方案體系的一部分。
基于“雙節棍模式”的三元對等認證機制是如何實現的?下圖說明了這一點:
該三元架構采用五步認證模式,具體流程如下:
(1)接入點向終端發送“身份認證開始”消息;
第二步:終端發消息回答接入點“這是我的身份信息,請認證,請出示您的身份信息和第三方的認證結果”;
第三步,接入點向認證服務器發送消息,“這是我和終端的身份信息,請認證并反饋結果”;
第四步,認證服務器向接入點發送消息“這是對你和終端的認證結果”,此時接入點可以判斷終端身份是否合法;
第五,接入點將認證服務器的認證結果發送給終端,終端根據之前接收到的接入點的身份信息和認證服務器的認證結果,判斷接入點的身份是否合法。
五步信息傳輸使用公鑰密碼原理,還包括集成數字證書技術,以增強終端和接入點身份的真實性。這樣,在終端無法連接到服務器的情況下,完全實現了終端與接入點之間的可靠認證過程。
此外,WAPI的特點不僅在于創新網絡結構,引入三元對等架構,還在于其協議的原子性(不能進一步拆分為子協議),從而進一步提高了安全性。至于Wi-Fi技術,Wi-Fi技術與WAPI最明顯的區別是接入點設備沒有“”,但從其網絡結構來看,既不是原子的,也不能將信息附加到接入點上。因此,Wi-Fi的安全結構在原理和結構上都存在一些缺陷,這可以解釋為什么近年來其安全機制不斷升級,從WEP到WPA,再到WPA2和WPA3。但問題是,最新的WPA2和WPA3還是接連被曝光,包括CRACK等安全問題。
到目前為止,我們已經完成了WAPI技術原理、特點和應用解決方案的介紹。WAPI出生于2000年。從某種意義上說,WAPI及其技術架構——三元對等網絡安全架構,是一項領先于時代的基礎網絡安全技術。當時需要三元結構并實現雙向對等認證的應用場景很少,物聯網等對等網絡還處于概念階段。因此,其技術價值在當時并沒有得到業界的充分認可。后來,直到偽基站、中間人攻擊等網絡安全問題大面積爆發,成為嚴重的社會問題,這一發明的技術預見才逐漸顯現。可以說三元對等是有生命力的,所以在2010年和2019年,三元對等網絡安全架構的兩項和三項技術分別被ISO/IEC國際標準采用和發布,前者也是我國出口的第一個國際網絡安全標準。
關鍵詞:
責任編輯:Rex_18
