WAPI是什么意思(wapi到底是什么?)
作为华为被Wi-Fi联盟暂时吊销会员资格的附带影响,多年来一直违规的WAPI(无线局域网标准)再次回到公众视野。许多人回顾过去,哀叹WAPI过去遭受的不公正。面对华为如今的困境,关于WAPI的一切似乎瞬间被理解,这对WAPI和的技术创新都是一件好事。
【资料图】
当然,我们在这里不想回顾WAPI的历史,只想分析一下WAPI的技术精髓,以及与Wi-Fi相比的独特之处。
目前,全球无线局域网已经形成了相对统一的技术架构,但其标准的安全技术部分有两条路线:一条是主导的IEEE 802.11i技术体系(来自IEEE标准组织),另一条是主导的WAPI技术体系。由此,全球形成了两个WLAN标准,即主导的802.11系列标准(俗称Wi-Fi)和主导的WAPI标准。
需要注意的是,Wi-Fi标准和WAPI标准在编码调制、数据交换、接入控制、频段分配等其他部分是相同的。当然,需要强调的是,他们在安全技术上的差异是原则性和结构性的,这种巨大的差异导致了他们完全不同的网络安全理念和网络安全架构,这反过来又使得Wi-Fi和WAPI在网络形式上有着显著的不同。
从技术本质上讲,WAPI属于无线局域网安全协议技术。网络的本质在于连接,网络协议是构建网络连接的基本核心技术,而网络安全协议是网络协议的基本组成部分,构建了网络的内在安全能力,是网络安全的基石。
从标准中相关文本的增长来看,网络安全协议是网络协议技术演进的重点。在有线局域网早期的国际标准中,没有与安全相关的页面,但到了2016年,安全内容已经达到700多页。2000年,无线局域网的国际标准文本只有11页的安全内容,但到了2016年,已经达到了166页之多。在IP协议的国际标准文本中,与安全相关的文本内容迄今已达到200多页,占标准文本总量的近一半。这些数据也表明网络安全越来越受到全世界的关注。
虽然计算机已经出现了40多年,其应用场景也在迅速扩展,但网络技术还远未成熟,尤其是构成网络安全基础的安全协议技术。由于历史原因和不同的标准组织,网络安全协议技术和标准总是被个别的技术力量“故意削弱”,这将对网络安全产生重大影响。
事实上,政府已经花了几十年的时间来发展和完善可由其控制的网络安全协议技术和标准体系。可见数据显示,早在1986年,局(NSA)就开始介入网络安全协议的制定。包括802.1x、IEEE 802.11i等与WAPI竞争的安全协议标准。就像2013年斯诺登事件中披露的“棱镜计划”一样,美方故意在相关标准中制造网络安全协议漏洞,以达到大规模监控和攻击全球网络的目的。
“棱镜之门”直接导致了全球网络信任基础的崩溃。在2015年的一次国际标准组织ISO/IEC标准讨论中,挪威专家明确指出,“我们非常明确的共识是,SIMON和SPECK算法不应包含在ISO/IEC 29192-2(一个国际标准编号-作者注释)中。这个结论是基于这样一个事实,即这些算法是NSA提出的,我们不相信NSA会善意地提出安全标准。”
WAPI技术的研发始于2000年。当时,无线局域网的应用和部署还处于起步阶段,但国际社会开始关注无线局域网国际标准中安全机制的重大缺陷。西电捷通还在国内率先开展了高可靠性WLAN安全技术的研究,最终研发并提出了WAPI技术及其解决方案。
WAPI被称为“无线局域网的认证和安全基础设施”,这里的“认证”是实体认证,直接关系到网络连接的建立。“机密性”属于安全通信的范畴。也就是说,WAPI科技主要关注的是深圳人寿与后续网络通信过程中的网络连接过程的安全性。
实际上,实体认证和保密通信都是保证网络安全的“常规动作”。与Wi-Fi相比,WAPI技术有什么独特之处?需要指出的是,网上还是有很多人说WAPI只改加密算法,这是对WAPI技术的严重曲解。
WAPI科技最大的创新是采用了基于三元对等网络安全架构的实体认证技术(TePA-EA),将在线可信第三方(TTP)引入网络架构,不仅为解决网络安全中常见的访问控制和安全访问问题提供了先进的技术支持,还保证了网络身份认证的无线场景实现(本文后面会详细讲解)。从安全技术基因TePA-EA出发,WAPI实现了用户、接入点、网络之间真正的双向身份认证,使其在防范非法接入、中间人攻击、反钓鱼、防伪热点/伪基站等方面具有明显的比较优势。,弥补了WLAN技术标准中存在的严重安全缺陷。这也是我国制定和发布WAPI标准的初衷。
我们先来看实体认证。实体认证是确认网络用户或网络设备的身份是否合法的过程。比如说。两个陌生人见面,一般流程是:打招呼-确认身份-握手交谈。其实这样的互动逻辑在网络世界中也是存在的。
当你的终端设备(电脑、手机等。)尝试连接WLAN,终端与网络之间的第一个动作是“问候”(一般意义上的组网请求通常由终端侧发起,有时也可能由网络侧发起),技术上称为“关联”,主要是检测网络是否有信号确认双方是否可以物理连接。
接下来是“身份确认”——终端和被接入网络相互识别和验证,从而保证合法终端接入合法网络。这个过程就是“实体认证”。直观来说,它是网络安全的第一道关口。该网关通过后,其余部分可以进行正常的网络通信。
现实生活中,陌生人确认对方身份的方式有很多。例如,他们可以使用预先约定的密码。当他们相遇时,遇到暗号意味着找到合适的人。或者更直接一点,我们先出示,互相核对,确认是公安机关出具的可信证明。这也意味着找到合适的人,我们称之为“法”。
相比之下,“法”的安全等级更高,更适合大规模使用。从技术应用的演进趋势来看,作为资源约束的实体(硬件平台等。)都在逐步解决,“法”将得到更广泛的应用。这里所说的“”是网络世界的数字证书。
有还不够,还要解决怎么用的问题。按照上面的场景,两个陌生人见面,拿出互相认识,一定程度上解决了相互信任的问题,但还是存在安全隐患。毕竟可能是假的,也可能是无效的。
如果现场有公安人员,能够当场验证其的真伪和有效性,并将结果反馈给他们,那么“陌生感-互信”的过程就更可靠了。本文引入了“三元”认证的概念,即两个陌生人+公安人员。在网络语言中,两个陌生人分别对应用户和接入点,而公安人员对应在线可信第三方(TTP)。WAPI采用这种实体识别技术,由“公安人员”参与确认“”。
WAPI在网络架构中引入了在线可信第三方——身份认证服务器,赋予用户(如手机)、接入点和身份认证服务器独立的身份信息。这样,在认证服务器的帮助下,手机和接入点可以更完整地完成双向对等认证,从而为网络安全接入提供可靠的技术支持。
需要强调的是,在识别两个陌生人的过程中,任何人都不能免检或拥有额外的特权,即都需要“一视同仁”地进行识别。即不仅网络可以识别手机是否合法,手机也可以识别网络是否合法。网络安全圈有句名言:“不要假设任何事,不要相信任何人,检查一切”。这是WAPI采用的三元对等认证技术的概念。
三元对等的原理看似简单,但在无线应用场景中实现三元对等架构下的实体认证却远比想象中复杂。对于三元对等认证的原理,我们直观的想象基本上是下图所示的逻辑结构:
计算机A、接入点B和身份认证服务器TTP处于直连状态,可以轻松实现相互身份认证。这种模式被王图称为“金字塔模式”。
但是,每个从事工程研发的人都知道一个铁律,技术的合理性并不完全等于工程的可用性,“金字塔模型”也是如此。在实际应用中,我们会发现“金字塔”结构在应用于有线网络时问题不大,但在无线网络中几乎不可用。
显然,当我们的计算机通过有线连接到互联网时,计算机A可以通过有线直接连接到服务器和接入点B。因此,根据金字塔模型,可以实现双向对等认证。然而,如果发生在无线网络场景中,这种结构的工程实现是不适用的。
由于无线信号传输距离有限,手机可以通过无线方式连接到附近的接入点,但无法连接到放置在远程机房的服务器。它在真实场景中的逻辑结构如下:
此时,在线可信第三方TTP参与认证,但A和B中只有一方可以与可信第三方连接。为了适应接入认证在无线场景中的应用,发明了“双节棍模式”(也是看图业务)解决方案,这也是WAPI整体技术解决方案体系的一部分。
基于“双节棍模式”的三元对等认证机制是如何实现的?下图说明了这一点:
该三元架构采用五步认证模式,具体流程如下:
(1)接入点向终端发送“身份认证开始”消息;
第二步:终端发消息回答接入点“这是我的身份信息,请认证,请出示您的身份信息和第三方的认证结果”;
第三步,接入点向认证服务器发送消息,“这是我和终端的身份信息,请认证并反馈结果”;
第四步,认证服务器向接入点发送消息“这是对你和终端的认证结果”,此时接入点可以判断终端身份是否合法;
第五,接入点将认证服务器的认证结果发送给终端,终端根据之前接收到的接入点的身份信息和认证服务器的认证结果,判断接入点的身份是否合法。
五步信息传输使用公钥密码原理,还包括集成数字证书技术,以增强终端和接入点身份的真实性。这样,在终端无法连接到服务器的情况下,完全实现了终端与接入点之间的可靠认证过程。
此外,WAPI的特点不仅在于创新网络结构,引入三元对等架构,还在于其协议的原子性(不能进一步拆分为子协议),从而进一步提高了安全性。至于Wi-Fi技术,Wi-Fi技术与WAPI最明显的区别是接入点设备没有“”,但从其网络结构来看,既不是原子的,也不能将信息附加到接入点上。因此,Wi-Fi的安全结构在原理和结构上都存在一些缺陷,这可以解释为什么近年来其安全机制不断升级,从WEP到WPA,再到WPA2和WPA3。但问题是,最新的WPA2和WPA3还是接连被曝光,包括CRACK等安全问题。
到目前为止,我们已经完成了WAPI技术原理、特点和应用解决方案的介绍。WAPI出生于2000年。从某种意义上说,WAPI及其技术架构——三元对等网络安全架构,是一项领先于时代的基础网络安全技术。当时需要三元结构并实现双向对等认证的应用场景很少,物联网等对等网络还处于概念阶段。因此,其技术价值在当时并没有得到业界的充分认可。后来,直到伪基站、中间人攻击等网络安全问题大面积爆发,成为严重的社会问题,这一发明的技术预见才逐渐显现。可以说三元对等是有生命力的,所以在2010年和2019年,三元对等网络安全架构的两项和三项技术分别被ISO/IEC国际标准采用和发布,前者也是我国出口的第一个国际网络安全标准。