技术前沿：WLAN(无线局域网)发展与应用

　　3 Wi-Fi-802.11i的安全协议缺陷

　　IEEE802.11i是IEEE为了弥补802.11脆弱的安全加密功能(WEP，Wired Equivalent Privacy)而制定的修正案，于2004年7月完成，其中定义了基于AES的全新加密协议CCMP(CTR with CBC-MAC Protocol)。

　　无线网络中的安全问题从暴露到最终解决经历了相当长的时间，而各大通信芯片商显然无法接受在这期间什么都不出售，所以Wi-Fi厂商以802.11i的草案3为蓝图设计了一系列通信设备，称为支持WPA(Wi-Fi Protected Access)的设备。这个协议包含向前兼容RC4的加密协议TKIP(Temporal Key Integrity Protocol)，它沿用了WEP所使用的硬件并修正了一些缺失，但在安全方面仍然存在缺陷。之后将支持802.11i最终版协议的通信设备称为支持WPA2(Wi-Fi Protected Access 2)的设备。如众所知，随着传统意义上的WLAN演进为公众通信P-WLAN/O-WLAN，WLAN已成为中国几大公众业务基础运营商共同关注的焦点。公众运营商级的WLAN用户主要为企业客户、经常出差的商务人员及家庭用户等，多半属高端用户，对服务质量及安全性非常关注。而IEEE 802.11x标准中原先提出的安全方案已被广泛证实存在安全漏洞。

　　例如，基于有线环境设计的端口访问控制协议802.1x，安全协议WEP及RC4流密码，DHCP+WEB认证中的用户名和密码系按明文HTTP1.0或弱加密HTTP1.1的MD5算法。MAC地址过滤及非法接入及目前使用较多的PPPoE认证方式也是用明文或弱加密方式传送口令，不适合于开放无线环境。且PPP报文及PPPoE封装效率较低，无后续数据加密，均对电信运营商级高可靠性要求带来较大隐患。

　　针对这些情况，我国依据“商用密码管理条例”制定的WLAN安全标准WAPI(无线网络鉴别保密基础结构)，采用基于公共密钥密码体系的证书机制，动态密钥综合安全度高。而采用我国SMS4密码算法及ECDSA，ECDH密码算法的椭园曲线及参数，是我国商用密码在无线局域网及宽带无线网络安全领域的典型应用，创新地提出了R-A-S三元安全架构，赋予接入点以独立认证身份，解决了无线网络中“伪造网络，中间人攻击”等问题，保障了合法用户接入合法网络，相比Wi-Fi有明显安全技术优势。用户只需安装一张证书即可方便地在WLAN覆盖的不同地区实现漫游，可支持包括Windows98/2000/XP及Linux等多种操作系统，可满足运营商、企业及家庭等多种应用模式，能提供与现有计费技术兼容的服务。完善的安全认证也是实施身份识别、分类计费、路由策略和流量控制等优良运营用户管理的基础。这一安全标准符合我国国家标准与法规要求，同时该WAPI协议已由ISO/IEC授权的IEEE注册权威机构IEEE RA(Registration Authority)审查认可，并分配了用于该协议机制的以太型字段0x88b4等8大方面。这是我国在WLAN安全领域取得的自主创新成果，有重要国际影响与战略意义。这些成果有可能打破外国企业在这一市场的绝对垄断格局，从而引起了相应外国政府和企业、组织的强烈关注与严重不安。他们采用政府高层施压、Wi-Fi联盟反对、芯片禁运等各种手段抵制与阻挠实施，使WAPI标准受阻。

　　2004年4月29日，国家认监委和国家标准委联合发布2004年第44号公告，声明WAPI国家标准的强制性认证实施时间后延。此前，吴仪副总理已在2004年4月22日中美商务会议上与美方会谈后表示，中国同意在6月1日最后期限到来之时，不强制实施我国自主创新制定的WAPI技术标准，并与WLAN国际标准机构密切合作。究其原因，最主要的因素是一些国家在标榜与要求别国“技术中立”的同时，却充分利用自身技术垄断与贸易实力方面的优势，以贸易摩擦为由推行“技术标准政治化”，以维护其技术产品的市场垄断地位，其中芯片量产上的Wi-Fi，WiMAX等市场利益的策略考虑是其重要方面。

　　在自主创新其他新标准之际，我国WAPI标准受阻失利的经验教训确实值得反思。但应该指出，国内参与WAPI标准化工作的单位，在重压情况下仍再接再厉，团结合作，进一步将WAPI标准完善和务实推进，并推向新的共赢合作高度值得赞扬。国外一些有识之士已经指出，中国能够在标准大战中凭借其庞大的市场和迅猛增长来获胜，全球科技和电信公司需要对中国标准方案进行评估，并在适当时候与中国企业联手共同打造技术标准。制订标准的目的是要促使市场健康有效地发展，一个国家或一个组织的标准不可能无条件垄断全球，也谈不上可以在全球垄断创新，尤其当自身标准不完善之际，博采众长与集思广益才属上策。霸权式标准化准则绝对不合情理，所谓全球化标准想要占领甚至独占中国这块全球最有吸引力的市场，不树立切实的共赢合作思想是不会如愿以偿的，可能会吃大亏。期望长久依靠“贸易磨擦与技术政治化方式”维持技术产品垄断及单方面不平等受益，是肯定行不通的。

　　我国政府不遗余力地支持WAPI。2005年，财政部、发改委及当时的信息产业部联合下发了“关于印发无线局域网产品政府采购实施意见的通知”，表示在政府采购中将优先考虑符合国家标准的产品。国家密码管理构也表示将开放WAPI密码算法，这大大降低了国内外企业进入WAPI市场的门槛，推进WAPI产业联盟的工作。加紧芯片制造，借助政府采购快速推进相关需求、用户应用与进一步全面增强性能与改进信价比等，这些均是明智之举。

　　WAPI虽受诸多不确定因素影响，但坚持开放与务实发展的基本方针是完全正确的。在西电捷通、六合万通及华大电子等企业合作基础上，应积极快速地扩大国内外合作范围，特别是与有实力有名望的国际厂商紧密合作，在政府相关部门的积极协调支持下，尽快形成有实力的产业规模，及时适应市场的实际需求。在这方面已经出现了一些可喜的进展，例如西电捷通提供的基于WAPI标准的AirSec专业级无线局域网产品作为首批政府采购清单的推荐产品，已在国家金审工程、中国飞行试验研究院、中国人民解放军信息安全测评认证中心、中国科学院等诸多高要求行业的重点客户实现了两年以上性能稳定可靠的运行，满足了政府、金融、军事等行业对安全性方面的高标准实际需求。同时，西电捷通还以40余项发明专利为基础，在国内外首次推出了一种IP自适应网络系统产品AIPNTM，可使用局域网固定私有IP地址，随时随地接入局域网，可柔性延伸支持其连续业务运作，已在电力、政府机关、科研院所中实现了规模商用，并稳定安全地保障了用户关键业务的开展。2006年3月，WAPI产业联盟成立。截至2009年8月，WAPI联盟已有63家正式成员。

　　Wi-Fi安全性架构从1999WEP→2002WAP→2004 802.11i/WPA2逐的步改进，引进了128位高级加密标准AES，并通过预共享密钥PSK(个人模式下)和IEEE 802.1x/EP(企业模式下)提供双向鉴权，但漏洞事件在全球依然屡有发生。WAPI的使用至今未发现有安全技术漏洞，2008年北京奥运会中实现了成功服务，取得了“零故障、零投诉”的好成绩。WAPI产品目前已涉及办公设备(打印机、投影仪等)，手持设备(手机，PDA及相机等)，家电设备(DVD，电视机，冰箱，家庭网关等)以及国防军用等诸多方面上千种产品。Wi-Fi无线上网漏洞除可免费“蹭网”(所即一种盗窃他人带宽的网上行为，它利用自身计算设备连接相邻路由器设备，不经相应ISP正规线路上网，减免个人上网费用，甚至窃取他人私人信息、数据)外，还可轻松盗取邮箱用户名、密码和截获MSN聊天等信息，其安全攻击操作方法简单。在互联网强势传播环境下，这种Wi-Fi漏洞被广泛利用的情况难以避免，应予切实重视。而WAPI从技术上讲，其鉴别机制完善，实现了终端和网络的双向对等鉴别，使用数字证书(x.509)作为身份标识，采用集中密钥进行管理。此外，其构建与应用方便，扩展性好，除安全性比Wi-Fi好外，对运营商可提供更强大与方便的运营与管理能力。从用户体验而言，其“零干预、零配置”具优良的易用性，隨着WLAN在手机，PDA及消费电子等领域应用的扩展，WAPI的优越性将会更进一步体现。

　　2009年6月，工业和信息化部发布的新政策，即凡加装WAPI功能的手机可入网检测并获进网许可，是对推动WAPI产业发展与应用的巨大支持。有“高安全、可运营、可管理”优势的WAPI已为3大运营商广泛接受并推向市场商用化，成为我国当前建设低成本宽带无线网络的战略重点之一，并列入了2009年新发布的“电子技术产品调整和振兴规划”中，成为促进产业结构调整及拉动内需的自主创新标准之一。目前，许多TD，WCDMA及cdma2000新型手机或多模智能手机中均已内置WAPI功能(如华为8230 Andriod平台手机，联想O1 3G Ophone手机等)。

　　2009年6月，在日本召开的IEC/ISO JCT1/SC6会议上，WAPI获得了包括美、英、法等10余个与会国家成员体的一致同意，将以单独文本形式推进其为国际标准。如标准获得通过，WAPI将成为无线计算机网络通信和无线局域网技术领域中除IEEE标准组织外惟一的ISO/IEC国家成员体直接提交的国际标准提案。WAPI框架方法(TePA，三元对等鉴别)作为迄今为止我国在IEC/ISO信息安全技术领域第一个独立项目编辑的国际提案，其技术内容已得到各国代表广泛认可，已在ISO/IEC JTC1/SC27内进入最终委员会投票阶段，预计2010年初有望成为国际标准。