標準 當前全球無線區域網路領域僅有的兩個標準,分別是美國行業標準組織提出的IEEE 802.11系列標準(俗稱Wi-Fi,包括802.11a/b/g/n/ac等),以及中國提出的WAPI標準。WAPI是我國首個在計算機寬頻
無線網路 通信領域自主創新並擁有
智慧財產權 的安全接入技術標準。
本方案已由國際標準化組織ISO/IEC授權的機構IEEE Registration Authority(IEEE註冊權威機構)正式批准發布,分配了用於WAPI協定的以太類型欄位,這也是中國在該領域唯一獲得批准的協定。
與WIFI的單向加密認證不同,WAPI雙向均認證,從而保證傳輸的安全性。WAPI
安全系統 採用
公鑰密碼 技術,鑒權伺服器AS負責證書的頒發、驗證與吊銷等,無線客戶端與
無線接入點 AP上都安裝有AS頒發的
公鑰證書 ,作為自己的數字身份憑證。當無線客戶端登錄至
無線接入點 AP時,在訪問網路之前必須通過鑑別伺服器AS對雙方進行
身份驗證 。根據驗證的結果,持有合法證書的移動終端才能接入持有合法證書的
無線接入點 AP。
無線區域網路 鑑別與保密基礎結構(WAPI)系統中包含以下部分:
2、WPI數據傳輸保護
無線區域網路保密基礎結構(WPI)對MAC子層的MPDU進行加、解密處理,分別用於WLAN設備的
數字證書 、
密鑰協商 和傳輸數據的加解密,從而實現設備的身份鑑別、鏈路驗證、
訪問控制 和用戶信息在
無線傳輸 狀態下的加密保護。
WAPI
無線區域網路 鑑別基礎結構(WAI)不僅具有更加安全的鑑別機制、更加靈活的
密鑰管理技術 ,而且實現了整個基礎網路的集中用戶管理。從而滿足更多用戶和更複雜的安全性要求。
世貿規則 世界貿易組織 的一個重要協定—貿易技術壁壘協定(WTO/TBT)規定
WTO 各成員國可以為本國安全、健康、環保等正當目標,在符合WTO總協定的有關標準和國際指南的前提下修改或制定出本國新的技術法規、標準等相關檔案。眾所周知,WAPI旨在加強
無線網路 的安全性,符合WTO上述規則。
作用 1、出於安全性考慮。
WAPI(圖3) 2013年斯諾登曝光了美國稜鏡門事件,同時也披露了美國包括NSA、國土安全部、FBI、CIA在內的十餘家情治單位,通過與美國標準制定機構長期合作,將有明顯技術缺陷的密碼算法和安全機制方案埋入其主導並參與的國際標準,從而實施全球網路監控計畫的技術標準控制路徑。這為各國的網路與信息安全敲響了警鐘,各國都開始重新審視WIFI安全性和美國阻擊WAPI的真實用心,這也成為WAPI重獲新生的機遇。
對於個人用戶而言,WAPI的出現最大的受益就是讓自己的筆記本電腦從此更加安全。我們知道,
無線區域網路 傳輸速度快,覆蓋範圍廣,因此它在安全方面非常脆弱。因為數據在傳輸的過程中都曝露在空中,很容易被別有用心的人截取數據包。雖然,3COM、
安奈特 等國外廠商都針對802.11制定了一系列的安全解決方案,但總得來說並不盡人意,而且其核心技術掌握在別國人手中,他們既然能制定得出來就一定有辦法破解,所以在安全方面成了政府和商業用戶使用WLAN的一大隱患。WIFI加密技術經歷了WEP、WPA、WPA2的演化,每一次都極大提高了安全性和破解難度,然而由於其單向認證的缺陷,這些加密技術均已經被破解並公布。WPA於2008年被破解。WPA2則於2010年上半年被黑客破解並在網上公布。
而WAPI由於採用了更加合理的雙向認證加密技術,比802.11更為先進,WAPI採用國家密碼管理委員會辦公室批准的
公開密鑰 體制的橢圓曲線
密碼算法 和秘密密鑰體制的分組密碼算法,實現了設備的身份鑑別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。此外,WAPI從套用模式上分為單點式和集中式兩種,可以徹底扭轉目前WLAN採用多種安全機制並存且互不兼容的現狀,從根本上解決安全問題和兼容性問題。所以我國強制性地要求相關商業機構執行WAPI標準能更有效地保護數據的安全。
另外,
設備間 互聯是運營商必須要考慮的問題。當前,雖然許多廠商的產品都宣稱通過了
wi-fi 兼容性測試,但由於各廠商所提出和採用的安全解決方案不同。例如,安奈特(AT-WR2411
無線網卡 )提供的是多級的安全體系,包括擴頻編碼和加密技術,安全的信息通過40和128位的Wired Equivalent Privacy (WEP) 加密方法;而3Com的無線網卡如果和3Com 11 Mbps
無線區域網路 Access Point 6000配合使用,則可以使用高級的動態安全鏈路技術,該技術與共享
密鑰 的方案不同,它會自動為每一個會話生成一個128位的加密密鑰。這樣,由於缺乏統一的安全解決方案標準,導致了不同的WLAN設備在啟用安全功能時無法互通,會造成運營商的設備管理極其複雜,需要針對不同的安全方案開發不同用戶管理功能,導致運營和維護成本大大增加,也不利於保護投資,而用戶因為無法在不同的安全AP(Access Point)間漫遊,而降低客戶滿意度。
2、出於利益方面的考慮。
我國是個經濟蓬勃發展的發展
中國 家,許多產品都擁有巨大的發展空間,尤其是高科技產品。但是,在以前,我國在高科技產品方面喪失了很多的機會,由於極少有自主核心技術和自己業界標準的產品,造成了頗為被動的局面:DVD要被外國人收取大量的專利費,GPRS、CDMA1X等等的標準都掌握在外國人手裡,我們只能乖乖地將大把的鈔票送給人家去買人家的標準,而自己則像個替人“打工”的工人,只能去搞OEM、去幫人組裝產品。所以,有人說“一流的企業賣標準、二流的企業賣技術、三流的企業賣產品”。
組成
WAPI包括兩部分:WAI(WLANAuthentication Infrastructure)和WPI(WLAN Privacy Infrastructure)。WAI和WPI分別實現對用戶身份的鑑別和對傳輸的業務數據加密,其中WAI採用公開密鑰密碼體制,利用公鑰證書來對WLAN系統中的STA和AP進行認證;WPI則採用對稱密碼算法實現對MAC層MSDU的加、解密操作。
(1)WAPI 接入控制實體
WAPI接入控制中包括以下4個實體。
鑑別服務單元ASU(authentication service unit),基本功能是實現對用戶證書的管理和用戶身份的鑑別等,是基於公鑰密碼技術的WAI 鑑別基礎結構中重要的組成部分。ASU管理的證書里包含證書頒發者(ASU)的公鑰和簽名以及證書持有者STA和AP的公鑰和簽名,並採用WAPI特有的橢圓曲線作為數字簽名算法。
鑑別器實體AE(Authenticator Entity),為鑑別請求者實體在接入服務之前提供鑑別操作的實體。該實體駐留在AP 設備或者AC設備中。鑑別請求者實體ASUE(Authentication SUpplicant Entity),在接入服務之前請求進行鑑別操作的實體。該實體駐留在STA 中。
鑑別服務實體ASE(Authentication Service Entity),為鑑別器實體和鑑別請求者實體提供相互鑑別服務的實體。該實體駐留在ASU 中。
(2)WAPI 信息元素
為了使STA能夠識別啟用WAPI無線安全機制,在信標幀、關聯請求幀、重新關聯請求幀和探詢請求幀中攜帶WAPI信息元素。對於AP來說,需要在發出信標幀和探詢回響幀中,根據當前AP上WAPI的配置加入相應的WAPI信息元素。同時,解析關聯請求幀和重新關聯請求幀,只有在符合當前AP上WAPI的配置條件時才能和該STA進行後續的協商。WAPI信息元素的格式如圖1所示,該元素長度最大不超過255Byte。
圖1 圖1 WAPI 信息元素格式
其中元素標識ID應為68。長度欄位標識WAPI信息元素中除元素標識ID和長度欄位以外欄位的位元組數。版本欄位標識WAPI協定的版本號,本規範中版本號為1,其他值保留。鑑別和密鑰管理(AKM)套件計數欄位標識STA支持的鑑別和密鑰管理機制個數。鑑別和密鑰管理(AKM)套件欄位包含STA支持的鑑別和密鑰管理機制,m為鑑別和密鑰管理套件計數欄位的值。單播密碼套件計數欄位標識STA支持的單播密碼算法個數。單播密碼套件欄位包含STA支持的單播密碼算法,n 為單播密碼套件計數欄位的值。組播密碼套件欄位包含STA支持的組播密碼算法。WAPI能力信息,比特0為預鑑別標識位,其他位保留。BKID計數和列表欄位,BKID計數和列表欄位僅用於發往AP的關聯或重新關聯請求幀中。BKID計數欄位表示BKID列表欄位中包含的BKID個數。
(3)WAPI 身份鑑別和密鑰協商
WAPI鑑別及密鑰管理的方式有兩種,即基於證書和基於預共享密鑰PSK。若採用基於證書的方式,整個過程包括證書鑑別、單播密鑰協商與組播密鑰通告;若採用預共享密鑰的方式,整個過程則為單播密鑰協商與組播密鑰通告。這幾個過程的互動如圖2,圖3,圖4所示,
圖2 圖4 (4)WAPI 報文封裝和加解密
WPI保密基礎結構對MAC子層的MPDU進行加、解密處理,但對於WAI協定分組不進行加解密處理。經過加密處理後的MPDU封裝結構如圖5所示。
圖5 WAPI 的MPDU 封裝結構
圖5 其中,MAC頭當地址4 存在時,長度為30個位元組;當地址4不存在時,長度為24個位元組。當MAC 頭包含服務質量控制(QoS)子欄位時,長度再增加兩個位元組,目前WAPI協定中沒有定義無線QoS的操作,即不支持無線QoS。KeyIdx表示USKID或MSKID或STAKeyID的索引值,這個報文使用的會話密鑰索引值,保留欄位默認值為0。PN欄位表示一個整數,標識數據分組
序號,該數據分組序號作為OFB、CBC-MAC模式下數據加密和校驗時所需的IV。數據分組序號PN欄位按照小端模式編碼傳送。PDU(數據)欄位為MPDU數據,最大長度為2278=2312-18(WPI頭)-16(MIC)。FCS欄位為MAC幀格式的幀校驗序列。MIC欄位是利用完整性校驗密鑰採用CBCMAC工作方式對完整性校驗數據計算得到,圖6為MIC計算時完整性校驗數據的組成結構。
圖6 WAPI 的MPDU 封裝結構
圖6 區別 如下表所示
項目
WAPI
IEEE 802.11(WIFI標準)
鑑別
鑑別機制
雙向鑑別(AP和MT通過AS實現相互的身份鑑別)
單向和雙向鑑別(MT和Radius之間),MT不能夠鑑別AP的合法性
鑑別方法
鑑別過程簡單易行;身份憑證為公鑰數字證書;無線用戶與無線接入點地位對等,不僅實現無線接入點的接入控制,而且保證無線用戶接入的安全性;客戶端支持多證書,方便用戶多處使用,充分保證其漫遊功能
鑑別過程較為複雜;用戶身份通常為用戶名和口令;AP後端的Radius
伺服器 對用戶進行認證;
鑑別對象
用戶
用戶
密鑰管理
全集中(區域網路內統一由AS管理)
AP和Radius伺服器之間需手工設定共享密鑰;AP和MT之間只定義了認證體系結構,不同廠商的具體設計可能不兼容;實現兼容性的成本較高
安全漏洞
未查明
用戶身份憑證簡單,易被盜取,且被盜取後可任意使用;共享密鑰管理存在安全隱患
加密
密鑰
動態(基於用戶、基於鑑別、通信過程中動態更新)
動態
算法
國密辦批准的分組加密算法(SMS4)
128 bit AES和128 bit RC4
發展歷史 1992年,中國開始無線區域網路研究
1994年,中國第一台WLAN樣機,誕生於
西安電子科技大學 綜合業務網理論及關鍵技術國家重點實驗室,並通過部級鑑定。
2000年底,西電捷通成立——由西安電子科技大學(綜合業務網理論及關鍵技術國家重點實驗室)等發起成立的高科技股份制企業,無線區域網路國家標準的起草者。
2001年6月,由於
IEEE 802.11 標準存在的嚴重安全技術漏洞,信息產業部開始下達無線區域網路國家標準起草任務。
2001年8月,西電捷通發起成立中國“寬頻無線IP標準工作組”,開發中國的無線區域網路安全技術,同年11月完成標準草案。
2003年5月,國家強制標準GB 15629.11/1102-2003批准即WAPI發布,並宣布將於2003年底實施。英特爾等跨國公司以準備時間不足為由,要求推遲實施。
2003年11月,國家質監總局和
國家標準化管理委員會 發布公告,從2004年6月1日起,境內的無線區域網路產品必須採用WAPI標準。但英特爾、博通等美國公司強烈抵制,並威脅將停止在中國開展無線業務,聲稱WAPI標準將迫使自己與中國公司共享敏感信息.
2004年3月,美國務卿
鮑威爾 、商務部長
埃文斯 、貿易代表佐立克聯名致信,要求中國放棄WAPI標準。稱這一標準是國際貿易的壁壘。
2004年4月,
國家質檢總局 、國家認監委、國家標準委聯合發布公告:2004年6月1日將延期強制實施WAPI標準。
2004年7月,中國向
國際標準化組織 ISO提交了WAPI提案,試圖推進其成為國際標準,但遭到美國方面的強烈阻撓,包括阻止中方WAPI技術專家參加會議的方式。中國代表團中所有WAPI技術專家均被拒簽,僅管理人員獲得簽證。中國代表團不得不尋求保護並將相關工作延遲至次年的德國法蘭克福會議。
2005年11月,
發改委 等八部委連續召開WAPI部際聯席會議。12月,財政部等三部委聯合 “關於印發無線區域網路產品政府採購實施意見的通知”
2006年1月,國家質檢總局頒布了無線區域網路修改單GB 15629.11-2003/XG1-2006及其擴展子項國家標準GB 15629.1101-2006《無線區域網路媒體訪問控制和物理層規範:5.8GHz頻段高速物理層擴展規範》、GB15629.1104-2006《無線區域網路媒體訪問控制和物理層規範:2.4GHz頻段更高數據速率擴展規範》、GB/T 15629.1103-2006《無線區域網路媒體訪問控制和物理層規範:附加管理域操作規範》等三項補篇國家標準,形成了全面採用WAPI技術的WLAN國家標準體系。
2006年3月,國際標準化組織ISO的投票中,WAPI以懸殊的得票率負於
美國標準 802.11i.
2006年6月,質檢總局、國標委聯合發布《關於發布無線區域網路國家標準的公告》
2008年 WAPI在中國電信和中國移動WLAN入網測試規範中被定為A類必須滿足的測試項。
2008年3月 兩會期間全國人大代表、西安電子科技大學副校長
郝躍 提交《關於加速推進我國自主網路通信安全標準WAPI的建議》的議案。
2008年4月,在ISO/IECJTC1/SC6
日內瓦會議 上,中國第二次啟動WAPI提案。在這次會議上,
國際標準組織 認為
802.11i 仍無法滿足無線網路的安全需求,同意了WAPI進入研究階段;經過獨立標準、附錄、技術報告等多種方式的評估後,會議確定WAPI以獨立標準和技術報告(屬ISO標準文獻類)作為WAPI推進為國際標準的兩個最終考慮方案。
2008年7月,在包括ISO/IEC總部官員、中方代表、IEEE代表等參加的WAPI特別會議上,IEEE代表和美國代表改變原本堅決反對WAPI提案的立場,達成了WAPI可作為獨立標準推進的共識。全球第一款WAPI+GSM雙模手持終端研製成功。
2008年8月,北京奧運會期間 在
奧運場館 無線覆蓋項目中,WAPI取得“零故障、零投訴”的好成績。
2008年9月,WAPI
產業聯盟 面向套用市場推出WAPI SOM系列解決方案,並積極地開展面向運營商的示範網項目。
2008年10月21日至25日 在北京國際信息通信展覽會上,WAPI產業聯盟對外表示,從運營商建網需求角度講,WAPI已進入全新的發展階段。
2008年12月,WAPI聯盟廠商實現最低成本解決Wi-Fi網路及終端向WAPI平滑過渡。
2008年底,WAPI被中國移動、中國電信和新聯通三大電信運營企業標準採納。
2009年1月,全球無線晶片知名廠商Marvell的核心晶片模組廠商海華科技推出了全系列配合WAPI套用的無線模組IC。
2009年2月,WAPI已成為中國移動和中國電信採購WLAN設備測試的必測項。
2009年4月,中國電信集團宣布,將大力推動WAPI的發展,並建立以WLAN全國漫遊認證中心,以實現WLAN用戶的漫遊需求。擬通過WAPI在大規模公眾網路的部署和開展運營,尤其是在手機端與CDMA網路結合與互補,構建廣覆蓋、高速率的寬頻無線網路。
2009年4月,中國工信部召集手機廠商開會,宣布今後國內所有2G和3G手機都可以使用WAPI技術
2009年4月,第一款由海爾和中國電信共同打造的WAPI/Wi-Fi手機對外發布。大唐電信、京信通信、廣州傑賽、烽火虹信、傲天動聯等8家WAPI產業聯盟成員企業共同對外宣布,他們的WAPI會聚型產品(瘦AP)已實現互聯互通。
2009年5月 中國移動、中國電信先後展開2009年WLAN網路設備招標,要求新建WLAN網路設備全部具有WAPI功能。
2009年6月,在東京召開的ISO/IEC JTC1/SC6會議上,包括美、英、法等10餘個與會國家成員體一致同意,將WAPI作為無線區域網路接入安全機制獨立標準形式推進為國際標準。(其中美國代表傑西·沃克既是英特爾的安全架構師,也是802.11i標準的編輯者),從而獲得打破IEEE壟斷的希望。
2009年6月18日,摩托羅拉宣布
中國 第一款支持WAPI高速
無線網路 接入的智慧型手機MOTO A3100正式上市。
2010年6月,WAPI基礎框架方法(虎符TePA)獲國際標準化組織正式批准發布。
從2004到2011年,只要是在美國舉辦的國際標準化組織會議,老美均拒絕給中方WAPI技術人員簽證。中方不得不多次推遲到下一次非美國本土舉行的會議上。2013年斯諾登曝光稜鏡計畫為WAPI獲得國際認可掃清了心理障礙。
2013年12月,商務部公布的《第24屆中美商貿聯委會中方成果清單》顯示WAPI的核心專利已在美國通過專利。至此,中德英法日韓美等多個國家已經承認相關專利。
2014年上半年,飛天聯合、西南交大等單位和鐵路部門一道,聯合設計了一款基於WAPI標準的車內無線網路系統,火車上網有望實現。
2018年11月,支持WAPI的無線區域網路晶片已超過400款型號、全球累計出貨量超過110億顆,移動終端和網路側設備等已超過13000款。
支持WAPI的手機:由於WAPI是中國無線區域網路安全強制性標準,因此包括iPhone在內的智慧型手機均已支持WAPI標準(這些手機均同時支持WIFI標準)。
與WIFI的競爭 WAPI是中國自主研發的,擁有
自主智慧財產權 的
無線區域網路 安全技術標準。相比WiFi,對於用戶而言,WAPI可以使筆記本電腦以及其他終端產品更加安全。WAPI的安全性雖然獲得了包括美國在內的國際上的認可,但是一直都受到WIFI聯盟商業上的封鎖,一是宣稱技術被中國掌握不安全,所謂的中國威脅論;二是宣稱與現有WIFI設備不兼容。由於美國的阻擊,WiFi已主導市場。
WAPI與WiFi之爭 市面上單純套用WAPI安全協定標準的產品很少,無線路由器暫時沒有,筆記本電腦只有聯想、索尼和方正曾經推出過。在實際操作中,WAPI一直處於未採用、邊緣化的狀態。
實際上無線設備是可以同時支持WIFI和WAPI的標準的,只需要軟體上添加WAPI證書就可以了,不存在硬體成本或者所謂的分裂整個無線世界的問題。而採用有嚴重缺陷的WiFi標準建設將使國家
公共基礎設施 網路存在極大的安全隱患和公共信息安全問題。
WAPI和WiFi能否兼容
早在2006年,著名電信專家、
北京郵電大學 教授
闞凱力 就表示,WAPI與WiFi的唯一區別就是在認證保密方面,WAPI比WiFi強。雖然WiFi與WAPI不兼容,但套用WAPI標準的筆記本電腦或者其他終端產品,可以自動切換並接收WIFI信號,拿到國外也一樣。
WAPI聯盟的技術專家告訴記者,在國內全面推廣WAPI,並非需要購買單獨的網卡才可以使用WAPI。“只要
英特爾 願意在網上公布
迅馳 筆記本的WAPI軟體
補丁 或直接把驅動嵌入進
作業系統 中安裝,迅馳筆記本或者採用WiFi標準的無線產品都可以套用WAPI標準的無線網路。”該專家表示,“這件事對於英特爾來說是輕而易舉的事情。問題的關鍵是英特爾願不願意,而不是能不能!”
由於在WIFI聯盟的抵制,為了兼容他們生產的設備,即使支持WAPI的設備,事實上也仍然用的WIFI加密標準,因此WAPI也就成了擺設。例如小米手機、iPhone是支持WAPI加密信號的,但是真要用,需要無線路由器也按WAPI協定發射信號。否則在WIFI網路環境下,手機終端仍然執行的WIFI協定,這也正是WAPI在國內沒有存在感的原因。
產業鏈 WAPI產業內部人士介紹,WAPI其實不像外界想像的那樣,這些年停滯不前,實際上是在持續的發展和推進。目前,WAPI產業鏈已頗具厚度,具有WAPI功能的晶片全球出貨量累計已超過40億顆,移動終端產品型號超過7000款/近6億部。國內三大電信運營商建設的公共無線區域網路設備(AP/AC)均具備WAPI能力(累計約700萬個無線區域網路熱點),並已在電力、金融、教育等行業逐步推廣。
運營商 中國移動通信集團公司
中國電信集團公司
中國聯合網路通信集團有限公司
平台與機構 國家無線電監測中心
國家密碼管理局商用密碼研究中心
北京五龍電信技術有限公司
北京同耀通電科技有限公司
上海市數字證書認證中心有限公司
其它 國家密碼管理局商用密碼研究中心