wapi是什么意思(WAPI到底是什么?)
作为华为被Wi-Fi联盟暂时撤销会员资历事件的连带效应,暌违多年的WAPI(中国无线局域网国度尺度)再次回到大众视野。很多人抚今追昔,痛陈当年WAPI遭受的不公,面对今天华为的困境,WAPI的一切似乎都在瞬间被懂得,这对于WAPI,对于中国技巧创新是件好事。
当然,在这里我们不想回想WAPI历史,只是想给大家分析一下WAPI的技巧实质,以及它相对于Wi-Fi到底有哪些独到之处。
WAPI的实质属于网络安全协定技巧
目前,全球无线局域网(WLAN)已形成相对统一的技巧架构,但其尺度中的安全技巧部分则存在两条路线:一个是美国主导的IEEE 802.11i技巧系统(出自IEEE尺度组织),另一个是我国主导的WAPI技巧系统。由此,在全球规模内就形成了有关WLAN的两个尺度,即美国主导的802.11系列尺度(俗称Wi-Fi)和中国主导的WAPI尺度。
须要解释的是,Wi-Fi尺度和WAPI尺度除了安全技巧部分不同,其他部分诸如编码调制、数据交流、拜访掌握、频段分配等都是一样的。当然,须要强调的是,它们在安全技巧上的差别是原理性和构造性的,这种伟大的差别导致它们各自有着完整不同的网络安全理念百思特网和网络安全架构,进而让Wi-Fi和WAPI在网络形态上有了明显的不同。
从技巧实质来看,WAPI属于无线局域网安全协定技巧。网络的实质在于衔接,网络协定是构建网络衔接的基本核心技巧,而网络安全协定则是网络协定的根本组成部分,它构建的是网络实质安全才能,它是网络安全的基石。
从尺度中相干文本增加量来看,网络安全协定是网络协定技巧演进的重点。早期的有线局域网国际尺度中没有一页内容与安全有关,但是到了2016年,安全内容已经到达700多页;无线局域网国际尺度文本在2000年时,安全内容只有11页,但到了2016年,已经到达166页之多;IP协定国际尺度文本中,与安全有关的文本内容至今到达了200多页,占尺度文本总量将近一半。这些数据也从侧面解释,网络安全越来越受到全球的看重。
WAPI的初衷在于解决“网络安全协定不安全”的问题
盘算机网络虽然已涌现40余年,运用场景不断迅速拓展,但网络技巧远未成熟,特殊是构成网络安全基本的安全协定技巧,由于历史原因和不同尺度组织从“国度好处”和商业好处动身,网络安全协定技巧及尺度一直有被个别国度技巧力气“蓄意弱化”的问题,这些问题将会给网络安全造成重大影响。
事实上,美国政府曾经用长达数十年的时光开发并完美可被其掌握的网络安全协定技巧和尺度系统,可见的资料显示,早在1986年,美国国度安全局(NSA)就已开端介入网络安全协定的开发。其中就包含与WAPI有竞争关系的802.1x、IEEE 802.11i等多项安全协定尺度。正如2013年“斯诺登事件”所披露的“棱镜项目”那样,美方不惜在相干尺度中蓄意制作网络安全协定破绽,以到达大范围监控和攻击全球网络的目标。
“棱镜门”直接导致了全球网络信赖基本的崩塌。在2015年的一次国际尺度组织ISO/IEC尺度讨论中,挪威专家明白指出“我们非常清楚的一致看法是SIMON和SPECK算法不应该被包括进ISO/IEC 29192-2(某项国际尺度编号—作者注)中,这个结论基于如下事实:这些算法是NSA提出的,我们不信赖NSA会善意地提出安全尺度。”
WAPI技巧的研发在2000年便已开端启动,那一时代,WLAN的运用安排尚属初期,但国际上已经开端关注到无线局域网国际尺度中的安全机制存在重大缺点问题,西电捷通也在中国率先开展了高可信无线局域网安全技巧研讨,最终研发并提出了WAPI技巧及其解决计划。
WAPI学名叫作“无线局域网辨别与保密基本构造”,这里所说的“辨别”就是实体辨别,它与网络衔接的树立直接相干;“保密”属于安全通讯领域。也就是说,WAPI技巧重要聚焦网络树立衔接进程以及后续网络通讯进程的安全。
事实上,实体辨别和保密通讯都是保障网络安全的“惯例动作”,那么与Wi-Fi相比,WAPI技巧的独到之处在哪里呢?须要指出的是,现在网上依然有很多人说WAPI只是改了一下加密算法就出来如何如何,这是对WAPI技巧的严重歪曲。
WAPI技巧最大的创新点在于它采取了基于三元对等网络安全架构的实体辨别技巧(TePA-EA),它在网络架构上引入了在线可信第三方(TTP),不仅为解决网络安全中广泛存在的拜访掌握和安全接入问题供给了先进的技巧支持,而且它还确保了网络身份辨别的无线场景实行(这一点在本文后面会有详细解释)。从TePA-EA这个安全技巧基因动身,WAPI实现了用户、接入点、网络三者之间真正的双向身份辨别,使其在防备非法接入、中间人攻击、防钓鱼、防假热门/伪基站等方面具有显著的比较优势,填补了WLAN技巧尺度中的严重安全缺点。这也是当年我国制订并宣布WAPI国度尺度的初衷。
什么是三元对等实体辨别?
先懂得一下实体辨别。实体辨别就是确认网络用户或网络装备身份是否合法的进程。打个比喻。两个生疏人会见,一般的流程是:打召唤——确认身份——握手交谈,大体如此。其实,这样的交互逻辑在网络世界中同样存在。
当你的终端装备(电脑、手机等)试图衔接无线局域网时,终端与网络之间的第一个动作就是“打召唤”(广泛意义上的连网要求,通常由终端侧发起,有时也可能由网络侧发起),专业术语称之为“关联”,重要是探测网络是否有信号,以确认双方在物理上是否能够连得上。
接下来就是“确认身份”——终端与要接入的网络之间互相进行身份的辨认与验证,以此保证合法终端接入合法网络,这一进程就是“实体辨别”。直观来看,它是网络安全的第一道关口,这道关口通过之后,剩下的就可以进行正常网络通讯了。
在现实生涯中,生疏人之间确认彼此身份的办法可以有很多种,譬如可以用事先商定好的暗号,会晤后对上了暗号就意味着找对了人。或者更直接一点,大家先亮出生份证,彼此检验一下,确认是公安机关发放的可信证件,这样也意味着找对了人,我们称之为“身份证法”。
比拟而言,“身份证法”的安全级别更高,也更合适大范围应用,从技巧运用的演进趋势来看,随着实体(硬件平台等)的资源受限问题逐步得到解决,“身份证法”的运用会更加普遍。这里所说的“身份证”在网络世界中即为数字证书。
光有身份证还不行,还要解决身份证怎么用的问题。按照上述场景,两个生疏人会晤,掏出生份证互认,这在必定水平上解决了彼此间的互信问题,但是它依然存在安全隐患,究竟身份证有可能造假,也有可能失效。
如果现场还有一个公安身份的人,并能够当场验证两个人的身份证是否真实有效,并把成果反馈给二人,那么这个“生疏——互信”的进程就比拟靠谱了。这里就引入了一个“三元”认证的概念,即两个生疏人+公安人员,用网络语言来说,两个生疏人分离对应着用户和接入点,公安人员则对应着在线可信第三方(TTP)。WAPI就是采取了这种有“公安人员”参与确认“身份证”的实体辨别技巧。
WAPI在网络架构上引入了在线可信第三方——身份辨别服务器,并赋予了用户(如手机)、接入点、身份辨别服务器三个实体以各自独立的身份信息,这样一来,在辨别服务器的赞助下,手机和接入点就可以更完备地完成双向对等身份辨别,进而为网络安全接入供给了可靠的技巧支持。
须要强调的是,在两个生疏人相认进程中,没有任何一个人可以有免检或额外的特权,即他们之间都须要进行“对等”的辨别。即不仅网络可以辨别手机是否合法,手机也可以辨别网络是否合法。网络安全界有一句名言:“不假定任何事情,不信任任何人,检验所有的东西”。WAPI所采取的三元对等实体辨别技巧理念即是如此。
WAPI“双节棍解决计划”实现了无线场景下的网络身份辨别
三元对等原理看似简略,但三元对等架构下的实体辨别在无线运用场景中的实现却远比想象庞杂。对于三元对等实体辨别原理,我们直观的想象根本就是如下百思特网图所示的逻辑构造:
电脑A、接入点B以及身份辨别服务器TTP三者之间处于直连状况,所以,它们各自之间可以便利地实现双向身份辨别,这个模型被望图生意地称为“金字塔模型”。
但是,做工程研发的都知道一个铁律,技巧的合理并不完整等于工程可用,“金字塔模型”也是如此。在实际运用中我们就会发明,“金字塔”构造运用于有线网络没有太大问题,但是对于无线网络则几乎不可用。
很显然,当我们的电脑通过有线方法联网,电脑A可以通过有线方法直接连到服务器和接入点B,因此,依据“金字塔模型”所假想的双向对等辨别是可以实现的。但是如果产生在无线网络场景中,这种构造的工程实现就不实用了。
由于无线信号传输距离有限,手机可以通过无线方法就近衔接接入点,但是却无法衔接放置在远方机房中的服务器,它在现实场景中的逻辑构造就成了下面这样:
此时,在线可信第三方TTP参与辨别,但A、B两者仅一方能够衔接可信第三方。为了适应无线场景的接入辨别运用,“双节棍模型”(同样是望图生意)解决计划被创造了出来,该解决计划也是WAPI整体技巧解决计划系统的一部分。
基于“双节棍模型”的三元对等实体辨别机制是如何实现的呢?以下图加以解释:
这种三元架构采用了五步辨别的模式,具体进程是这样的:
第一步接入点向终端发资讯“鉴证身份开端”;
第二步终端发资讯答复接入点“这是我的身份信息,请辨别,并请给我看你的身份信息以及第三方对你的辨别身份辨别成果”;
第三步接入点向辨别服务器发资讯“这是我和终端的身份信息,请辨别并反馈成果”;
第四步辨别服务器给接入点发资讯“这是对你和终端的身份辨别成果”,此时接入点可断定终端身份是否合法;
第五步接入点将对辨别服务器对接入点的辨别成果发给终端,终端收到后依据之前收到的接入点的身份信息以及辨别服务器的辨别成果断定接入点的身份是否合法。
这五步信息的传递应用了公钥密码学原理,还包含集成数字证书技巧,以晋升终端和接入点双方身份的真实性。这样就在终端无法衔接服务器的情形下,完备地实现与接入点之间可靠的辨别进程。
另外,WAPI的特色不仅在于在网络构造上做出了创新,引入了三元对等架构,而且它的协定具备原子性(不可进一步拆分成子协定),从而进一步进步了安全性。而对于Wi-Fi技巧,它与WAPI最明显的差别就是接入点装备没有“身份证”,而从它的网络构造来看,它既不具有原子性,也无法实现为接入点附加身份证信息。所以,Wi-Fi在安全构造上则存在原理性和构造性的缺点,这也可以说明为什么它的安全机制这些年一直在不断升级,从WEP到WPA,又到WPA2、WPA3,但问题在于,最新的WPA2和WPA3依然相继被爆出包含CRACK等安全问题。
至此,我们完成了有关WAPI技巧原理、特色和运用解决计划的介绍。WAPI出生于2000年,某种意义上,WAPI及其所依托的技巧架构——三元对等网络安全架构,是一种超前于时期的网络安全基本技巧。在那个时候,须要三元构造并实行双向对等身份辨别的运用场景还不多见,物联网等对等网络还处于概念阶段。所以,它在技巧上的价值在当时并没有被业界充足认识到。直到后来伪基站、中间人攻击等网络安全问题大面积爆发,并成为严重的社会问题,这项创造的技巧前瞻性才逐渐浮现出来。可以说,三元对等是有性命力的,所以在2010年和2019年,三元对等网络安全架构分离有所属的两项和三项技巧被ISO/IEC国际尺度所采用并宣布,前者也是中国输出的第一个网络安百思特网全国际尺度。