李進(jìn)良:防范棱鏡監(jiān)控要把WAPI用起來

　　最近“棱鏡門”(代號PRISM)事件在國際社會間掀起軒然大波。

　　棱鏡靠什么“偷窺”人們的隱私？

　　靠個人智能手機(jī)和互聯(lián)網(wǎng)活動。也就是一靠電信網(wǎng)，可進(jìn)入電信公司AT&T和Verizon等的通信線路、光纖機(jī)房里的設(shè)備收集所有的信息；二靠互聯(lián)網(wǎng)，通過“后門”可直接接入微軟、雅虎、Google等9家美國互聯(lián)網(wǎng)公司中心服務(wù)器進(jìn)行數(shù)據(jù)挖掘，而無需采取一般黑客們的入侵方法。

　　監(jiān)控的對象可以是任何使用這些服務(wù)商的美國境外客戶，以及與國外人士通信的美國公民。監(jiān)控的結(jié)果應(yīng)用之一就是《總統(tǒng)每日簡報》

　　棱鏡事件給我國敲響了警鐘！

　　美國在竊取中國情報上，可謂煞費苦心，長期以來，美國情報機(jī)關(guān)對我國形成了 “360度無死角”網(wǎng)狀偵測系統(tǒng)。從戰(zhàn)略武器、軍事基地到常規(guī)軍演，中國各個層面的“軍事機(jī)密”，均在美國情報系統(tǒng)的監(jiān)視范圍內(nèi)。

　　特別是最近棱鏡門披露：過去15年中一直從事侵入中國境內(nèi)電腦和通訊系統(tǒng)的網(wǎng)絡(luò)攻擊，破解密碼和安全防火墻，獲取和復(fù)制目標(biāo)信息。銷售給我國大量的網(wǎng)絡(luò)設(shè)備、通信設(shè)備；參與了中國幾乎所有大型網(wǎng)絡(luò)項目的建設(shè)，包括163網(wǎng)、169網(wǎng)、中國金融骨干網(wǎng)、中國教育科研網(wǎng)，涉及政府、海關(guān)、郵政、金融、鐵路、民航、醫(yī)療、軍警等要害部門的網(wǎng)絡(luò)建設(shè)，以及中國電信、中國聯(lián)通和中國移動等電信運營商的網(wǎng)絡(luò)基礎(chǔ)建設(shè)。利用這些在中國部署的網(wǎng)絡(luò)設(shè)備、通信設(shè)備等預(yù)留“后門”、植入惡意軟件的掌控與監(jiān)聽能力，既可以從互聯(lián)網(wǎng)骨干的樞紐處收集元數(shù)據(jù)；必要時還可以對我國實施致命打擊。

　　“棱鏡門”事件給我國敲響了警鐘！不只是給國家安全、企業(yè)機(jī)宻造成嚴(yán)重的危害，而且讓每個上網(wǎng)的人，都被一張隱形大網(wǎng)籠罩著，如同皇帝的新衣中那個皇帝，裸露無余，讓人觸目驚心！我國政府和所有運營商、服務(wù)提供商早該反思了，我國的電信網(wǎng)與互聯(lián)網(wǎng)的安全防范為何如此脆弱，可以任由美國這樣肆無忌憚入侵我們的網(wǎng)絡(luò)和手機(jī)系統(tǒng)？ “棱鏡門”啟示我們不要忘記百年屈辱史，落后就要挨打，就會受制于人，八年抗戰(zhàn)中國人民所受的苦難我們這批耄耋老人感同身受，歷歷在目。到底該怎么辦？為了當(dāng)代和后代的幸福，決不能麻痹大意，更不應(yīng)開門揖盜，我們要學(xué)會自力更生，要采取有力措施，建設(shè)國家自主創(chuàng)新的安全網(wǎng)絡(luò)迫在眉睫，必須筑牢確保信息安全的這個網(wǎng)絡(luò)籬笆，讓全國人民有安全感！但是必須深刻理解網(wǎng)絡(luò)安全、信息安全與國家安全息息相關(guān)，涉及技術(shù)、經(jīng)濟(jì)、法規(guī)與國防等方方面面，是一個非常龐大的系統(tǒng)工程，千頭萬緒，非一朝一夕可以完善的。但我認(rèn)為國家可以立即采取行動的有兩件事情：

　　一是4G 要用TD-LTE一統(tǒng)華夏，借此構(gòu)筑我國安全的移動網(wǎng)(已另文發(fā)表)；

　　二是無線局域網(wǎng)要用WAPI取替Wi-Fi，借此構(gòu)筑我國安全的無線局域網(wǎng)�，F(xiàn)階段我國三家運營商都在積極建設(shè)的無線局域網(wǎng)(WLAN)熱點總數(shù)達(dá)524萬，已具有相當(dāng)?shù)囊?guī)模，遺憾的是雖大多具有WAPI(中國無線局域網(wǎng)的安全標(biāo)準(zhǔn))功能，卻都按Wi-Fi (美國無線局域網(wǎng)的標(biāo)準(zhǔn))在推廣應(yīng)用，本文將專門論述如下。

　　Wi-Fi的網(wǎng)絡(luò)安全性不容忽視

　　無線局域網(wǎng)中的數(shù)據(jù)是通過無線電進(jìn)行傳播的，所有在數(shù)據(jù)發(fā)射機(jī)覆蓋范圍內(nèi)的無線局域網(wǎng)終端設(shè)備都能接收到這些電波，因此不能采用類似有線網(wǎng)絡(luò)那樣的通過保護(hù)通信線路的方式來保護(hù)通信安全。

　　由于無線電通信特殊的輻射性質(zhì)，無線空間傳播信道的開放性會導(dǎo)致多種不安全因素，包括假冒攻擊、網(wǎng)絡(luò)欺騙、信息竊取等等，這使網(wǎng)絡(luò)運營和通信信息的安全受到極大威脅。需要采取一系列安全措施，以防止信息被期望的接收者之外的另一些人輕易地截收，并防止對業(yè)務(wù)的欺詐性接入等等。

　　對于Wi-Fi來說，自它誕生之日起，與其靈活便捷的優(yōu)勢共存的就是安全漏洞這個揮之不去的陰影。在國內(nèi)外出現(xiàn)的安全問題屢見不鮮，并導(dǎo)致很多安全糾紛。Wi-Fi標(biāo)準(zhǔn)為此相繼采用了WEP、WPA、WPA 2、802.1x 、802.11i等方式試圖保證Wi-Fi安全，但WEP及其后續(xù)改進(jìn)方案均暴露出它嚴(yán)重的安全漏洞；更為嚴(yán)重的是，目前破解Wi-Fi安全標(biāo)準(zhǔn)的黑客工具很成熟，也很容易被一般用戶得到使用，在15分鐘內(nèi)就可被攻破，已被廣泛證實不安全。

　　WAPI的由來

　　無線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)(WAPI，即WLAN Authentication and Privacy Infrastructure)是我國首個在無線網(wǎng)絡(luò)通信領(lǐng)域自主創(chuàng)新并擁有知識產(chǎn)權(quán)的安全接入技術(shù)，相比美國IEEE主導(dǎo)的802.11i安全技術(shù)(俗稱Wi-Fi)在協(xié)議安全性和安全管理上具有明顯的優(yōu)勢。為保障我國無線網(wǎng)絡(luò)和國家信息安全根本利益不受侵害，從市場和產(chǎn)業(yè)的需求出發(fā)，針對IEEE 802.11系列標(biāo)準(zhǔn)中存在嚴(yán)重的安全漏洞和版本不兼容的問題，WAPI技術(shù)于2003年首先被我國無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11和GB15629.1102采納，同時，依據(jù)我國商用密碼管理的相關(guān)要求，WAPI安全協(xié)議與我國政府配給的密碼算法相結(jié)合使用構(gòu)成了無線局域網(wǎng)安全系統(tǒng)，并依法作為國家強(qiáng)制性標(biāo)準(zhǔn)予以頒布。

　　2003年底，我國主管部門發(fā)布了關(guān)于無線局域網(wǎng)強(qiáng)制性國家標(biāo)準(zhǔn)實施的公告。公告指出：從2004年2月1日開始，禁止進(jìn)口、生產(chǎn)和銷售不符合強(qiáng)制性國家標(biāo)準(zhǔn)的無線局域網(wǎng)產(chǎn)品。對于2003年12月1日前已經(jīng)進(jìn)口或生產(chǎn)的以及簽訂有效合同的無線局域網(wǎng)產(chǎn)品，進(jìn)口、生產(chǎn)和銷售日期則寬限到2004年的6月1日

　　顯然，我國頒布實施WLAN國家安全標(biāo)準(zhǔn)是合情合理的，符合WTO的有關(guān)協(xié)議，為WLAN在國內(nèi)的健康發(fā)展提供了強(qiáng)有力的安全保障。但這件事，卻在世界上引起了一場軒然大波。先是Wi-Fi的核心成員、一家WLAN芯片廠商明確表示反對這一標(biāo)準(zhǔn)；接著， Wi-Fi聯(lián)盟主席威脅將停止向中國銷售Wi-Fi芯片；后來，美國政府的高層官員甚至發(fā)表講話，認(rèn)為中國政府制訂的這一標(biāo)準(zhǔn)“不合時宜”，要求中國政府重新考慮這個決定，等等。

　　遺憾的是在2004年4月舉行的中美商貿(mào)聯(lián)委會上，由于美國政府的壓力，我國政府為平衡各方面的利益，同意WAPI延期實施，美國網(wǎng)站卻別有用心改為無限期延長實施。“無限期”三個字，大大挫傷了國內(nèi)企業(yè)自主創(chuàng)新的信心，導(dǎo)致產(chǎn)業(yè)化乏力，應(yīng)用進(jìn)展緩慢。3C認(rèn)證偃旗息鼓，WAPI產(chǎn)業(yè)整體沉寂，群情低落。

　　2004年標(biāo)準(zhǔn)延期后，在國務(wù)院安排下，國務(wù)院參事室在全國展開了為期半年的WAPI專題調(diào)研后給予了高度肯定：“WAPI是我國科技創(chuàng)新在世界范圍內(nèi)具有重大意義和影響的標(biāo)志性的一個事件�！敝�后，2005年形成了由原信息產(chǎn)業(yè)部和國家發(fā)改委等組成的八部委部際聯(lián)席會議機(jī)制商討推進(jìn)WAPI事宜，并于2005年11月分別召開兩次八部委部際會議，形成了“繼續(xù)頒布WAPI升級標(biāo)準(zhǔn)(仍為強(qiáng)制性)并向WTO/TBT緊急通報；政府采購先行并引導(dǎo)電信運營使用；成立WAPI產(chǎn)業(yè)聯(lián)盟發(fā)展產(chǎn)業(yè)；發(fā)改委和信產(chǎn)部設(shè)立專項資金支持；國家密碼管理局公開SMS4密碼算法”等具體措施。從此，偃旗息鼓的WAPI再次吹響了進(jìn)軍號。

　　WAPI的發(fā)展

　　2006年3月7日，WAPI產(chǎn)業(yè)聯(lián)盟終于揭牌成立。有22家從事WLAN領(lǐng)域的芯片設(shè)計、系統(tǒng)研發(fā)、設(shè)備制造和運營服務(wù)的聯(lián)盟成員參與。隨后國家發(fā)改委組織20多個企業(yè)參加WAPI產(chǎn)業(yè)化專項，在中國政府的有力支持下，WAPI開始得到健康發(fā)展。

　　七年多來，通過產(chǎn)業(yè)群體的共同努力，包括標(biāo)準(zhǔn)、芯片、系統(tǒng)、終端、應(yīng)用、測試、運營等在內(nèi)的WAPI產(chǎn)業(yè)鏈已形成，并具備產(chǎn)業(yè)厚度，產(chǎn)品和系統(tǒng)的成熟度已得到充分驗證，WAPI已進(jìn)入到規(guī)模商用時期，自2009年起，基于市場和用戶的需求，安全、可運營、可管理的無線局域網(wǎng)——WAPI在中國起航。目前，具有WAPI能力的無線局域網(wǎng)芯片出貨量累計已超過40億顆，包括筆記本、PAD、手機(jī)、上網(wǎng)卡、電子書、家庭網(wǎng)關(guān)等在內(nèi)的WAPI產(chǎn)品型號已超過6000款，截至2012年底，國內(nèi)近4000款所有行貨智能手機(jī)均已支持WAPI功能，累計出貨量達(dá)到3億部。中國移動、中國電信、中國聯(lián)通三大運營商在建的無線局域網(wǎng)絡(luò)均支持WAPI功能，完全具備了推廣應(yīng)用的基礎(chǔ)。除公共寬帶無線運營網(wǎng)絡(luò)之外，WAPI應(yīng)用領(lǐng)域正迅速擴(kuò)展到航空、交通、電力、廣電、金融、醫(yī)療、教育、工商等諸多行業(yè)。

　　WAPI的特點

　　WAPI是全新的高可靠性安全認(rèn)證與保密體制，更可靠的鏈路層安全系統(tǒng)。其認(rèn)證機(jī)制是完整的無線用戶和無線接入點的雙向認(rèn)證，身份憑證為基于公鑰密碼體系的公鑰數(shù)字證書；其加密機(jī)制是高強(qiáng)度分組加密算法，采用可控的會話協(xié)商動態(tài)密鑰，可基于用戶、基于認(rèn)證、通信過程中動態(tài)更新，安全強(qiáng)度最高。因而獲得了高度評價，認(rèn)為WAPI與已有安全機(jī)制相比具有其獨特優(yōu)點，所形成的系列自主知識產(chǎn)權(quán)，具備技術(shù)先進(jìn)性，能適應(yīng)多種應(yīng)用環(huán)境并滿足大規(guī)模商用化需求，對推動我國無線網(wǎng)絡(luò)的應(yīng)用及產(chǎn)業(yè)化具有重大作用。

　　WAPI具有諸多重要特點：

　　◆雙向認(rèn)證機(jī)制，能夠確保用戶避免接入釣魚AP。

　　◆高效數(shù)據(jù)加密，保護(hù)數(shù)據(jù)安全。

　　◆用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用，組網(wǎng)便捷，易于擴(kuò)展。

　　◆支持Windows、Linux、andriod、Mac等操作系統(tǒng)。

　　◆提供與現(xiàn)有計費技術(shù)兼容的服務(wù)，可實現(xiàn)按時、按流量、包月等多種計費方式。

　　◆滿足家庭、企業(yè)、運營商等多種應(yīng)用模式。

　　◆在不同場合，應(yīng)用形式相同，使用方便，用戶易接受。

　　WAPI充分考慮了市場應(yīng)用模式，分為單點式和集中式兩種：單點式主要用于家庭和小型公司的小范圍應(yīng)用；集中式主要用于熱點地區(qū)和大型企業(yè)，可以和運營商的管理系統(tǒng)結(jié)合起來，共同搭建安全的無線應(yīng)用平臺。用戶可以在家里、公司、熱點地區(qū)應(yīng)用WLAN，互連互通尤為重要。中國全面采用WAPI可以徹底扭轉(zhuǎn)目前WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從根本上解決安全問題和兼容性問題。WAPI的實施，將會促進(jìn)產(chǎn)業(yè)的全面發(fā)展。這對開拓國內(nèi)WLAN市場無疑是個巨大的利好消息。

　　當(dāng)前運營存在的問題

　　由于運營商對公共無線網(wǎng)絡(luò)安全重視程度不高，對推廣應(yīng)用自主創(chuàng)新安全技術(shù)的重大意義認(rèn)識不夠等原因，正在建設(shè)并運營使用中的無線網(wǎng)絡(luò)中所具備的WAPI安全功能并未啟用，卻因循守舊仍然沿用具有嚴(yán)重安全漏洞的Wi-Fi 技術(shù)，導(dǎo)致手機(jī)端也無法使用安全功能，這致使原本支持的可管、可控、可追溯能力形同虛設(shè)，國家、企業(yè)和用戶的信息安全也就難以得到保障；這無異于自己家里有很好的防盜門、防盜鎖棄置不用，卻裝上人家預(yù)留機(jī)關(guān)暗藏漏洞的門窗，這就難怪美國“棱鏡”可以如此方便入侵我們的網(wǎng)絡(luò)系統(tǒng)了。我國的電信網(wǎng)與互聯(lián)網(wǎng)的安全防范為何如此脆弱，這就需要所有運營商認(rèn)真思考，決不能麻痹大意，給人以登堂入室之機(jī)。加上運營商在市場推廣中只字不提WAPI，卻大肆宣傳以美國產(chǎn)業(yè)組織Wi-Fi之名為當(dāng)前無線局域網(wǎng)的代稱，導(dǎo)致市場對WAPI認(rèn)知模糊，對WAPI當(dāng)前和未來發(fā)展產(chǎn)生了不利的影響，有可能使得政府、運營企業(yè)和產(chǎn)業(yè)多年來共同努力的成果付之東流。在當(dāng)前“我國公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)正在大規(guī)模快速部署，新形式國際經(jīng)濟(jì)體之間的不正當(dāng)競爭層出不窮”的大環(huán)境下，如果我國運營商等國有企業(yè)不重視、不大力支持自主創(chuàng)新，繼續(xù)在市場中排斥、邊緣化我國自主可控技術(shù)，這就相當(dāng)于幫助國外利益團(tuán)體繼續(xù)謀取中國市場的巨大商業(yè)利益，將使得我國自主可控技術(shù)被扼殺在新一輪市場起跑線上。而且，用不安全、不可控的Wi-Fi技術(shù)運營的全國信息網(wǎng)絡(luò)，將為更多的“棱鏡”事件提供可乘之機(jī)，那就罪過了。

　　立即推廣應(yīng)用WAPI的建議

　　好在我國三個運營商所建500多萬個WLAN熱點多數(shù)都具備WAPI功能，不需要另行建設(shè)，就像一個家庭的房子是現(xiàn)成的，只需換上防盜門、防盜鎖就行了。建議：

　　(1) 從2013年下半年開始貫徹WAPI強(qiáng)制性國家標(biāo)準(zhǔn)，摒棄宣傳推廣Wi-Fi，邊緣化WAPI的做法，重點抓好示范項目，通過統(tǒng)籌規(guī)劃、分步實施，使三家運營商的網(wǎng)絡(luò)成為可管可控可追溯的全國性網(wǎng)絡(luò)，以維護(hù)公眾信息安全不受侵害。

　　(2) 應(yīng)放開讓三種標(biāo)準(zhǔn)的手機(jī)全部加上WAPI功能，除了數(shù)據(jù)業(yè)務(wù)之外，而且允許語音業(yè)務(wù)，便利人民群眾上網(wǎng)通話，使其成為全國最為安全最為廉價的網(wǎng)絡(luò)。

　　(3) 在主管部門的通盤規(guī)劃下，協(xié)調(diào)三家運營商在每個地區(qū)的WLAN熱點布局，不要都擠在局部地點，這樣可以較快基本形成一個全國性的無線城市網(wǎng)絡(luò)，以保護(hù)運營商投資及利益。

　　以上所提并不足以概括建設(shè)中國安全網(wǎng)絡(luò)、保障國家自主可控信息安全的全面問題，作為拋磚引玉，希望能引起業(yè)界的重視，群策群力，在未來十年采取一系列正確得力的舉措，筑牢我國的籬笆，防范所有棱鏡之類的豺狼入侵，確保全國人民生活在免于恐懼的網(wǎng)絡(luò)環(huán)境。

　　作者：中國電子科技集團(tuán)公司第七研究所 教授級高工李進(jìn)良