李進(jìn)良:防范棱鏡監(jiān)控要把WAPI用起來(lái)

　　最近“棱鏡門”(代號(hào)PRISM)事件在國(guó)際社會(huì)間掀起軒然大波。

　　棱鏡靠什么“偷窺”人們的隱私？

　　靠個(gè)人智能手機(jī)和互聯(lián)網(wǎng)活動(dòng)。也就是一靠電信網(wǎng)，可進(jìn)入電信公司AT&T和Verizon等的通信線路、光纖機(jī)房里的設(shè)備收集所有的信息；二靠互聯(lián)網(wǎng)，通過(guò)“后門”可直接接入微軟、雅虎、Google等9家美國(guó)互聯(lián)網(wǎng)公司中心服務(wù)器進(jìn)行數(shù)據(jù)挖掘，而無(wú)需采取一般黑客們的入侵方法。

　　監(jiān)控的對(duì)象可以是任何使用這些服務(wù)商的美國(guó)境外客戶，以及與國(guó)外人士通信的美國(guó)公民。監(jiān)控的結(jié)果應(yīng)用之一就是《總統(tǒng)每日簡(jiǎn)報(bào)》

　　棱鏡事件給我國(guó)敲響了警鐘！

　　美國(guó)在竊取中國(guó)情報(bào)上，可謂煞費(fèi)苦心，長(zhǎng)期以來(lái)，美國(guó)情報(bào)機(jī)關(guān)對(duì)我國(guó)形成了 “360度無(wú)死角”網(wǎng)狀偵測(cè)系統(tǒng)。從戰(zhàn)略武器、軍事基地到常規(guī)軍演，中國(guó)各個(gè)層面的“軍事機(jī)密”，均在美國(guó)情報(bào)系統(tǒng)的監(jiān)視范圍內(nèi)。

　　特別是最近棱鏡門披露：過(guò)去15年中一直從事侵入中國(guó)境內(nèi)電腦和通訊系統(tǒng)的網(wǎng)絡(luò)攻擊，破解密碼和安全防火墻，獲取和復(fù)制目標(biāo)信息。銷售給我國(guó)大量的網(wǎng)絡(luò)設(shè)備、通信設(shè)備；參與了中國(guó)幾乎所有大型網(wǎng)絡(luò)項(xiàng)目的建設(shè)，包括163網(wǎng)、169網(wǎng)、中國(guó)金融骨干網(wǎng)、中國(guó)教育科研網(wǎng)，涉及政府、海關(guān)、郵政、金融、鐵路、民航、醫(yī)療、軍警等要害部門的網(wǎng)絡(luò)建設(shè)，以及中國(guó)電信、中國(guó)聯(lián)通和中國(guó)移動(dòng)等電信運(yùn)營(yíng)商的網(wǎng)絡(luò)基礎(chǔ)建設(shè)。利用這些在中國(guó)部署的網(wǎng)絡(luò)設(shè)備、通信設(shè)備等預(yù)留“后門”、植入惡意軟件的掌控與監(jiān)聽(tīng)能力，既可以從互聯(lián)網(wǎng)骨干的樞紐處收集元數(shù)據(jù)；必要時(shí)還可以對(duì)我國(guó)實(shí)施致命打擊。

　　“棱鏡門”事件給我國(guó)敲響了警鐘！不只是給國(guó)家安全、企業(yè)機(jī)宻造成嚴(yán)重的危害，而且讓每個(gè)上網(wǎng)的人，都被一張隱形大網(wǎng)籠罩著，如同皇帝的新衣中那個(gè)皇帝，裸露無(wú)余，讓人觸目驚心！我國(guó)政府和所有運(yùn)營(yíng)商、服務(wù)提供商早該反思了，我國(guó)的電信網(wǎng)與互聯(lián)網(wǎng)的安全防范為何如此脆弱，可以任由美國(guó)這樣肆無(wú)忌憚入侵我們的網(wǎng)絡(luò)和手機(jī)系統(tǒng)？ “棱鏡門”啟示我們不要忘記百年屈辱史，落后就要挨打，就會(huì)受制于人，八年抗戰(zhàn)中國(guó)人民所受的苦難我們這批耄耋老人感同身受，歷歷在目。到底該怎么辦？為了當(dāng)代和后代的幸福，決不能麻痹大意，更不應(yīng)開(kāi)門揖盜，我們要學(xué)會(huì)自力更生，要采取有力措施，建設(shè)國(guó)家自主創(chuàng)新的安全網(wǎng)絡(luò)迫在眉睫，必須筑牢確保信息安全的這個(gè)網(wǎng)絡(luò)籬笆，讓全國(guó)人民有安全感！但是必須深刻理解網(wǎng)絡(luò)安全、信息安全與國(guó)家安全息息相關(guān)，涉及技術(shù)、經(jīng)濟(jì)、法規(guī)與國(guó)防等方方面面，是一個(gè)非常龐大的系統(tǒng)工程，千頭萬(wàn)緒，非一朝一夕可以完善的。但我認(rèn)為國(guó)家可以立即采取行動(dòng)的有兩件事情：

　　一是4G 要用TD-LTE一統(tǒng)華夏，借此構(gòu)筑我國(guó)安全的移動(dòng)網(wǎng)(已另文發(fā)表)；

　　二是無(wú)線局域網(wǎng)要用WAPI取替Wi-Fi，借此構(gòu)筑我國(guó)安全的無(wú)線局域網(wǎng)。現(xiàn)階段我國(guó)三家運(yùn)營(yíng)商都在積極建設(shè)的無(wú)線局域網(wǎng)(WLAN)熱點(diǎn)總數(shù)達(dá)524萬(wàn)，已具有相當(dāng)?shù)囊?guī)模，遺憾的是雖大多具有WAPI(中國(guó)無(wú)線局域網(wǎng)的安全標(biāo)準(zhǔn))功能，卻都按Wi-Fi (美國(guó)無(wú)線局域網(wǎng)的標(biāo)準(zhǔn))在推廣應(yīng)用，本文將專門論述如下。

　　Wi-Fi的網(wǎng)絡(luò)安全性不容忽視

　　無(wú)線局域網(wǎng)中的數(shù)據(jù)是通過(guò)無(wú)線電進(jìn)行傳播的，所有在數(shù)據(jù)發(fā)射機(jī)覆蓋范圍內(nèi)的無(wú)線局域網(wǎng)終端設(shè)備都能接收到這些電波，因此不能采用類似有線網(wǎng)絡(luò)那樣的通過(guò)保護(hù)通信線路的方式來(lái)保護(hù)通信安全。

　　由于無(wú)線電通信特殊的輻射性質(zhì)，無(wú)線空間傳播信道的開(kāi)放性會(huì)導(dǎo)致多種不安全因素，包括假冒攻擊、網(wǎng)絡(luò)欺騙、信息竊取等等，這使網(wǎng)絡(luò)運(yùn)營(yíng)和通信信息的安全受到極大威脅。需要采取一系列安全措施，以防止信息被期望的接收者之外的另一些人輕易地截收，并防止對(duì)業(yè)務(wù)的欺詐性接入等等。

　　對(duì)于Wi-Fi來(lái)說(shuō)，自它誕生之日起，與其靈活便捷的優(yōu)勢(shì)共存的就是安全漏洞這個(gè)揮之不去的陰影。在國(guó)內(nèi)外出現(xiàn)的安全問(wèn)題屢見(jiàn)不鮮，并導(dǎo)致很多安全糾紛。Wi-Fi標(biāo)準(zhǔn)為此相繼采用了WEP、WPA、WPA 2、802.1x 、802.11i等方式試圖保證Wi-Fi安全，但WEP及其后續(xù)改進(jìn)方案均暴露出它嚴(yán)重的安全漏洞；更為嚴(yán)重的是，目前破解Wi-Fi安全標(biāo)準(zhǔn)的黑客工具很成熟，也很容易被一般用戶得到使用，在15分鐘內(nèi)就可被攻破，已被廣泛證實(shí)不安全。

　　WAPI的由來(lái)

　　無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)(WAPI，即WLAN Authentication and Privacy Infrastructure)是我國(guó)首個(gè)在無(wú)線網(wǎng)絡(luò)通信領(lǐng)域自主創(chuàng)新并擁有知識(shí)產(chǎn)權(quán)的安全接入技術(shù)，相比美國(guó)IEEE主導(dǎo)的802.11i安全技術(shù)(俗稱Wi-Fi)在協(xié)議安全性和安全管理上具有明顯的優(yōu)勢(shì)。為保障我國(guó)無(wú)線網(wǎng)絡(luò)和國(guó)家信息安全根本利益不受侵害，從市場(chǎng)和產(chǎn)業(yè)的需求出發(fā)，針對(duì)IEEE 802.11系列標(biāo)準(zhǔn)中存在嚴(yán)重的安全漏洞和版本不兼容的問(wèn)題，WAPI技術(shù)于2003年首先被我國(guó)無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)GB15629.11和GB15629.1102采納，同時(shí)，依據(jù)我國(guó)商用密碼管理的相關(guān)要求，WAPI安全協(xié)議與我國(guó)政府配給的密碼算法相結(jié)合使用構(gòu)成了無(wú)線局域網(wǎng)安全系統(tǒng)，并依法作為國(guó)家強(qiáng)制性標(biāo)準(zhǔn)予以頒布。

　　2003年底，我國(guó)主管部門發(fā)布了關(guān)于無(wú)線局域網(wǎng)強(qiáng)制性國(guó)家標(biāo)準(zhǔn)實(shí)施的公告。公告指出：從2004年2月1日開(kāi)始，禁止進(jìn)口、生產(chǎn)和銷售不符合強(qiáng)制性國(guó)家標(biāo)準(zhǔn)的無(wú)線局域網(wǎng)產(chǎn)品。對(duì)于2003年12月1日前已經(jīng)進(jìn)口或生產(chǎn)的以及簽訂有效合同的無(wú)線局域網(wǎng)產(chǎn)品，進(jìn)口、生產(chǎn)和銷售日期則寬限到2004年的6月1日

　　顯然，我國(guó)頒布實(shí)施WLAN國(guó)家安全標(biāo)準(zhǔn)是合情合理的，符合WTO的有關(guān)協(xié)議，為WLAN在國(guó)內(nèi)的健康發(fā)展提供了強(qiáng)有力的安全保障。但這件事，卻在世界上引起了一場(chǎng)軒然大波。先是Wi-Fi的核心成員、一家WLAN芯片廠商明確表示反對(duì)這一標(biāo)準(zhǔn)；接著， Wi-Fi聯(lián)盟主席威脅將停止向中國(guó)銷售Wi-Fi芯片；后來(lái)，美國(guó)政府的高層官員甚至發(fā)表講話，認(rèn)為中國(guó)政府制訂的這一標(biāo)準(zhǔn)“不合時(shí)宜”，要求中國(guó)政府重新考慮這個(gè)決定，等等。

　　遺憾的是在2004年4月舉行的中美商貿(mào)聯(lián)委會(huì)上，由于美國(guó)政府的壓力，我國(guó)政府為平衡各方面的利益，同意WAPI延期實(shí)施，美國(guó)網(wǎng)站卻別有用心改為無(wú)限期延長(zhǎng)實(shí)施�！盁o(wú)限期”三個(gè)字，大大挫傷了國(guó)內(nèi)企業(yè)自主創(chuàng)新的信心，導(dǎo)致產(chǎn)業(yè)化乏力，應(yīng)用進(jìn)展緩慢。3C認(rèn)證偃旗息鼓，WAPI產(chǎn)業(yè)整體沉寂，群情低落。

　　2004年標(biāo)準(zhǔn)延期后，在國(guó)務(wù)院安排下，國(guó)務(wù)院參事室在全國(guó)展開(kāi)了為期半年的WAPI專題調(diào)研后給予了高度肯定：“WAPI是我國(guó)科技創(chuàng)新在世界范圍內(nèi)具有重大意義和影響的標(biāo)志性的一個(gè)事件�！敝�后，2005年形成了由原信息產(chǎn)業(yè)部和國(guó)家發(fā)改委等組成的八部委部際聯(lián)席會(huì)議機(jī)制商討推進(jìn)WAPI事宜，并于2005年11月分別召開(kāi)兩次八部委部際會(huì)議，形成了“繼續(xù)頒布WAPI升級(jí)標(biāo)準(zhǔn)(仍為強(qiáng)制性)并向WTO/TBT緊急通報(bào)；政府采購(gòu)先行并引導(dǎo)電信運(yùn)營(yíng)使用；成立WAPI產(chǎn)業(yè)聯(lián)盟發(fā)展產(chǎn)業(yè)；發(fā)改委和信產(chǎn)部設(shè)立專項(xiàng)資金支持；國(guó)家密碼管理局公開(kāi)SMS4密碼算法”等具體措施。從此，偃旗息鼓的WAPI再次吹響了進(jìn)軍號(hào)。

　　WAPI的發(fā)展

　　2006年3月7日，WAPI產(chǎn)業(yè)聯(lián)盟終于揭牌成立。有22家從事WLAN領(lǐng)域的芯片設(shè)計(jì)、系統(tǒng)研發(fā)、設(shè)備制造和運(yùn)營(yíng)服務(wù)的聯(lián)盟成員參與。隨后國(guó)家發(fā)改委組織20多個(gè)企業(yè)參加WAPI產(chǎn)業(yè)化專項(xiàng)，在中國(guó)政府的有力支持下，WAPI開(kāi)始得到健康發(fā)展。

　　七年多來(lái)，通過(guò)產(chǎn)業(yè)群體的共同努力，包括標(biāo)準(zhǔn)、芯片、系統(tǒng)、終端、應(yīng)用、測(cè)試、運(yùn)營(yíng)等在內(nèi)的WAPI產(chǎn)業(yè)鏈已形成，并具備產(chǎn)業(yè)厚度，產(chǎn)品和系統(tǒng)的成熟度已得到充分驗(yàn)證，WAPI已進(jìn)入到規(guī)模商用時(shí)期，自2009年起，基于市場(chǎng)和用戶的需求，安全、可運(yùn)營(yíng)、可管理的無(wú)線局域網(wǎng)——WAPI在中國(guó)起航。目前，具有WAPI能力的無(wú)線局域網(wǎng)芯片出貨量累計(jì)已超過(guò)40億顆，包括筆記本、PAD、手機(jī)、上網(wǎng)卡、電子書、家庭網(wǎng)關(guān)等在內(nèi)的WAPI產(chǎn)品型號(hào)已超過(guò)6000款，截至2012年底，國(guó)內(nèi)近4000款所有行貨智能手機(jī)均已支持WAPI功能，累計(jì)出貨量達(dá)到3億部。中國(guó)移動(dòng)、中國(guó)電信、中國(guó)聯(lián)通三大運(yùn)營(yíng)商在建的無(wú)線局域網(wǎng)絡(luò)均支持WAPI功能，完全具備了推廣應(yīng)用的基礎(chǔ)。除公共寬帶無(wú)線運(yùn)營(yíng)網(wǎng)絡(luò)之外，WAPI應(yīng)用領(lǐng)域正迅速擴(kuò)展到航空、交通、電力、廣電、金融、醫(yī)療、教育、工商等諸多行業(yè)。

　　WAPI的特點(diǎn)

　　WAPI是全新的高可靠性安全認(rèn)證與保密體制，更可靠的鏈路層安全系統(tǒng)。其認(rèn)證機(jī)制是完整的無(wú)線用戶和無(wú)線接入點(diǎn)的雙向認(rèn)證，身份憑證為基于公鑰密碼體系的公鑰數(shù)字證書；其加密機(jī)制是高強(qiáng)度分組加密算法，采用可控的會(huì)話協(xié)商動(dòng)態(tài)密鑰，可基于用戶、基于認(rèn)證、通信過(guò)程中動(dòng)態(tài)更新，安全強(qiáng)度最高。因而獲得了高度評(píng)價(jià)，認(rèn)為WAPI與已有安全機(jī)制相比具有其獨(dú)特優(yōu)點(diǎn)，所形成的系列自主知識(shí)產(chǎn)權(quán)，具備技術(shù)先進(jìn)性，能適應(yīng)多種應(yīng)用環(huán)境并滿足大規(guī)模商用化需求，對(duì)推動(dòng)我國(guó)無(wú)線網(wǎng)絡(luò)的應(yīng)用及產(chǎn)業(yè)化具有重大作用。

　　WAPI具有諸多重要特點(diǎn)：

　　◆雙向認(rèn)證機(jī)制，能夠確保用戶避免接入釣魚(yú)AP。

　　◆高效數(shù)據(jù)加密，保護(hù)數(shù)據(jù)安全。

　　◆用戶只要安裝一張證書就可在覆蓋WLAN的不同地區(qū)漫游，方便用戶使用，組網(wǎng)便捷，易于擴(kuò)展。

　　◆支持Windows、Linux、andriod、Mac等操作系統(tǒng)。

　　◆提供與現(xiàn)有計(jì)費(fèi)技術(shù)兼容的服務(wù)，可實(shí)現(xiàn)按時(shí)、按流量、包月等多種計(jì)費(fèi)方式。

　　◆滿足家庭、企業(yè)、運(yùn)營(yíng)商等多種應(yīng)用模式。

　　◆在不同場(chǎng)合，應(yīng)用形式相同，使用方便，用戶易接受。

　　WAPI充分考慮了市場(chǎng)應(yīng)用模式，分為單點(diǎn)式和集中式兩種：?jiǎn)吸c(diǎn)式主要用于家庭和小型公司的小范圍應(yīng)用；集中式主要用于熱點(diǎn)地區(qū)和大型企業(yè)，可以和運(yùn)營(yíng)商的管理系統(tǒng)結(jié)合起來(lái)，共同搭建安全的無(wú)線應(yīng)用平臺(tái)。用戶可以在家里、公司、熱點(diǎn)地區(qū)應(yīng)用WLAN，互連互通尤為重要。中國(guó)全面采用WAPI可以徹底扭轉(zhuǎn)目前WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從根本上解決安全問(wèn)題和兼容性問(wèn)題。WAPI的實(shí)施，將會(huì)促進(jìn)產(chǎn)業(yè)的全面發(fā)展。這對(duì)開(kāi)拓國(guó)內(nèi)WLAN市場(chǎng)無(wú)疑是個(gè)巨大的利好消息。

　　當(dāng)前運(yùn)營(yíng)存在的問(wèn)題

　　由于運(yùn)營(yíng)商對(duì)公共無(wú)線網(wǎng)絡(luò)安全重視程度不高，對(duì)推廣應(yīng)用自主創(chuàng)新安全技術(shù)的重大意義認(rèn)識(shí)不夠等原因，正在建設(shè)并運(yùn)營(yíng)使用中的無(wú)線網(wǎng)絡(luò)中所具備的WAPI安全功能并未啟用，卻因循守舊仍然沿用具有嚴(yán)重安全漏洞的Wi-Fi 技術(shù)，導(dǎo)致手機(jī)端也無(wú)法使用安全功能，這致使原本支持的可管、可控、可追溯能力形同虛設(shè)，國(guó)家、企業(yè)和用戶的信息安全也就難以得到保障；這無(wú)異于自己家里有很好的防盜門、防盜鎖棄置不用，卻裝上人家預(yù)留機(jī)關(guān)暗藏漏洞的門窗，這就難怪美國(guó)“棱鏡”可以如此方便入侵我們的網(wǎng)絡(luò)系統(tǒng)了。我國(guó)的電信網(wǎng)與互聯(lián)網(wǎng)的安全防范為何如此脆弱，這就需要所有運(yùn)營(yíng)商認(rèn)真思考，決不能麻痹大意，給人以登堂入室之機(jī)。加上運(yùn)營(yíng)商在市場(chǎng)推廣中只字不提WAPI，卻大肆宣傳以美國(guó)產(chǎn)業(yè)組織Wi-Fi之名為當(dāng)前無(wú)線局域網(wǎng)的代稱，導(dǎo)致市場(chǎng)對(duì)WAPI認(rèn)知模糊，對(duì)WAPI當(dāng)前和未來(lái)發(fā)展產(chǎn)生了不利的影響，有可能使得政府、運(yùn)營(yíng)企業(yè)和產(chǎn)業(yè)多年來(lái)共同努力的成果付之東流。在當(dāng)前“我國(guó)公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)正在大規(guī)模快速部署，新形式國(guó)際經(jīng)濟(jì)體之間的不正當(dāng)競(jìng)爭(zhēng)層出不窮”的大環(huán)境下，如果我國(guó)運(yùn)營(yíng)商等國(guó)有企業(yè)不重視、不大力支持自主創(chuàng)新，繼續(xù)在市場(chǎng)中排斥、邊緣化我國(guó)自主可控技術(shù)，這就相當(dāng)于幫助國(guó)外利益團(tuán)體繼續(xù)謀取中國(guó)市場(chǎng)的巨大商業(yè)利益，將使得我國(guó)自主可控技術(shù)被扼殺在新一輪市場(chǎng)起跑線上。而且，用不安全、不可控的Wi-Fi技術(shù)運(yùn)營(yíng)的全國(guó)信息網(wǎng)絡(luò)，將為更多的“棱鏡”事件提供可乘之機(jī)，那就罪過(guò)了。

　　立即推廣應(yīng)用WAPI的建議

　　好在我國(guó)三個(gè)運(yùn)營(yíng)商所建500多萬(wàn)個(gè)WLAN熱點(diǎn)多數(shù)都具備WAPI功能，不需要另行建設(shè)，就像一個(gè)家庭的房子是現(xiàn)成的，只需換上防盜門、防盜鎖就行了。建議：

　　(1) 從2013年下半年開(kāi)始貫徹WAPI強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，摒棄宣傳推廣Wi-Fi，邊緣化WAPI的做法，重點(diǎn)抓好示范項(xiàng)目，通過(guò)統(tǒng)籌規(guī)劃、分步實(shí)施，使三家運(yùn)營(yíng)商的網(wǎng)絡(luò)成為可管可控可追溯的全國(guó)性網(wǎng)絡(luò)，以維護(hù)公眾信息安全不受侵害。

　　(2) 應(yīng)放開(kāi)讓三種標(biāo)準(zhǔn)的手機(jī)全部加上WAPI功能，除了數(shù)據(jù)業(yè)務(wù)之外，而且允許語(yǔ)音業(yè)務(wù)，便利人民群眾上網(wǎng)通話，使其成為全國(guó)最為安全最為廉價(jià)的網(wǎng)絡(luò)。

　　(3) 在主管部門的通盤規(guī)劃下，協(xié)調(diào)三家運(yùn)營(yíng)商在每個(gè)地區(qū)的WLAN熱點(diǎn)布局，不要都擠在局部地點(diǎn)，這樣可以較快基本形成一個(gè)全國(guó)性的無(wú)線城市網(wǎng)絡(luò)，以保護(hù)運(yùn)營(yíng)商投資及利益。

　　以上所提并不足以概括建設(shè)中國(guó)安全網(wǎng)絡(luò)、保障國(guó)家自主可控信息安全的全面問(wèn)題，作為拋磚引玉，希望能引起業(yè)界的重視，群策群力，在未來(lái)十年采取一系列正確得力的舉措，筑牢我國(guó)的籬笆，防范所有棱鏡之類的豺狼入侵，確保全國(guó)人民生活在免于恐懼的網(wǎng)絡(luò)環(huán)境。

　　作者：中國(guó)電子科技集團(tuán)公司第七研究所 教授級(jí)高工李進(jìn)良