tft每日頭條

 > 生活

 > 華為發布5g随行wifi系列

華為發布5g随行wifi系列

生活 更新时间:2024-12-29 03:05:44

本文轉自:瞭望智庫(zhczyj)文 | 張弛科普作者,通信博士,筆名“奧卡姆剃刀”

5月26日,據相關媒體報道,Wi-Fi聯盟、SD協會、外圍部件互連專業組織PCI-SIG、USB-IF組織、固态技術協會(JEDEC)等暫停華為會員資格或參與會員活動。

外界擔心,被排除在行業标準制定組織之外,可能給華為的未來發展帶來沖擊。

華為在最新聲明中稱,最近個别标準與産業組織受政治影響而暫停與華為的部分合作,我們對此表示遺憾,但這不會影響華為的正常業務運作及對客戶提供高質量産品和服務。

對此,有專家認為,暫停華為會員資格的組織雖号稱“國際組織”,但實質是坐落于美國、由美國發起和主導,并由多國參與的組織。會員資格被暫停後,華為雖然或将不能參與這些組織舉辦的會議,但影響有限。國際行業标準制定組織若将華為長期排除在外,其影響力及權威性勢必降低。未來,華為可以聯合其他廠商形成新的組織聯盟,繼續在國際行業标準制定領域發聲。

國際标準的制定到底有多重要?可以說,國際标準的争奪不亞于一場“戰争”。

就拿這次暫停華為會員資格的Wi-Fi聯盟來說,其所創立的Wi-Fi和中國的WAPI之間的技術标準之争,就有很多國人不知道的驚人真相!

1

美國Wi-Fi和中國WAPI誰更安全?先得搞懂這個問題!

Wi-Fi是美國行業标準組織提出的IEEE802.11系列标準,而WAPI是中國無線局域網安全強制性标準。

那美國的Wi-Fi和中國的WAPI,到底誰更安全呢?

在讨論這個問題之前,我們有必要先搞明白“層”的概念。

國際标準化組織把信息系統從物理層到應用層分成了七層結構。

我們不妨舉一個熟知的例子,當你用微信給朋友發一條信息“在嗎?”時,朋友的手機馬上就顯示這條信息。

這個過程看似簡單,其實不然。

華為發布5g随行wifi系列(華為突然被踢出局)1

你在手機上打出“在嗎?”這個詞語,這隻是應用層的實現,信息要一層接一層地組裝和下傳,最終通過物理層的電磁波把信号傳到對方設備上。對方再從設備的物理層開始,把信号沿着反向順序逐層解析和上傳,恢複出原始信息,最終在你朋友的微信等應用軟件上顯示出來。

這種分層方法是人類處理複雜勞動時最常用的辦法。比如糧食生産就經曆了品種選育、耕地播種、澆水施肥、收割處理、食品加工等多個階段。每個階段都有不同工作,也都有不同的生産規範和安全标準,隻有逐層配合協調工作,糧食才能生産出來。

信息系統的構建也是如此,這不是單一工種能夠完全實現的,從物理層到應用層,每個層面都有不同的功能要求和技術規範,并由不同專業的技術人員來實現。

分層的優點就在于,一個設備隻要符合了它所在層的接口規範,這個設備就具備了承接上層和銜接下層的基礎,各層就能以标準模塊的形式存在,搭建系統時可以像摞積木一樣方便。

稍有生活常識的人就能體會到,逐級檢查是最安全的,例如,乘坐飛機時先驗票,可以基本排除有人假冒乘客的危險;确定是合法乘客後再進行安檢,進一步篩查違禁物品。逐級就是分層,每個層的檢查重點不同,方法和标準也都不同。如果不分層,把所有人都放在候機區隻進行一次檢查,危險系數就大大增加了。

信息安全有個規律:底層漏洞靠上層很難彌補,而上層的加密防護很容易被從底層突破。例如,軍事安全領域中有一種旁路攻擊技術,軍用系統的加密方法很複雜,在應用層面上破密基本不可能,但是,無論如何複雜,最終都能通過某個芯片某個管腳(例如圖中的紅色管腳)的某種電磁波信号來“開啟”這個動作。

華為發布5g随行wifi系列(華為突然被踢出局)2

如果攻擊者找到這個管腳,偷偷安裝一個很精密的信号采集探頭,把正常開啟的物理信号采集下來,不管應用層的加密算法和密鑰如何變化,隻要把這個物理信号重新加載到這個管腳上,複雜的加密系統就被繞過去了。

這就好比是小偷偷汽車,不管鑰匙做得多複雜,隻要把發動機的點火線扯出來就能對着火。

又如廚師蒸饅頭,在整個生産過程中有不同層次的安全生産标準和規範,收割的小麥先清除雜物,然後要脫殼……每一道工序都符合安全标準,廚子才能拿到安全衛生的面粉去蒸饅頭。面沒發好或者堿放多了導緻饅頭又粘又黃,這是廚子的責任。分辨小麥是雜交還是轉基因就不是廚子的職責了。

網絡信息安全也是如此,每個層面都有不同的安全主題,相應有不同的安全标準,各層次之間相互支撐、相互配合,但是不能相互替代。

那些認為能把底層安全隐患交給上層來解決的網友們,缺乏信息系統理論的基本常識。

2

美國的Wi-Fi有個很緻命的缺陷

誰在維護信息安全?

估計大家想到的是防病毒軟件公司和提供網盤服務的公司,畢竟這些公司的工作是在與用戶直接打交道的應用層,大家都知道。

其實還有很多安全公司工作在信息系統的底層,他們的職責更基礎也更重要,隻因不跟公衆直接打交道而不被熟知。

如果信息網絡系統底層出了安全問題,就超出了防病毒軟件公司的工作層面,他們能做的也隻是盡量彌補而不是根治。這好比肝病導緻了病人臉色發黃,病人就該找醫生去醫治肝髒,而不是找美容師往臉上抹粉。

在網絡安全問題上,從物理層、鍊路層到應用層,每個層都有自己的安全挑戰,無論美國的Wi-Fi,還是中國的WAPI,它們都工作于鍊路層。鍊路層的安全挑戰包括假基站、非法終端接入、數據監聽、重放攻擊、篡改、拒絕服務攻擊等諸多問題。這些挑戰對于鍊路層上支持承載的任何應用都是存在的,包括微信、微博和支付,等等。

因此,鍊路層需要自身的安全技術,不能将安全隐患遺留給上層應用去解決。

Wi-Fi的安全就是一個最明顯的例子,2015年和2016年央視“315晚會”連續兩年曝光了Wi-Fi的安全漏洞,國内互聯網安全公司對此高度重視,但是直到現在這個問題依然沒有被完全解決。

為什麼呢?因為Wi-Fi的安全漏洞出現在鍊路層,要在鍊路層進行解決,僅靠對上層的修補并不能徹底解決問題。

于是,Wi-Fi聯盟發現WEP(Wi-fi的一種密碼保護模式)不安全後,采用WPA和WPA2來進行彌補,這的确算是在鍊路層解決鍊路層的問題。然而,結果卻讓人遺憾,安全隐患隻是得到了緩解,并沒有得到根治。

這又是為什麼呢?

根本原因是Wi-Fi的安全問題出在鍊路層的“二元安全架構”,這種架構已滿足不了新形勢下的網絡安全要求。

很多讀者一定會問,既然問題已經找到,那把二元架構換掉了不就安全了?

問題就在于,這種基本架構是改不掉的。這就好比房子的承重牆和大梁都建好了,無論後期怎麼裝修,房子的框架是變不了的。

二元架構問題到底是怎麼回事呢?

這要從20世紀90年代中期Wi-Fi設計之初說起,那時的接入設備一般都是龐大的有線路由器,無線應用還非常罕見,現在很常見的“僞造無線接入的基站”在那時簡直就是“黑科技”,所以,在設計時根本就沒考慮這事。

當時的安全需求隻是基站對終端的合法性進行鑒别,并依據鑒别結果确定是否允許終端接入。通俗地說,就是基站決定讓誰上網、不讓誰上網。因此,當時采取的是單向鑒别結構,無線接入點(即我們熟悉的無線路由器)對終端進行鑒别,而終端卻并不對接入點進行上行鑒别。

這也是電信業百年以來的慣性使然,有其曆史的局限性。

華為發布5g随行wifi系列(華為突然被踢出局)3

這種架構的工作原理是:接入點确定并向合法終端分發了共享密鑰,終端和接入點用共享密鑰進行鑒别和保密通信,但終端無法判斷接入點是否合法,這就為“釣魚”和中間人攻擊提供了機會。

華為發布5g随行wifi系列(華為突然被踢出局)4

上文提到的兩屆央視“315晚會”的Wi-Fi安全警示說的就是這種危險——黑客設置“釣魚”接入點,誘導用戶手機登錄,然後獲取用戶手機裡的個人隐私。

3

中國的WAPI到底什麼水平?

當時的研發人員忽視了這種危險,也就沒有進行針對性的安全設計。當然,我們不能跨越時空去譴責前人,但這個架構性的安全隐患是客觀存在的。

随着時間推移,無線接入點的應用越來越普及,Wi-Fi的安全問題随之愈加突出,Wi-Fi聯盟被迫采用了新的安全機制,用WPA和WPA2代替了WEP,采用802.1x來實現無線局域網的鑒别和訪問控制。

簡單地說,這種模式就是增加了一個實體性的鑒别服務器,與接入點綁定在了一起,默認兩者相互可信,形成了相對于終端的網絡端,在形式上實現了終端和網絡端之間的雙向鑒别,安全性比以前得到了提高。

華為發布5g随行wifi系列(華為突然被踢出局)5

雖然有所發展,但其安全架構實質還是二元鑒别架構,危險并未被解除。

而且,新結構有個重要問題:無線接入點還是沒有獨立的身份,它與鑒别服務器之間的通信是透明傳送,接入點隻是幫助終端和鑒别服務器之間形成了雙向鑒别,而終端與接入點之間卻并沒有形成雙向鑒别,“釣魚”和中間人攻擊風險依然存在,系統維護和管理的代價更高——由于依賴于接入點和鑒别服務器的“強綁定”,在接入點和鑒别服務器之間也引入了新的攻擊點。

我們不妨舉個例子,二元架構的鑒别就像學生拿着錄取通知書去大學報道,出了火車站就見到了舉着大學招牌的接站人。如果沒有那塊寫着大學名稱的招牌,學生不能确認接站人是不是自己要找的;如果沒有那張通知書,接站人也不能确認學生就是錄取通知書上的那個人。通知書和招牌就好比共享密鑰,能讓雙方互相進行确認。

然而,這種身份鑒别模式并不安全。我有個同事就曾在接站人身份鑒别方面上了當,他出站後遇到了舉着他姓名牌的接站人,于是放心地把行李交給此人,結果三拐兩拐就跟丢了。真相是騙子僞造了真接站人的牌子,就把同事給釣到了。

前面我們也提到了,Wi-Fi聯盟的專家明白這個缺陷,但“二元架構”這條技術路線在Wi-Fi設計之初就确定了,無論如何修改,都無法颠覆最初的設計,必須要做到向後兼容,不能改得以前的設備都不能用了。

這是沒有辦法的事,20多年前對安全技術認識的局限性是客觀存在的。

被美國使用各種手段強力抵制多年的中國發明的WAPI協議,在設計之初就提出了與Wi-Fi完全不同的“三元對等安全架構”,并精細設計了傳遞協議,不存在這個曆史“包袱”。

華為發布5g随行wifi系列(華為突然被踢出局)6

具體說來,這種三元架構是通過引入第三方的方式,實現了終端和接入點之間的直接雙向鑒别,“釣魚”和中間人攻擊無法實施,因此,從結構根源上防止了欺詐性的攻擊。

這相當于多了個公證人,他把雙方與衆不同的體貌特征做成數字簽名,然後分别核實,這就不會誤認了。

很明顯,三元架構比二元架構更安全。

這種三元架構采取了五步鑒别的模式,具體過程是這樣的:

華為發布5g随行wifi系列(華為突然被踢出局)7

第一步,由接入點向終端發消息“鑒證身份開始”;

第二步,終端發消息回答接入點“這是我的身份信息,請鑒别,并請給我看第三方對你的鑒别身份鑒别結果”;

第三步,接入點向鑒别服務器發消息“這是我和終端的身份信息,請鑒别并反饋結果”;

第四步,鑒别服務器給接入點發消息“這是對你和終端的身份鑒别結果”,此時接入點就知道了終端身份是否通過了鑒别;

第五步,接入點給終端發消息“這是我的身份鑒别結果”,此時終端就知道了接入點身份是否通過了鑒别。

這五步信息的傳遞設計首先要考慮它是通信協議系統的分系統,要與通信協議協同。并且,它運用公鑰密碼學原理,還包括集成數字證書技術,以提升終端和接入點雙方身份的真實性。

什麼是數字證書?

數字證書跟我們常見的用戶名和密碼完全不是一回事,用戶名和密碼的體制非常不安全,很可能洩露給犯罪分子。

你在訪問銀行網站時,會在浏覽器上看到一個小挂鎖的标志,點開就會發現是一個數字證書。WAPI采用這種銀行級别鑒别所用的數字證書作為載體,它不僅能保證身份的真實性,還能保證操作的不可抵賴性。

什麼是“不可抵賴”?

數字證書不僅能幫用戶核實接入點的真實性,還能确認是對方真實身份在操作,雙方都不能抵賴,從身份和内容兩個方面保證了信息交流的真實性。

不要小瞧這種三元架構中的五步實體鑒别方法,它曾于2010年6月被國際标準化組織通過,成為國際标準。這是我國在基礎性信息安全領域的第一個國際标準,也是全球範圍内非對稱實體鑒别領域在過去十餘年内的唯一技術,它的雙向身份鑒别可以徹底解決Wi-Fi一類的先天性二元鑒别漏洞。

4

争取底層架構的主導權事關重大!

WAPI比Wi-Fi更安全,這是三元架構所決定的,因為它的技術優勢而遭遇美國強力阻撓、抵制,在全球推廣受到了影響。

技術标準的先發優勢非常重要,一旦被推廣起來,即使發現了嚴重問題,由于行業已經被它綁架,很難改弦更張。

美國政府在全球範圍内強力推廣Wi-Fi,并阻撓抵制歐洲和中國的同類技術,等全球市場都被其占領後再放手,競争者們很難扭轉局面。

現在,公衆隻知道Wi-Fi,其實當初有多種同類技術都不比Wi-Fi差,甚至更有優勢。除了中國的WAPI之外,歐洲的HiperLAN也是一項。

無論是服務質量、速率、越區切換、安全保密,HiperLAN都優于Wi-Fi,但它的命運還不如WAPI。

當年,HiperLAN被忽悠到美國控制的标準組織IEEE去搞标準化,搞着搞着,美國企業主導的技術方案成了正式标準,HiperLAN技術則活生生地被拖垮了。

2003年,IEEE的一份内部文檔中指出:戰争要一場一場打,WAPI就是下一個(歐洲的HiperLan是上一個)。

要向全球推廣技術标準,除了技術質量過硬,還需要具備兩點條件:一是政府引導,二是産業協同生态建設。美國這兩手都很硬,Wi-Fi被集成到當時的英特爾迅馳處理器上,通過CPU的全球壟斷把Wi-Fi标準推廣起來,即便不安全也能讓話語權掌握在美國手上。

中國在推廣WAPI标準方面兩手都比較欠缺,單就建立國内産業協同生态來說,在當時就很困難,這似乎與2016年11月華為主導的Polar碼被3GPP認可成為5G eMBB場景的控制信道編碼形成了鮮明的對比。

華為是全球第一大電信設備商,其科研投入在同類企業中遙遙領先,在各種國際電信組織中都有話語權。當時,在全球四大電信設備商中,華為第一,中興第四,這兩家中國企業占據了全球近一半的電信設備市場。中興在這場5G技術标準争奪戰中力挺華為,兩大國際電信巨頭合力取勝是很正常的事。

對比Polar碼和WAPI這兩項中國人争取的技術标準,隻是性質略有不同。簡單來說,Polar碼是底層技術應用創新,而WAPI是底層技術原始創新。

華為發布5g随行wifi系列(華為突然被踢出局)8

業内通常認為底層的發明更重要——上層的發明是“基于網絡的發明”,而底層的發明則是“發明網絡的本身”。這好比房屋的建築與裝修,用PVC管替代鑄鐵管是很好的發明,用塑鋼窗戶替代木窗也是很好的發明,但都不如用鋼筋水泥結構替代磚石結構更重要,因為後者是底層的發明,是深刻影響全系統的關鍵因素。

WAPI和Polar碼均屬底層發明,但受到的待遇卻大相徑庭:Polar碼得到的是一片贊聲,WAPI得到的是一片奚落。

這是為什麼呢?

按筆者的理解,十多年前我們在自主技術方面還缺乏自信,大多數為Polar碼喝彩的人對這種碼一無所知,隻是看“意見領袖”們說好,也就跟風表達自豪;當年大多數嘲諷WAPI的人對其核心的三元對等架構并不了解。

發明WAPI的公司叫西電捷通,由西安電子科技大學的國家重點實驗室的班底構成,擁有600多項發明專利、多項國際技術标準,得到過世界知識産權組織和國家知識産權局的金獎。更值得一提的是,早在10多年前,西電捷通就幹了與Polar碼同樣重要的事。但是,作為一個百十人規模的小公司,無論十多年前還是今天,都難以與華為的影響力相提并論。

争取國際标準重要,推廣已經被授權的國際标準更重要。

說到WAPI的推廣,總有些網友調侃WAPI折騰了十年都沒有應用起來。

這其實是個常見的誤解。

WAPI核心技術作為國際标準化組織通過的國際标準,早已内置在全球範圍内的所有無線局域網芯片中,已經做到了無線接入領域内的普遍應用。這就像安全帶,已作為标準配置裝到了汽車裡,在行業内普遍應用;至于駕駛員系不系安全帶,是個人問題,需要公共安全秩序管理者去促進解決,安全帶發明者不需要對此事負責。

華為發布5g随行wifi系列(華為突然被踢出局)9

再比如手機都内置了GPS芯片,提供了普遍使用的技術條件,這就可以說GPS在手機上已經全面應用。WAPI的全面應用也是同理,包括蘋果在内,所有手機裡都内置着WAPI,區别隻在于用戶使用率的高低。

WAPI雖然已經普遍應用,但用戶使用率較低,除了Wi-Fi影響力高等外部原因外,其部署使用也面臨挑戰,核心問題就是為了安全而采用了證書,證書發放過程有些麻煩,而且比較專業,一般用戶是搞不定的。好在該使用環節現在已經有了改進,首次發布時需要配置,以後再使用就會自動處理了。

與WAPI帶來的安全優勢相比,這一點麻煩就顯得微不足道。

出于信息安全的考慮,軍隊等特殊行業的無線接入網禁止使用Wi-Fi,這對WAPI的發展是一個機會。

有網友擔心WAPI的使用成本會增加,其實根本無需擔心,盡管WAPI是個複雜的安全協議,但協議已在芯片設備軟硬件内嵌入,早已内置到手機裡了。這類似手機内原生的基本功能,你不用時它就在手機裡駐留着,使用時隻會帶來益處,也不會多花用戶一分錢。

我為什麼關注WAPI?不僅僅因為它是國産國際标準,更關鍵的在于,它是構成網絡本身的底層技術研發。

這種計算機網絡基礎技術架構層面的國際标準,中國經曆過标準與産業推動的目前隻有這一個,如何持續的發展産業和使用部署,我們沒有經驗,政府若不加強引導,隻靠勢單力薄的國内産業去跟美國政府及其産業巨頭硬扛,肯定也不行。

争取底層架構的主導權是一件大事,每個人都應該了解。

中國科技發展迅速,現在已經從上層的技術創新,逐漸下潛到底層的網絡架構,這是從網絡應用到定義網絡的重大變化,面臨的國際競争會更加劇烈。

這個坎必須得邁過,否則就隻能在他人定義的規則下競争。

本文中除标明來源的圖片,其餘均來自網絡公開渠道,不能識别其來源,如有版權争議,請聯系公号方。

欄目主編:陶峰 文字編輯:李林蔚 題圖來源:視覺中國 圖片編輯:朱瓅

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关生活资讯推荐

热门生活资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved