最近“棱镜门”(代号PRISM)事件在国际社会间掀起轩然大波。
棱镜靠什么“偷窥”人们的隐私?
靠个人智能手机和互联网活动。也就是一靠电信网,可进入电信公司AT&T和Verizon等的通信线路、光纤机房里的设备收集所有的信息;二靠互联网,通过“后门”可直接接入微软、雅虎、Google等9家美国互联网公司中心服务器进行数据挖掘,而无需采取一般黑客们的入侵方法。
监控的对象可以是任何使用这些服务商的美国境外客户,以及与国外人士通信的美国公民。监控的结果应用之一就是《总统每日简报》
棱镜事件给我国敲响了警钟!
美国在窃取中国情报上,可谓煞费苦心,长期以来,美国情报机关对我国形成了 “360度无死角”网状侦测系统。从战略武器、军事基地到常规军演,中国各个层面的“军事机密”,均在美国情报系统的监视范围内。
特别是最近棱镜门披露:过去15年中一直从事侵入中国境内电脑和通讯系统的网络攻击,破解密码和安全防火墙,获取和复制目标信息。销售给我国大量的网络设备、通信设备;参与了中国几乎所有大型网络项目的建设,包括163网、169网、中国金融骨干网、中国教育科研网,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设,以及中国电信、中国联通和中国移动等电信运营商的网络基础建设。利用这些在中国部署的网络设备、通信设备等预留“后门”、植入恶意软件的掌控与监听能力,既可以从互联网骨干的枢纽处收集元数据;必要时还可以对我国实施致命打击。
“棱镜门”事件给我国敲响了警钟!不只是给国家安全、企业机宻造成严重的危害,而且让每个上网的人,都被一张隐形大网笼罩着,如同皇帝的新衣中那个皇帝,裸露无余,让人触目惊心!我国政府和所有运营商、服务提供商早该反思了,我国的电信网与互联网的安全防范为何如此脆弱,可以任由美国这样肆无忌惮入侵我们的网络和手机系统? “棱镜门”启示我们不要忘记百年屈辱史,落后就要挨打,就会受制于人,八年抗战中国人民所受的苦难我们这批耄耋老人感同身受,历历在目。到底该怎么办?为了当代和后代的幸福,决不能麻痹大意,更不应开门揖盗,我们要学会自力更生,要采取有力措施,建设国家自主创新的安全网络迫在眉睫,必须筑牢确保信息安全的这个网络篱笆,让全国人民有安全感!但是必须深刻理解网络安全、信息安全与国家安全息息相关,涉及技术、经济、法规与国防等方方面面,是一个非常庞大的系统工程,千头万绪,非一朝一夕可以完善的。但我认为国家可以立即采取行动的有两件事情:
一是4G 要用TD-LTE一统华夏,借此构筑我国安全的移动网
二是无线局域网要用WAPI取替Wi-Fi,借此构筑我国安全的无线局域网。现阶段我国三家运营商都在积极建设的无线局域网(WLAN)热点总数达524万,已具有相当的规模,遗憾的是虽大多具有WAPI(中国无线局域网的安全标准)功能,却都按Wi-Fi (美国无线局域网的标准)在推广应用,本文将专门论述如下。
Wi-Fi的网络安全性不容忽视
无线局域网中的数据是通过无线电进行传播的,所有在数据发射机覆盖范围内的无线局域网终端设备都能接收到这些电波,因此不能采用类似有线网络那样的通过保护通信线路的方式来保护通信安全。
由于无线电通信特殊的辐射性质,无线空间传播信道的开放性会导致多种不安全因素,包括假冒攻击、网络欺骗、信息窃取等等,这使网络运营和通信信息的安全受到极大威胁。需要采取一系列安全措施,以防止信息被期望的接收者之外的另一些人轻易地截收,并防止对业务的欺诈性接入等等。
对于Wi-Fi来说,自它诞生之日起,与其灵活便捷的优势共存的就是安全漏洞这个挥之不去的阴影。在国内外出现的安全问题屡见不鲜,并导致很多安全纠纷。Wi-Fi标准为此相继采用了WEP、WPA、WPA 2、802.1x 、802.11i等方式试图保证Wi-Fi安全,但WEP及其后续改进方案均暴露出它严重的安全漏洞;更为严重的是,目前破解Wi-Fi安全标准的黑客工具很成熟,也很容易被一般用户得到使用,在15分钟内就可被攻破,已被广泛证实不安全。
WAPI的由来
无线局域网鉴别和保密基础结构(WAPI,即WLAN Authentication and Privacy Infrastructure)是我国首个在无线网络通信领域自主创新并拥有知识产权的安全接入技术,相比美国IEEE主导的802.11i安全技术(俗称Wi-Fi)在协议安全性和安全管理上具有明显的优势。为保障我国无线网络和国家信息安全根本利益不受侵害,从市场和产业的需求出发,针对IEEE 802.11系列标准中存在严重的安全漏洞和版本不兼容的问题,WAPI技术于2003年首先被我国无线局域网国家标准GB15629.11和GB15629.1102采纳,同时,依据我国商用密码管理的相关要求,WAPI安全协议与我国政府配给的密码算法相结合使用构成了无线局域网安全系统,并依法作为国家强制性标准予以颁布。
2003年底,我国主管部门发布了关于无线局域网强制性国家标准实施的公告。公告指出:从2004年2月1日开始,禁止进口、生产和销售不符合强制性国家标准的无线局域网产品。对于2003年12月1日前已经进口或生产的以及签订有效合同的无线局域网产品,进口、生产和销售日期则宽限到2004年的6月1日
显然,我国颁布实施WLAN国家安全标准是合情合理的,符合WTO的有关协议,为WLAN在国内的健康发展提供了强有力的安全保障。但这件事,却在世界上引起了一场轩然大波。先是Wi-Fi的核心成员、一家WLAN芯片厂商明确表示反对这一标准;接着, Wi-Fi联盟主席威胁将停止向中国销售Wi-Fi芯片;后来,美国政府的高层官员甚至发表讲话,认为中国政府制订的这一标准“不合时宜”,要求中国政府重新考虑这个决定,等等。
遗憾的是在2004年4月举行的中美商贸联委会上,由于美国政府的压力,我国政府为平衡各方面的利益,同意WAPI延期实施,美国网站却别有用心改为无限期延长实施。“无限期”三个字,大大挫伤了国内企业自主创新的信心,导致产业化乏力,应用进展缓慢。3C认证偃旗息鼓,WAPI产业整体沉寂,群情低落。
2004年标准延期后,在国务院安排下,国务院参事室在全国展开了为期半年的WAPI专题调研后给予了高度肯定:“WAPI是我国科技创新在世界范围内具有重大意义和影响的标志性的一个事件。”之后,2005年形成了由原信息产业部和国家发改委等组成的八部委部际联席会议机制商讨推进WAPI事宜,并于2005年11月分别召开两次八部委部际会议,形成了“继续颁布WAPI升级标准(仍为强制性)并向WTO/TBT紧急通报;政府采购先行并引导电信运营使用;成立WAPI产业联盟发展产业;发改委和信产部设立专项资金支持;国家密码管理局公开SMS4密码算法”等具体措施。从此,偃旗息鼓的WAPI再次吹响了进军号。
WAPI的发展
2006年3月7日,WAPI产业联盟终于揭牌成立。有22家从事WLAN领域的芯片设计、系统研发、设备制造和运营服务的联盟成员参与。随后国家发改委组织20多个企业参加WAPI产业化专项,在中国政府的有力支持下,WAPI开始得到健康发展。
七年多来,通过产业群体的共同努力,包括标准、芯片、系统、终端、应用、测试、运营等在内的WAPI产业链已形成,并具备产业厚度,产品和系统的成熟度已得到充分验证,WAPI已进入到规模商用时期,自2009年起,基于市场和用户的需求,安全、可运营、可管理的无线局域网——WAPI在中国起航。目前,具有WAPI能力的无线局域网芯片出货量累计已超过40亿颗,包括笔记本、PAD、手机、上网卡、电子书、家庭网关等在内的WAPI产品型号已超过6000款,截至2012年底,国内近4000款所有行货智能手机均已支持WAPI功能,累计出货量达到3亿部。中国移动、中国电信、中国联通三大运营商在建的无线局域网络均支持WAPI功能,完全具备了推广应用的基础。除公共宽带无线运营网络之外,WAPI应用领域正迅速扩展到航空、交通、电力、广电、金融、医疗、教育、工商等诸多行业。
WAPI的特点
WAPI是全新的高可靠性安全认证与保密体制,更可靠的链路层安全系统。其认证机制是完整的无线用户和无线接入点的双向认证,身份凭证为基于公钥密码体系的公钥数字证书;其加密机制是高强度分组加密算法,采用可控的会话协商动态密钥,可基于用户、基于认证、通信过程中动态更新,安全强度最高。因而获得了高度评价,认为WAPI与已有安全机制相比具有其独特优点,所形成的系列自主知识产权,具备技术先进性,能适应多种应用环境并满足大规模商用化需求,对推动我国无线网络的应用及产业化具有重大作用。
WAPI具有诸多重要特点:
双向认证机制,能够确保用户避免接入钓鱼AP。
高效数据加密,保护数据安全。
用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用,组网便捷,易于扩展。
支持Windows、Linux、andriod、Mac等操作系统。
提供与现有计费技术兼容的服务,可实现按时、按流量、包月等多种计费方式。
满足家庭、企业、运营商等多种应用模式。
在不同场合,应用形式相同,使用方便,用户易接受。
WAPI充分考虑了市场应用模式,分为单点式和集中式两种:单点式主要用于家庭和小型公司的小范围应用;集中式主要用于热点地区和大型企业,可以和运营商的管理系统结合起来,共同搭建安全的无线应用平台。用户可以在家里、公司、热点地区应用WLAN,互连互通尤为重要。中国全面采用WAPI可以彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。WAPI的实施,将会促进产业的全面发展。这对开拓国内WLAN市场无疑是个巨大的利好消息。
当前运营存在的问题
由于运营商对公共无线网络安全重视程度不高,对推广应用自主创新安全技术的重大意义认识不够等原因,正在建设并运营使用中的无线网络中所具备的WAPI安全功能并未启用,却因循守旧仍然沿用具有严重安全漏洞的Wi-Fi 技术,导致手机端也无法使用安全功能,这致使原本支持的可管、可控、可追溯能力形同虚设,国家、企业和用户的信息安全也就难以得到保障;这无异于自己家里有很好的防盗门、防盗锁弃置不用,却装上人家预留机关暗藏漏洞的门窗,这就难怪美国“棱镜”可以如此方便入侵我们的网络系统了。我国的电信网与互联网的安全防范为何如此脆弱,这就需要所有运营商认真思考,决不能麻痹大意,给人以登堂入室之机。加上运营商在市场推广中只字不提WAPI,却大肆宣传以美国产业组织Wi-Fi之名为当前无线局域网的代称,导致市场对WAPI认知模糊,对WAPI当前和未来发展产生了不利的影响,有可能使得政府、运营企业和产业多年来共同努力的成果付之东流。在当前“我国公共网络基础设施建设正在大规模快速部署,新形式国际经济体之间的不正当竞争层出不穷”的大环境下,如果我国运营商等国有企业不重视、不大力支持自主创新,继续在市场中排斥、边缘化我国自主可控技术,这就相当于帮助国外利益团体继续谋取中国市场的巨大商业利益,将使得我国自主可控技术被扼杀在新一轮市场起跑线上。而且,用不安全、不可控的Wi-Fi技术运营的全国信息网络,将为更多的“棱镜”事件提供可乘之机,那就罪过了。
立即推广应用WAPI的建议
好在我国三个运营商所建500多万个WLAN热点多数都具备WAPI功能,不需要另行建设,就像一个家庭的房子是现成的,只需换上防盗门、防盗锁就行了。建议:
(1) 从2013年下半年开始贯彻WAPI强制性国家标准,摒弃宣传推广Wi-Fi,边缘化WAPI的做法,重点抓好示范项目,通过统筹规划、分步实施,使三家运营商的网络成为可管可控可追溯的全国性网络,以维护公众信息安全不受侵害。
(2) 应放开让三种标准的手机全部加上WAPI功能,除了数据业务之外,而且允许语音业务,便利人民群众上网通话,使其成为全国最为安全最为廉价的网络。
(3) 在主管部门的通盘规划下,协调三家运营商在每个地区的WLAN热点布局,不要都挤在局部地点,这样可以较快基本形成一个全国性的无线城市网络,以保护运营商投资及利益。
以上所提并不足以概括建设中国安全网络、保障国家自主可控信息安全的全面问题,作为抛砖引玉,希望能引起业界的重视,群策群力,在未来十年采取一系列正确得力的举措,筑牢我国的篱笆,防范所有棱镜之类的豺狼入侵,确保全国人民生活在免于恐惧的网络环境。(作者:中国电子科技集团公司第七研究所 教授级高工李进良)