为什么WIFI漏洞这么多,WAPI却没有流行?
1、WAPI的大规模应用受限于应用场景:
不仅是WAPI,目前全球WLAN网络运营还没有一个成功的案例,无论是电信运营商还是专业的WLAN运营商均没有寻找到一个非常有效的运营与盈利模式。因此,WAPI在2009年开始的中国移动、中国联通的WLAN建设中虽被明确支持,但仍然无法得到大规模普及和应用,这是重要的原因。
而与公众运营市场相比,行业市场存在较大的差别。
由于行业网络主要用于本行业,因此网络拥有者同时也是网络运营者、维护者;行业网络的用户并非来自社会而是来自本行业且数量相对较少;行业网络的运营目的是支撑本行业的业务开展,所以不需要考虑盈利模式的问题;行业网络主要考虑如何支撑本行业的业务需要,而应用体验不是最为重要的考虑因素。特别是在目前,国内多个重要行业都有非常迫切的无线网络应用需求,但由于WIFI的安全漏洞,无线网络在某些行业被明令禁止,而更多的行业使用无线网络成为灰色地带, “民不举,官不究”,行业用户面临“政策”和“技术”的双重风险威胁。
WAPI技术应用于行业网络是用户需求推动的结果,也是WAPI产业发展的阶段性产物。
WAPI作为我国的无线局域网国家标准(GB15629.11)在行业应用中可以为用户解除所面临的“政策”与“网络安全”双重风险。同时由于行业网络的上述特征,WAPI行业应用也找到了最佳的应用场景。行业用户也才能够“名正言顺”地应用无线网络技术服务于本行业,真正做到网络和信息的“可管”、“可控”。
2、WAPI的大规模应用受限于终端应用体验:
WAPI技术为了保证网络和数据的安全性,采用了WAPI证书的方式对终端和网络身份进行鉴别。这是为了提升网络的安全性而进行的专门设计。但安全性能提升的同时却带来了使用者操作繁琐的问题。所以,应该看到:安全性与便捷性是一个事物的两个方面,此消彼长,在进行产品化设计时既要同时兼顾安全性与便捷性,同时也会有所侧重。
互联网时代的终端形态是个人电脑,移动互联网时代的终端是智能手机、平板电脑等。而目前来自于智能手机的无线接入需求最是巨大。众所周知智能手机的碎片化趋势越来越严重,WAPI在智能手机中的应用面临同样的问题。由于各个手机厂商的产品实现不一致,导致WAPI在智能手机中的呈现也不一致,严重的甚至无法与WAPI网络兼容,导致大量用户的投诉。这是现阶段WAPI大规模应用重要的受限因素。
3、WAPI的技术特性与行业用户的物联网应用最为契合:
WAPI为什么适合于行业用户的应用如上,不再赘述。
物联网同样是WAPI最为适合的应用领域。首先,WAPI技术为物联网的基础网络建立起了安全的连接链路,同时WAPI区别于WIFI的网络架构的优势保障了海量物联网终端设备的合法身份。最为重要的是,WAPI产业链的建设解决了物联网领域中终端碎片化的问题。
物联网海量终端的出现将使碎片化问题比智能移动终端的碎片化问题更加严重。海量的终端数量带来的是大量的终端形态、终端解决方案、软硬件平台和操作系统。而面对海量的终端产品逐一解决支持WAPI的技术问题,可行性几乎不存在。
但通过WAPI产业链的建设,细化和补全产业环节,最终可以解决物联网终端应用WAPI的碎片化问题。最终的解决方案不是进行“WAPI功能”产品的交付,而是进行“WAPI能力”产品的交付。也就是说,通过统一的软硬件平台搭载WAPI功能,并根据用户需求及部署情况有针对性地调整软硬件接口进行适配,形成了WAPI物联网中间件解决方案。最终,通过“统一的、标准的”WAPI能力的交付有效地解决了海量物联网终端的碎片化问题。
诞生互联网时代的WAPI,成长壮大于移动互联网时代,最终将在物联网时代得到大规模应用。这就是WAPI的产业演进路线。
发布于 2018-02-09
网络通信技术也是一个高度复杂的体系,我们常人理解的网络连接,是端对端,点对点的,大多数是一对一或者一对多的部署,但是对WAPI来说,这是个多对多的部署。怎么理解呢?
首先举个例子,电信运营商的宽带接入,是首先把光纤接入各城市、社区、街道、小区,完成这些基础建设后,用户如果想要开通宽带接入,找运营商办理即可安装,这是一对多,好实现。再举个例子,北斗导航大家都知道,先完成卫星组网,然后要确保很多终端,比如手机都能接收北斗信号,这也是一对多,这些都是可控的。
WAPI为什么是多对多呢?因为WAPI实际由两部分组成:WAI和WPI,分别实现对用户身份的鉴别和对传输的业务数据加密。WIFI是默认接入点是安全的,只单向验证用户,而WAPI一开始就不相信接入点是安全的,它必须实现用户和接入点的双向身份鉴别,确保合法用户访问合法网络,安全级别更高。这种情况下,WAPI要求用户终端和接入端都要安装身份证书,在连接时进行认证,这样钓鱼网站或者假冒身份就不可能实现窃取、泄密等阴谋了。这是很关键的一环,我们可以随便想一下,在我们身边有多少移动终端,包括我们自己手里的手机,又有多少无线接入点——背街小巷几乎每家店都装了无线局域网服务,像我们楼下卖馄饨的大妈也贴了“WIFI开放”(我有强迫症,应该写成WLAN开放),和空调开放是一个级别的服务了。现在哪里不提供无线接入服务?没人真正能统计出来,我们国家有多少无线接入点,我觉得保守有几十亿的规模吧。那么多无线接入点,款式、型号还都不尽相同,要和那么多接入终端认证,今天我的手机开启WAPI功能了,我找馄饨店大妈说你也装个WAPI证书吧?那大妈肯定给我一张臭脸啊,这也就是多对多的概念了。对WAPI来说,要全面普及乃至流行,难就难在这里了。
有人肯定要提出了,那咋没见WIFI部署起来那么难呢?对啊,因为WIFI压根不用对无线接入点进行认证,输个密码就连上了,有的地方甚至没有密码,裸奔啊。之前不是报道有一家海底捞火锅店,本来大家吃的好好的,突然大堂的电视里放起了毛片,一顿尴尬,警方一查,不过是一个投递员闲着无聊,用手机破解了WIFI密码,然后投屏到电视上了。WIFI太方便了,哪里都能装,卖馄饨的大妈让他儿子买个路由器,借了隔壁的网就装上了。WIFI当然不存在多对多的问题,但存在不安全的问题是没跑了。
那WAPI矫情了吗?安全界有句老话,“不假定任何事情,不相信任何人,检验所有东西。”安全协议技术这种逻辑层的基础技术,那更得严谨。2002年WAPI出来时,这个世界哪有那么多无线接入点啊,有个带无线网卡的笔记本哥们儿都觉得特得意了。就这,人家都考虑到是几年后可能存在的安全问题了,就这一点,确实不得不服气。信息技术给我们带来便利的同时,必然会带来安全隐患,就像那么多APP,动不动就能掌握你所有的手机数据,可是用户能做的,只是在他们简洁清爽的界面点一个接受所有条款,出卖自己的个人信息,否则就进不去APP。
多对多难部署的问题WAPI一时半会儿很难解决,那就不行了吗?死定了?不是啊,它的路子走的很稳,很多专业领域用得666,比如地铁、海关、机场、教育等行业性用户。因为专门的行业领域是自己布网的,比如专业行业的验收系统,只要布好有证书的热点,终端机都是一个款式,也有证书,连上就完了,但能确保安全。还有大企业,要确保数据传输安全,有线网络和无线网络都得布置啊,所以我估计未来企业系统安全是一个大市场,目前也就挖掘了百分之几。
编辑于 2020-02-20
虽然是个注销过的账号,但这套说辞见得还挺多的,这种说法对于没经过那个年代的人来说,很容易被洗脑,但是对我们这些在通信圈摸爬滚打二十多年的打工仔就没用了。
首先要厘清一个问题,03年到05年左右,无线局域网WLAN是一类新兴技术,就跟现在咱们谈wifi6一样新鲜,那时候行业还没有分化,压根就不分民用路由器还是企业级路由器,那时候路由器刚出来,和上世纪90年代大哥大出来一样新鲜。说那时市场买不到WAPI路由器,那绝对是扯淡,我印象中那时候具备WAPI功能路由器还进入国家采购目录了呢,而且运营商采购的路由器全部都是带有wapi功能的。
至于说那时正常人不可能花几千上万买路由器,这一点完全是用现在的眼光去评价历史。现在一百多块就能买到很好的路由器了,那时候呢?我记得04年一台TP-LINK就得上千块钱了。这是技术发展的必然规律,刚出来、没有多少产业竞争的时候,制造成本必然高,价格必然要贵。就跟当年大哥大跟块砖头一样,卖价上万元,还是有人买啊。你嫌贵可以不买啊,又没人强迫你必须给家里买几千块的路由器。你买不起不代表别人都买不起。后来技术应用越来越成熟,做的厂商多了,你来我往地相互竞争,自然价格就下来了。这是最最基本的市场规律。
至于你说第一台支持wapi的民用路由器是15年出的,如果12年间不用wifi也不行,那完全是骑驴找马、导果为因了。当年要不是因为英特尔这些巨头推动美国政府阻挠wapi标准实施,最终导致延期了,按照最初的节奏,wapi早就大面积推广应用了,当然就不至于出现现在wapi民用的少,行业用得多的情况了。
再来说说所谓“限制手机搭载wifi”,这一点至少连这个注销的账号都看清楚了,哪个推广wapi的,会傻到限制搭载wifi来推广wapi?wapi本来就是WLAN各种功能中的安全机制,和wifi对应的802.11系列技术体系不是一个量级,相当于802.11系列是一扇门,里面的安全机制(WEP、WPA2、WPA3)是锁,可是这些锁换了一把又一把就是有漏洞,就是容易被攻破。WAPI这把锁更安全更牢靠,能更好地发挥门的安全作用。
了解了这一点就清楚了,wapi再傻,也不可能说把折扇门卸了,让所有人都不能用这种门,我才能推广啊。自己发明的技术专利为什么不能要许可费?
对于普通用户来说,现有wifi的WPA已经足够强壮,足够安全。这话实在说不过去,安全和便利永远都是共生的,WiFi确实很方便,特别是很多公共场合,像商场、饭店,WiFi直接连,免密,但那是要付出代价的。这种情况下,随便用个抓包软件就能抓取到所有数据包,购物记录、银行账号、浏览记录清清楚楚。或者搞个钓鱼网站,看起来和受信任网站差不多,这种DNS spoofing方式也能获得用户的上网信息,包括账户和密码。
WAPI核心内容有三点:1、采用ECC椭圆曲线密码算法,2、双向认证,3、公钥机制
我在荷兰找工作的时候,当时看新闻上说,荷兰的国家安全与司法部网络安全中心颁布过一条建议,就是不建议在公共场所使用公开Wi-Fi网络。如果这些网络是曾经使用过的,最好能避免在此进行工作或者是金融相关的活动。最关键是,已经不需要黑客去做这些事了。记得去年1月有人在海底捞播放淫秽视频,当事人的工作是给口红机投放口红,不过是用手机WiFi破解密码后传了一下。WiFi破解已经不需要专业人士上手了。
再跟你说说WPA,这些年WPA都已经进入第三代了,但可惜,一再被爆出有漏洞。WPA3的出现是因为2017年802.11协议中用了13年的WPA2被完全破解了,WPA3的特色是“个性化数据加密”,比二代多了几个特性,重点是通过个性化的数据加密增加公共WiFi领域网络用胡的隐私,增加了forward secrecy正向加密,还有一些别的新措施,就不列举了,但是WPA3很快还是被发现有7个漏洞,代号Dragonblood。Db里面的套路很多,比如黑客可以搞旁路攻击,或者字典攻击重置用户的WiFi密码。说白了,还是不安全。
从网络安全的角度,中国做自己的wlan标准没有错,就像即便有GPS,也得搞一套自己的北斗导航系统。明知国外的协议存在漏洞,而且极可能像斯诺登披露的是数学后门,还要用,那到时候又会有一大波人骂娘了。03年wapi标准出来时,IEEE 802.11的安全机制还是WEP阶段,基本形同虚设,因为知道自己的这套标准不安全,他们才搞出WPA来,结果一代代的被爆出安全漏洞。但是很多人还是会觉得,国内企业做的都是垃圾,外国的才是最好的。动不动就扯到TD上去,真没必要。
WAPI在对安全要求更高的行业应用中已经很流行了,只不过这些信息一般不太为公众所知。
王同学
走遍世界,成名成家
7 人赞同了该回答
现在来看,当时的回答是多么的愚蠢,wapi相比于wifi来说多了一层加密,也更加难以破解,同时又是自己国家的技术.十年前的人仅仅就看到了国外大公司牛逼的一面,觉得都要跟上WiFi,管你国内怎么样,对wapi存在满满的不自信.斯诺登事件一出来,国际社会才知道,WiFi这东西就是美国政府拿来监控别人的,原来都错怪了wapi,背后搞鬼的美国佬.
最近几年都开始重视wapi的建设,这个就是零和博弈,一方起来了,另外以方肯定会利益下降,WiFi联盟就要抵制他的兴起,国家强制标准,国内企业共同建设,最起码还有个框架在这里不会一下子倒下.中兴被制裁,华为现在被美国搞,看看这个背后,都是弄到了美国佬的蛋糕.
长点心吧,国产也不差好吧!
编辑于 2019-07-15