智能手機的大規模普及,好像讓中國人得了“Wi-Fi依賴症”。在家不能沒網絡,出門不能忘手機,移動互聯網改變了社會形態和人們的生活方式。但是,我們真的能讓手機放心大膽地連上它嗎?
2017年10月16日,Wi-Fi安全協議出現重大漏洞的新聞引發關注,根據一家安全研究機構發表的報告,用於保護Wi-Fi網絡安全的防護機制WPA2出現漏洞,黑客可以利用這一漏洞監聽到任何聯網設備的通訊內容。
技術專家們對這條新聞都很淡定,因為他們已經見識過很多次Wi-Fi的安全漏洞了,只是以前沒有引發公眾注意而已。
實際上,自從2014年開始,國內媒體就開始報道用戶手機加入公共Wi-Fi熱點後遭到經濟損失的案件。
在2015年的3•15晚會上,央視曝光了免費公共Wi-Fi存在的諸多問題,並做了一個令人震驚的實驗,主持人邀請現場觀眾加入節目設置的Wi-Fi熱點後發自拍,然後觀眾的郵箱和密碼都被黑客得到了。
截圖中的星號是為了保護隱私而做的遮蔽處理,在黑客那裡都是完整的信息,最關鍵的是,這種隱私的洩露是在你毫無察覺的情況下發生的。
在2016年的3•15晚會上,央視再次曝光了Wi-Fi的危險性,女主持人謝穎穎在現場用手機訂一個美甲服務,下單後男主持人陳偉鴻就通過後臺黑客掌握了謝穎穎的信息,包括預約時間、下單留的地址、電話等內容。
節目組還對加入現場Wi-Fi的觀眾進行了實驗,觀眾只是打開手機瀏覽了下常用的打車、訂餐、購物等APP,其姓名、地址、身份證號、銀行卡號就在大屏幕上顯示了出來,打車行程路線和消費習慣也一覽無疑,參與實驗的現場觀眾感到非常不安,自己簡直就是一個透明人。
央視3•15晚會連續兩年對同一問題進行曝光和警示,已經充分說明了這個問題的嚴重性。
Wi-Fi的安全缺陷
Wi-Fi是一個商業品牌,隸屬於總部位於美國德州奧斯汀的Wi-Fi聯盟,現在這個聯盟的技術標準支持著上千種無線設備的互聯,使用起來非常方便。但同時它也有一個先天的痼疾,那就是認證策略並不完善。
啥是認證呢?這是信息安全的術語。簡單來說信息安全可分為兩個方面,一是加密,二是認證,兩者互為配合,不能相互替代。
加密很好理解,就是把明文變成密文,令截獲了信息的壞人不知道啥意思。例如我倆打電話說個隱私,旁人可能會偷聽,但如果我倆使用的是家鄉土話,旁人即使每個音都聽得很真切,但還是不知道我倆在說啥。
認證主要是指對身份的確認,如果有個人偷拿了你的電話,再刻意模仿你的聲音,那我就可能上當了,因此我在說正事前會問你一句“上次咱倆吃飯喝的啥酒?”你回答對了我才相信是你,這就是身份認證。可見,加密針對的是通信內容本身,而身份認證核實的是通信雙方。
當前的信息安全形勢有個特點,那就是“加密強認證弱”,對認證的設計就相對較弱,對通信雙方身份的合法性檢驗設計的也不夠嚴密,Wi-Fi的技術體制就有這個痼疾,例如你家的無線路由器識別不出鄰居的蹭網手機,你的手機也識別不出加入的是不是危險的熱點,兩個角度都有潛在的安全隱患。
你可能會有疑惑,全世界都在用Wi-Fi,你有啥資格批評它的安全?其實,Wi-Fi的安全性差並不是我的觀點,而是信息安全界的共識,早在2000年,英特爾公司安全架構師Walker就表達了這個觀點。
英特爾在其主辦的開發商論壇會場雖然也提供Wi-Fi無線連接,但同時警告與會者Wi-Fi並不安全,使用Wi-Fi過程中隱私得不到保證,英特爾不對其安全性提供擔保。而且向與會者著重強調,在使用Wi-Fi期間不要將自己的硬盤或文件夾設置為共享,不要在電子郵件中涉及機密內容。
英特爾從一開始就非常清楚Wi-Fi的這些技術漏洞的嚴重性,但依然將Wi-Fi聯盟作為了緊密的戰略伙伴,並在全球範圍內力推Wi-Fi。你可能要問,既然英特爾也心知肚明,那為什麼還要極力推廣它?
這源於美國高科技企業壟斷利益聯盟的傳統,即使明知合作伙伴的技術有問題,那也會相互支持,捆綁在一起形成利益共同體。如果沒有產業化,Wi-Fi聯盟的技術標準就是一堆廢紙,而英特爾把Wi-Fi技術標準固化到所有系列的CPU芯片中,Wi-Fi就搭上了英特爾CPU芯片的快車走向了全世界,並利用英特爾芯片全球霸主的地位得以迅速推廣。
Wi-Fi搭英特爾CPU芯片的快車得以推廣,當大家都離不開Wi-Fi時,英特爾CPU芯片又以與Wi-Fi配合度最好的特點,形成對其它CPU的競爭優勢。美國高科技企業靠這招排擠歐洲和亞洲企業,形成事實標準後共同牟取全球壟斷利益。
那中國是啥情況呢?不同領域的優秀高科技公司國內也有不少,同樣具備相互聯手形成立體性競爭優勢的潛力,但遺憾的是它們互相看不起,都熱衷於跟國外企業抱團,這為什麼呢?這是因為國人崇洋,總覺得外國人搞出來的東西就是好,中國人搞出來的不是不行。
其實國內專家對Wi-Fi的安全性分析也很多,但如果我引用國內專家觀點的話,很多網友就會不信服,就會覺得國內專家是有意排斥美國,是糊弄老百姓的政治宣傳。而我引用了一批美國專家批評Wi-Fi安全性的觀點,他們就會覺得“連美國專家都說了,看來Wi-Fi的安全性還真是有問題啊”。
2. 中國的艱難標準化之路
既然Wi-Fi存在這麼多問題,在2006年3月針對美Wi-Fi安全技術國際標準提案(IEEE 802.11i)的投票中,中國國家成員體就投了反對票並附加了300餘條反對意見,明確指出了IEEE 802.11i標準包含的大量基本性技術問題。
美國不顧中國的反對,於2006年將IEEE 802.11i強推成了國際標準。美國為什麼這麼著急?因為有家中國公司發明了一種比Wi-Fi更安全的協議,如果不搶先發布的話,就很難形成國際市場壟斷了。
這家中國公司開發了比Wi-Fi更安全的網絡協議WAPI,於2004年7月向國際標準化組織ISO/IEC提交了國際標準提案,並於8月初進入投票流程。但令所有人都沒有料到的是,承擔ISO/IEC第一聯合技術委員會(JTC1)秘書處工作的美國國家標準學會居然於2004年9月單方面終止投票流程,並撤銷了WAPI國際提案。
你可能不理解,我們爭取的是國際標準,憑什麼美國人說了算?這是因為美國話語權大,美國國家標準學會承擔了秘書處,ISO所有信息技術都在這裡控制!好比是很有多戶人家的大雜院,最霸道的那家把控著大門,別的住戶進院還得看他的臉色。
中方申訴後,國際標準化組織答應搞個WAPI標準宣講會,中方技術專家精心籌劃細心準備,打算在會議上據理力爭。萬萬沒想到的是,所有參會的中方技術專家在辦理簽證時全部遭到美國政府的拒籤。
2011年6月,國際標準化組織會議又在美國舉行,本次會議將是WAPI國際提案由工作組草案向前邁進的關鍵節點。中方參會專家再次精心籌劃細心準備,結果參會技術人員在辦理赴美簽證時再次被拒籤。
美方利用國際標準組織內部的優勢對WAPI百般挑剔,中方就把一篇篇自證清白的技術文檔寄往美國,等到他們終於挑不出任何毛病了,就把標準擱置起來,我們催問,他們就說正在研究。
在排擠中方技術標準的期間,Wi-Fi憑藉英特爾“迅馳”技術的綁定推銷,迅速壟斷了全球的無線網絡市場。
即使遭受了重挫,中國也沒有停下繼續發展WAPI的腳步。2010年6月,西電捷通公司的TePA三元對等鑑別(WAPI使用的核心架構技術)全票通過正式成為國際標準,這是我國在基礎性信息安全領域的第一個國際標準,也是全球範圍內非對稱實體鑑別領域過去十餘年內的唯一新技術,它的雙向身份鑑別可確保無線接入的安全,可以徹底地解決Wi-Fi的先天性認證漏洞。
即使成為了國際技術標準,WAPI核心技術專利在美申請授權時依然遭到了美國政府的阻撓,以至於在第21至24屆中美商貿聯委會中成為了四屆總理議題,坎坷八年後才得以通過,中國的網絡安全基礎技術創新之路曲折艱難遠超國人想象。
放在國際競爭的大層面來看,某個公司研究出一項新技術,這件事就像一根火柴棍那樣的微不足道,但就是這根小小的火柴棍,卻挑起了中美兩個國家長達八年的鬥爭。在這八年中,美國的無賴與霸道,中國的無奈與堅持,一次次的正面交鋒和暗戰,堪比一場跌宕起伏扣人心絃的大片。
3. 戰爭已經打響
為什麼美國要如此強力地抵制?這要從兩類技術專利的對比說起。
根據2016年的電信企業分類統計,中興通訊以4,123項已公開的PCT申請量排名第一,華為以3,692項專利申請排名第二,美國高通、日本三菱電機、韓國LG電子分列三四五名。
根據2017年7月底的統計,各個國家ISO/IEC專利聲明的數量合計2959條,其中來自美國的有1011項,來自日本的有725項,來自德國的有182項,來自中國的只有28項。
兩類技術專利排名的巨大反差說明了中國科技的現狀,應用技術創新蓬勃發展,基礎技術創新依然薄弱,而基礎技術才是科技產業的核心。
美國並不關注產業末端的應用技術創新,但對產業源頭的基礎技術創新非常重視,他們熱衷於制定國際技術標準,讓其它國家的企業在他們制定的技術框架內去經營,從而牢牢地掌握著產業結構,並獲得全球壟斷利潤。
在中國所擁有的28項ISO/IEC專利中,WAPI所基於的TePA架構核心技術是最重要的一項國際技術標準,這涉及到了全球無線網絡安全產業結構的主導權,也因此成為了美國政府的眼中釘,長年試圖拔之而後快。
標準非常重要,誰掌握了標準,誰就能站在行業的最高峰,誰就能引導技術的發展方向,尤其是互聯網的協議標準更重要,它不僅與國民經濟休息相關,甚至事關國家安全。
很多國人意識不到掌握標準的重要性,認為用美國的標準挺好啊,你們為什麼總想著跟美國打仗後怎麼辦,為什麼不能在基於和平發展的角度上去思考問題?我反問他們:歐洲沒想著跟美國打仗,為什麼美國提出一條標準,歐洲也相應提出一個,在全世界形成了美標和歐標並存的結果呢?GPS可以免費用啊,但歐洲為什麼還要搞伽利略呢?歐洲現在本來就窮,還要各個國家湊出一大筆錢,歐洲老百姓為什麼不反對呢?
這是因為歐洲老百姓更有見識,知道自主標準不僅事關國家安全,還深刻地影響著經濟民生,如果不在產業鏈源頭抓住標準,在技術標準領域跟跑太久,國民經濟就會慢慢疲軟了,甚至國民經濟生活出了問題,本國政府連解決的能力都沒有。
爭奪網絡安全協議主導權的國家戰爭早在十多年前就打響了,2009年蘋果手機進入中國市場時,就涉及到是否安裝中國國家強制標準WAPI的問題,他們不配合中國國家標準的實施,美國國務卿還致電我國政府要求中國放棄WAPI,中國政府頂住了壓力堅持了這條標準,保留了一種自主可控的無線接入方式。
現在蘋果公司拒絕支付WAPI的專利費,主張這項中國的國家強制標準專利是無效的,這場官司正在進行之中。
出於保護國民安全的考慮,政府規定一項自主可控的技術手段,這屬於國家主權。例如美國曾將電視機的ATSC技術列為國家強制標準,中國出口美國的電視機都很配合地進行了安裝並支付了專利費,我們理解這是美國政府為了保證在地震等緊急情況下救援廣播通暢的合理規定。
同樣地,中國政府為了保證無線網絡的安全而制定了國家強制標準,美國政府不僅不支持配合,反而聯合企業共同抵制,在你的國家跟你的企業打官司,還謀求把你的強制標準中的中國專利無效掉。
WAPI標準其實很小,但卻打破了美國在無線接入領域的高度壟斷,觸動了美國以英特爾為代表的壟斷勢力的核心利益,他們指責中國是“技術民族主義”。除了對核心技術的壟斷外,美國還有更重要的考慮,那就是全球網絡監控。
美國政府大規模網絡監控的本質就是互聯網的武器化,這是一個長期且複雜的系統工程,其“超能力”源自對基礎網絡安全標準、技術和產業的滲透和控制能力。美國政府完全掌控且可以充分利用Wi-Fi的認證漏洞,而在中國研發的WAPI的雙向認證面前將無計可施,一旦WAPI技術在全球得以推廣,將堵塞美國在無線局域網中竊取他國機密的通路,這就是他們如此拼命抵制的原因。
中國的科技創新正在由應用科技領域向基礎科技領域深入,這勢必會跟把控國際技術標準的美國發生激烈碰撞,WAPI就是個鮮活的事例。隨著中國科技的持續進步,這場爭奪標準制定權的戰爭將會越演越烈。
跟應用科技不同,基礎科技的推廣需要政府扶持。美國政府和巨頭企業相互聯手,將不安全的Wi-Fi技術推向全世界,並形成了全球壟斷,而這給美國帶來了無法估量的價值,中國要學習這種“政企聯手搞國際標準”的做法。
基礎科技創新和國際技術標準的爭奪是一場關係到行業主導權和國家核心競爭力的戰爭,這場中美戰爭已經打響了,戰況將會越來越激烈。
閱讀更多 奧卡姆剃刀 的文章
