智能手机的大规模普及,好像让中国人得了“Wi-Fi依赖症”。在家不能没网络,出门不能忘手机,移动互联网改变了社会形态和人们的生活方式。但是,我们真的能让手机放心大胆地连上它吗?
2017年10月16日,Wi-Fi安全协议出现重大漏洞的新闻引发关注,根据一家安全研究机构发表的报告,用于保护Wi-Fi网络安全的防护机制WPA2出现漏洞,黑客可以利用这一漏洞监听到任何联网设备的通讯内容。
技术专家们对这条新闻都很淡定,因为他们已经见识过很多次Wi-Fi的安全漏洞了,只是以前没有引发公众注意而已。
实际上,自从2014年开始,国内媒体就开始报道用户手机加入公共Wi-Fi热点后遭到经济损失的案件。
在2015年的3•15晚会上,央视曝光了免费公共Wi-Fi存在的诸多问题,并做了一个令人震惊的实验,主持人邀请现场观众加入节目设置的Wi-Fi热点后发自拍,然后观众的邮箱和密码都被黑客得到了。
截图中的星号是为了保护隐私而做的遮蔽处理,在黑客那里都是完整的信息,最关键的是,这种隐私的泄露是在你毫无察觉的情况下发生的。
在2016年的3•15晚会上,央视再次曝光了Wi-Fi的危险性,女主持人谢颖颖在现场用手机订一个美甲服务,下单后男主持人陈伟鸿就通过后台黑客掌握了谢颖颖的信息,包括预约时间、下单留的地址、电话等内容。
节目组还对加入现场Wi-Fi的观众进行了实验,观众只是打开手机浏览了下常用的打车、订餐、购物等APP,其姓名、地址、身份证号、银行卡号就在大屏幕上显示了出来,打车行程路线和消费习惯也一览无疑,参与实验的现场观众感到非常不安,自己简直就是一个透明人。
央视3•15晚会连续两年对同一问题进行曝光和警示,已经充分说明了这个问题的严重性。
Wi-Fi是一个商业品牌,隶属于总部位于美国德州奥斯汀的Wi-Fi联盟,现在这个联盟的技术标准支持着上千种无线设备的互联,使用起来非常方便。但同时它也有一个先天的痼疾,那就是认证策略并不完善。
啥是认证呢?这是信息安全的术语。简单来说信息安全可分为两个方面,一是加密,二是认证,两者互为配合,不能相互替代。 加密很好理解,就是把明文变成密文,令截获了信息的坏人不知道啥意思。例如我俩打电话说个隐私,旁人可能会偷听,但如果我俩使用的是家乡土话,旁人即使每个音都听得很真切,但还是不知道我俩在说啥。 认证主要是指对身份的确认,如果有个人偷拿了你的电话,再刻意模仿你的声音,那我就可能上当了,因此我在说正事前会问你一句“上次咱俩吃饭喝的啥酒?”你回答对了我才相信是你,这就是身份认证。可见,加密针对的是通信内容本身,而身份认证核实的是通信双方。 当前的信息安全形势有个特点,那就是“加密强认证弱”,对认证的设计就相对较弱,对通信双方身份的合法性检验设计的也不够严密,Wi-Fi的技术体制就有这个痼疾,例如你家的无线路由器识别不出邻居的蹭网手机,你的手机也识别不出加入的是不是危险的热点,两个角度都有潜在的安全隐患。 你可能会有疑惑,全世界都在用Wi-Fi,你有啥资格批评它的安全?其实,Wi-Fi的安全性差并不是我的观点,而是信息安全界的共识,早在2000年,英特尔公司安全架构师Walker就表达了这个观点。
英特尔在其主办的开发商论坛会场虽然也提供Wi-Fi无线连接,但同时警告与会者Wi-Fi并不安全,使用Wi-Fi过程中隐私得不到保证,英特尔不对其安全性提供担保。而且向与会者着重强调,在使用Wi-Fi期间不要将自己的硬盘或文件夹设置为共享,不要在电子邮件中涉及机密内容。
英特尔从一开始就非常清楚Wi-Fi的这些技术漏洞的严重性,但依然将Wi-Fi联盟作为了紧密的战略伙伴,并在全球范围内力推Wi-Fi。你可能要问,既然英特尔也心知肚明,那为什么还要极力推广它?
这源于美国高科技企业垄断利益联盟的传统,即使明知合作伙伴的技术有问题,那也会相互支持,捆绑在一起形成利益共同体。如果没有产业化,Wi-Fi联盟的技术标准就是一堆废纸,而英特尔把Wi-Fi技术标准固化到所有系列的CPU芯片中,Wi-Fi就搭上了英特尔CPU芯片的快车走向了全世界,并利用英特尔芯片全球霸主的地位得以迅速推广。
Wi-Fi搭英特尔CPU芯片的快车得以推广,当大家都离不开Wi-Fi时,英特尔CPU芯片又以与Wi-Fi配合度最好的特点,形成对其它CPU的竞争优势。美国高科技企业靠这招排挤欧洲和亚洲企业,形成事实标准后共同牟取全球垄断利益。
那中国是啥情况呢?不同领域的优秀高科技公司国内也有不少,同样具备相互联手形成立体性竞争优势的潜力,但遗憾的是它们互相看不起,都热衷于跟国外企业抱团,这为什么呢?这是因为国人崇洋,总觉得外国人搞出来的东西就是好,中国人搞出来的不是不行。
其实国内专家对Wi-Fi的安全性分析也很多,但如果我引用国内专家观点的话,很多网友就会不信服,就会觉得国内专家是有意排斥美国,是糊弄老百姓的政治宣传。而我引用了一批美国专家批评Wi-Fi安全性的观点,他们就会觉得“连美国专家都说了,看来Wi-Fi的安全性还真是有问题啊”。
既然Wi-Fi存在这么多问题,在2006年3月针对美Wi-Fi安全技术国际标准提案(IEEE 802.11i)的投票中,中国国家成员体就投了反对票并附加了300余条反对意见,明确指出了IEEE 802.11i标准包含的大量基本性技术问题。
美国不顾中国的反对,于2006年将IEEE 802.11i强推成了国际标准。美国为什么这么着急?因为有家中国公司发明了一种比Wi-Fi更安全的协议,如果不抢先发布的话,就很难形成国际市场垄断了。
这家中国公司开发了比Wi-Fi更安全的网络协议WAPI,于2004年7月向国际标准化组织ISO/IEC提交了国际标准提案,并于8月初进入投票流程。但令所有人都没有料到的是,承担ISO/IEC第一联合技术委员会(JTC1)秘书处工作的美国国家标准学会居然于2004年9月单方面终止投票流程,并撤销了WAPI国际提案。
你可能不理解,我们争取的是国际标准,凭什么美国人说了算?这是因为美国话语权大,美国国家标准学会承担了秘书处,ISO所有信息技术都在这里控制!好比是很有多户人家的大杂院,最霸道的那家把控着大门,别的住户进院还得看他的脸色。
中方申诉后,国际标准化组织答应搞个WAPI标准宣讲会,中方技术专家精心筹划细心准备,打算在会议上据理力争。万万没想到的是,所有参会的中方技术专家在办理签证时全部遭到美国政府的拒签。
2011年6月,国际标准化组织会议又在美国举行,本次会议将是WAPI国际提案由工作组草案向前迈进的关键节点。中方参会专家再次精心筹划细心准备,结果参会技术人员在办理赴美签证时再次被拒签。
美方利用国际标准组织内部的优势对WAPI百般挑剔,中方就把一篇篇自证清白的技术文档寄往美国,等到他们终于挑不出任何毛病了,就把标准搁置起来,我们催问,他们就说正在研究。
在排挤中方技术标准的期间,Wi-Fi凭借英特尔“迅驰”技术的绑定推销,迅速垄断了全球的无线网络市场。
即使遭受了重挫,中国也没有停下继续发展WAPI的脚步。2010年6月,西电捷通公司的TePA三元对等鉴别(WAPI使用的核心架构技术)全票通过正式成为国际标准,这是我国在基础性信息安全领域的第一个国际标准,也是全球范围内非对称实体鉴别领域过去十余年内的唯一新技术,它的双向身份鉴别可确保无线接入的安全,可以彻底地解决Wi-Fi的先天性认证漏洞。
即使成为了国际技术标准,WAPI核心技术专利在美申请授权时依然遭到了美国政府的阻挠,以至于在第21至24届中美商贸联委会中成为了四届总理议题,坎坷八年后才得以通过,中国的网络安全基础技术创新之路曲折艰难远超国人想象。
放在国际竞争的大层面来看,某个公司研究出一项新技术,这件事就像一根火柴棍那样的微不足道,但就是这根小小的火柴棍,却挑起了中美两个国家长达八年的斗争。在这八年中,美国的无赖与霸道,中国的无奈与坚持,一次次的正面交锋和暗战,堪比一场跌宕起伏扣人心弦的大片。
为什么美国要如此强力地抵制?这要从两类技术专利的对比说起。
根据2016年的电信企业分类统计,中兴通讯以4,123项已公开的PCT申请量排名第一,华为以3,692项专利申请排名第二,美国高通、日本三菱电机、韩国LG电子分列三四五名。 根据2017年7月底的统计,各个国家ISO/IEC专利声明的数量合计2959条,其中来自美国的有1011项,来自日本的有725项,来自德国的有182项,来自中国的只有28项。 两类技术专利排名的巨大反差说明了中国科技的现状,应用技术创新蓬勃发展,基础技术创新依然薄弱,而基础技术才是科技产业的核心。 美国并不关注产业末端的应用技术创新,但对产业源头的基础技术创新非常重视,他们热衷于制定国际技术标准,让其它国家的企业在他们制定的技术框架内去经营,从而牢牢地掌握着产业结构,并获得全球垄断利润。 在中国所拥有的28项ISO/IEC专利中,WAPI所基于的TePA架构核心技术是最重要的一项国际技术标准,这涉及到了全球无线网络安全产业结构的主导权,也因此成为了美国政府的眼中钉,长年试图拔之而后快。 标准非常重要,谁掌握了标准,谁就能站在行业的最高峰,谁就能引导技术的发展方向,尤其是互联网的协议标准更重要,它不仅与国民经济休息相关,甚至事关国家安全。 很多国人意识不到掌握标准的重要性,认为用美国的标准挺好啊,你们为什么总想着跟美国打仗后怎么办,为什么不能在基于和平发展的角度上去思考问题?我反问他们:欧洲没想着跟美国打仗,为什么美国提出一条标准,欧洲也相应提出一个,在全世界形成了美标和欧标并存的结果呢?GPS可以免费用啊,但欧洲为什么还要搞伽利略呢?欧洲现在本来就穷,还要各个国家凑出一大笔钱,欧洲老百姓为什么不反对呢?
这是因为欧洲老百姓更有见识,知道自主标准不仅事关国家安全,还深刻地影响着经济民生,如果不在产业链源头抓住标准,在技术标准领域跟跑太久,国民经济就会慢慢疲软了,甚至国民经济生活出了问题,本国政府连解决的能力都没有。
争夺网络安全协议主导权的国家战争早在十多年前就打响了,2009年苹果手机进入中国市场时,就涉及到是否安装中国国家强制标准WAPI的问题,他们不配合中国国家标准的实施,美国国务卿还致电我国政府要求中国放弃WAPI,中国政府顶住了压力坚持了这条标准,保留了一种自主可控的无线接入方式。
现在苹果公司拒绝支付WAPI的专利费,主张这项中国的国家强制标准专利是无效的,这场官司正在进行之中。
出于保护国民安全的考虑,政府规定一项自主可控的技术手段,这属于国家主权。例如美国曾将电视机的ATSC技术列为国家强制标准,中国出口美国的电视机都很配合地进行了安装并支付了专利费,我们理解这是美国政府为了保证在地震等紧急情况下救援广播通畅的合理规定。
同样地,中国政府为了保证无线网络的安全而制定了国家强制标准,美国政府不仅不支持配合,反而联合企业共同抵制,在你的国家跟你的企业打官司,还谋求把你的强制标准中的中国专利无效掉。
WAPI标准其实很小,但却打破了美国在无线接入领域的高度垄断,触动了美国以英特尔为代表的垄断势力的核心利益,他们指责中国是“技术民族主义”。除了对核心技术的垄断外,美国还有更重要的考虑,那就是全球网络监控。
美国政府大规模网络监控的本质就是互联网的武器化,这是一个长期且复杂的系统工程,其“超能力”源自对基础网络安全标准、技术和产业的渗透和控制能力。美国政府完全掌控且可以充分利用Wi-Fi的认证漏洞,而在中国研发的WAPI的双向认证面前将无计可施,一旦WAPI技术在全球得以推广,将堵塞美国在无线局域网中窃取他国机密的通路,这就是他们如此拼命抵制的原因。
中国的科技创新正在由应用科技领域向基础科技领域深入,这势必会跟把控国际技术标准的美国发生激烈碰撞,WAPI就是个鲜活的事例。随着中国科技的持续进步,这场争夺标准制定权的战争将会越演越烈。
跟应用科技不同,基础科技的推广需要政府扶持。美国政府和巨头企业相互联手,将不安全的Wi-Fi技术推向全世界,并形成了全球垄断,而这给美国带来了无法估量的价值,中国要学习这种“政企联手搞国际标准”的做法。
基础科技创新和国际技术标准的争夺是一场关系到行业主导权和国家核心竞争力的战争,这场中美战争已经打响了,战况将会越来越激烈。