地址:http://www.cchere.com/cbbs/Ps/RA2.asp?AID=277960
时间:11/18/2004 3:39:06 PM
作者:ragtime ( 中文论坛西西河 cchere .com
标题:o【原创】再说说wapi吧 1

上个礼拜wapi又上了新闻,忽然想起以前答应过给河
里写篇有关的东西,拖了很久实在抱歉,就趁这个机会说说我对整件事的看法把。

先回顾一下事情经过

wapi是中国针对无线局网(Wireless LAN)的现行IEEE802.11标准中网络安全方面的漏洞提
出的一个改进标准。wapi关键专利由西安捷通无线网通信公司掌握,因为西安电子科技大学
是该公司股东之一,所以相信核心技术中有很多西电的参与。鉴于无线局网的推广势头和前
景,中国有关方面在2003年制定了GB156929.11和 GB156929.1102标准,分别大致对应IEEE
的802.11(1999年版)和其高速版802.11b(1999年版,传输速度每秒5.5或 11兆位)标准
。只不过中国的标准把802.11中的有关安全方面的wep协议换成了wapi。

风波起于2003年11月26日。本来没有多少人关注这个GB156929.11,事实上根本很少人知道w
api到底是怎么回事。而外国厂商基本对 wlan技术进入中国持乐观态度,因为中国无线电管
理委员会已经开放了相应频段。可是在这一天,中国国家质量监督检验检疫总局和国家标准
化管理委员会联合发布了《关于无线局域网强制性国家标准实施的公告》。该公告强制200
4年6月后所有在中国销售的无线局网设备必须遵照中国的相应GB标准,也就是说,必须使用
支持wapi。而wapi的技术专利只授权给了11家中国公司,外国厂商必须与这11家公司合作才
可以获得技术,产品才可以进入中国市场。

如此做法引起了轩然大波。尤其是在发达国家市场渐近饱和的情况下,无线局网的厂商都把
眼睛瞄准了中国市场。在2003年,除了少数个人和外资企业核心部门有用从国外自购的设备
自己架设的无线局网,大多数网络一族都没有享受过这种技术。市场潜力巨大。可是公告一
出,犹如兜头一盆冰水,让整个无线局网业打了个冷战。于是乎大家各方奔走,通过各种途
径对中国施压,最后终于在2004年4月吴仪访美的时候得到了一个奶油标花上写着“中国政
府将减少以至停止对无线通讯技术标准选择的干预行为”的大蛋糕。这蛋糕的其中一大块就
是wapi的实施”无限期推迟”。其中的回回合合,经过互联网上网络记者和愤青们之间的多级
循环放大,一个标准之争也终于被推上到了主权的高度。

事情还没有完。4月协定里,中方表示愿意接受业界对wapi的评价和建议,并参照国际相关
标准来修改wapi。当然这在内行人的眼里就是判了wapi的死刑。没有政府强制支持,wapi只
有自己再去标准界里拼,
也就是说死路一条了。其中的斡旋,外人不得而知,相信在Madma Wu的办公桌上,有很多比
wapi堆得高更多的文件摞。不过中方制定标准的有关方面是立刻觉得被人卖了,不甘心之下
,又转而向ISO(国际标准组织)申请把wapi放进ISO相应的无线局网标准中去。可是ISO在
这方面基本没有多少自己的技术力量,从有线局网开始,ISO就是IEEE的跟屁虫,只制定事
后标准来跟风。所以在无线局网上也基本是重复过去老路,在不要wapi要IEEE802.11的投票
中是12比1。不用说,那一票反对自然是中国投的。另外因为那个政府强制执行公告的事,
其实wapi在国际标准界已经臭大街了,没人愿意和中国站在同一边。所以最新的相关消息不
管网记怎么想往悲壮上靠,在同业看来都差不多是最后的挣扎。

无线局网的史坑

明确的使用数据包式无线通讯的局域网通讯研究早在80年代就开始了。1985年美国联邦通讯
委员会(相当中国的无委会)开放了三个不需要牌照就可以使用的频段。一些公司向proxi
m,symbol等也开始研发了自己的无线数据通讯系统。现在看来这些就差不多是最早的产品
化的无线据网雏形了。可是当时的一个突出问题就是各公司之间设备不兼容。于是早在198
8年在NCR和朗讯的推动下IEEE就开始了最初的制定802.11标准的有关行动。到90年代的时候
相关技术难题都已经基本解决,可是一直到1997年各参与公司才大致在关键性能技术等方面
达成共识。因为其实各厂家在标准讨价还价阶段早就开始了各自的研发工作,积累了足够的
技术和经验,标准一出,很快按照802.11草案设计的各种试验设备也就开始纷纷出现了。

基本与此同时,欧洲方面也有类似项目,叫hyperLAN。hyperLAN和802.11的发展颇有些我侬
你侬的关系,互相参照。不过IEEE和工业界互动非常有效,对802.11标准的成功至关重要,
所以hyperLAN也渐渐少人提起。这就要归功于802.11的WiFi联盟了。最早的无线局网标准出
台后,其中带了很多争吵的结果,有很多实际并无多大用处纯粹为了让各公司达成协议而加
进去的东西,给标准执行造成了很大困难。1999年8月,六家当时无线局网的大头:intersi
l(最早是从harris中分出来,现在其中做无线局网的部门prism被购入conexant), 3Com,
nokia, aironet(现在是cisco的一部分), symbol,还有朗
讯(朗讯的无线局网部门orinoco后来分到了Agree,然后又被proxim买走),决定在一起成
立一个联盟,一起合作,从标准中提出真正重要的核心部分作有选择的开发,保证兼容。同
时,由联盟出面给互相兼容的产品发证。他们给自己取了个响亮的名字,叫做wi-fi。Wi-f
i联盟的另一个作用就是向消费者推广wi-fi。这类行业联盟出面推广行业产品的是在美国很
多,比如那个著名的“有牛奶吗”的广告出自美国奶业协会,“牛肉,晚餐就吃它”出自美
国牛肉业协会一样。

最早使用Wi-fi的大户是苹果。苹果在应用新技术方面一向是走在很前面的,这一次也不例
外,向Wi-fi联盟提出了自己的要求。朗讯很快拿出了符合要求的产品,苹果开始用空港(a
irport)的品牌向自己的用户出售。当然与此同时其他Wi-fi联盟厂家也纷纷在wi-fi的标签
下开始销售自己的产品。

废话这么多,大家大概也可以看出一个成功的标准出台是一件很困难的事。对802.11来说争
争吵吵12年,方方面面都要顾到。当然从另一个角度来说,这样出来的标准是非常成熟的。
本来标准的目的是在广度不是在深度,把一个刚刚申请专利的东西硬要塞到标准之中是很危
险的事情。

回头看802.11成长过程,非常明显的一个结论就是:一个标准如果没有整个市场的支持,不
管写标准的人有多么技术超前,或者有没有人有后台搞到政府支持,都不会成功。标准的基
础是行业对市场的共识,不能是政府强制行为。很不幸,在整个wapi事件过程中,我们看到
的更多是导致失败的成分,比如不顾市场规律,推广不成熟未经广泛论证的技术,抱着政府
管理一切的习惯思维等等。

从一开始,802.11任务组就认识到没有工业界自愿参与,IEEE的标准没有约束力。所以IEEE
802.11任务组和工业界一直通过wifi联盟保持了很好的互动,有力推动了标准的接受。事实
上除了卫生食品和航空等几个领域,美国政府很少强制介入商业标准。对于无线通讯,政府
介入也只限于划分频段,规定功率限制等等少数几个方面。虽然有一个机构叫国家标准和技
术研究所(NIST),这个机构也写一些标准,可它隶属商业部,无权制定任何规定办法等来
强制使用某个标准。在这样一个大框架下面,象802.11一类的商业标准不是强制执行的。对
于一个标准的制定人员来说,如何制定出行业各方面认同并接受的标准是一件非常需要艺术
和手腕的事。如何让一个标准在市场上成功更需要高超的计划。不幸很多中方人员至今不明
白,IEEE不是政府组织,除了秘书出版收会费等辅助性服务机构有全职雇员,各任务组官员
都是兼职,都是在本行业内公司的人员。IEEE对政府的作用只能够通过它的大企业中的影响
,再由这些企业通过自己的关系来影响政府。所以硬要说美国政府卡中国标准,实在有些被
害妄想狂的倾向。但是外国高科技界有没有反华倾向?这一点是肯定的。道理很简单,现在
中国是世界工厂,所以发达国家的制造业纷纷倒闭。等有一天中国变成世界研究所了,当然
外国高科技企业也没法生存,—-除非大家都拿中国工资。

说远了,再回到802.11上来。

wep 的安全问题人所共知。802.11作为一个底层通讯技术,在制订过程中更多的关注了通讯
方面的因素,对于安全方面的问题只是搞了个廖胜于无的wep。事实上,在参与wep标准起草
的人员,802.11的小组成员,和IEEE的指导委员会中,很少有安全保密方面的专家。IEEE多
由电子工程方面的技术人员组成,而安全保密传统上更多是计算机科学和数学的研究范围,
所以出现这种情况也不足为奇。而且这是96年97年左右,无线局网还在很初级的发展阶段,
没有人往那里多想。

后来随着Wi-fi的推广,问题来了。大概在早于2000年之前,就开始有研究人员指出了wep的
一些问题。通讯保密方面的专家们对802.11这么热的一个东西居然没有请自己参加很不爽,
于是打wep这个落水狗在网络安全界风行一时。再经过互联网这么个专门千里传坏事的放大
器,搞的一时间普通老百姓们几乎把使用无线局网和开门揖盗画上等号。

其实对于一般用户,wep安不安全根本没有多大关系。跟无知网记们硬要往上套的国家信息
安全更是扯不到一起。大多数重要网站都使用ssl,有额外加密来保护信用卡号之类重要信
息。从统计上讲,和病毒木马之类造成的危害相比,因为无线局网被破而造成的损害可以忽
略不计。2001/2002年以后卖的无线局网设备都有各种改进的安全手段,可是绝大多数的用
户根本不会用也没法用。举个例子,我曾经开着车带着扫描设备在一个居民区转,发现70%-
80%左右的用户根本用的都是厂家原设置,都在第六频道,连无线网名都没有改过,都叫lin
ksys或者netgear。这样的用户你还指望他去设定非对称保密和安全证书吗?至于企业和政
府用户,本来他们就应该把无线局网放在内部网之外,必须用vpn双重加密来进入内网。所
以在我看来,2003年说因为安全问题打倒无线局网和70年代炒政治对手的婚外恋一样是别有
用心。

又说远了。现在回到wapi上。作为一个2003年才制定的标准,说1999年的wep有缺陷wapi要
好多了简直就和说我比我三岁的儿子力气大一样是废话。802.11也有相应的改进,叫做802.
11i,是针对1999年802.11标准里的有关安全部分的修正案。802.11i基本上是国际上通讯安
全方面的专家争吵了3年多的成果,基本代表了成熟技术中的最高水平[注意再次强调,是成
熟技术不是最前沿技术],the state of the art。

这么先进的东西好是好,不过也有一个问题,用不了。这就不得不说到无线局网的硬件设备
了。每一块无线局网卡的核心是一个无线局网芯片组,再加上放大,天线之类的辅助设备。
每一个无线局网芯片组实际都是一个微缩了的计算机,里面内存cpu(叫微控制器)等等都
有,只不过是专门为802.11有关计算而设计的。所以市面上的802.11芯片都是为了做wep运
算设计的,做不了802.11i要求的加密算法。怎么办?Wi-Fi联盟这时又故伎重演,说咱把 8
02.11i里只要改驱动就可以用现有芯片做的那部分先拿出来做,给起个名儿叫wpa,大伙先
用着。

现在wapi的那帮人也在说wpa有重大缺陷,我没听过他们具体说所以不好评价,估计和山东
大学最近发现的md5问题有关。不过把wapi和wpa比让我觉得就像说我比我11岁的儿子力气大
。虽然一不留神这臭小子也赢过我几盘棋,这句话基本还是废话。wpa是802.11i的手段不是
目的。

Wapi算法是根据非对称加密里一个比较新的分支椭圆曲线加密的。这一大类算法比以前的分
解因数类的非对称加密要新一些,也有在同等保密强度条件下所需计算量小的好处,有很大
潜力。不过通讯安全方面的事情常常是这样的,一个有着非常好的数学性质的算法在实际中
常常会出现各种问题,可能是具体实现上的问题,也可能是算法本身有当初没被发现的问题
。所以保密界有一个传统,一个理论上好的算法最多是一篇好文章,只有经过时间和大量ha
cker考验通过的算法才是真正的好算法。原因很简单,这东西太难了,很难有人一下子全想
清楚。在网上飞鸽传书广邀天下黑客(我说的是那种真正的黑客。那种只会下载工具去塞满
人家网路或者邮箱的人我一律叫他们sb,北京话)来破并加以悬赏是该行业一个广泛使用的
测试算法保密性好不好的方法。在这样一个背景之下,我不想评论wapi在数学上有没有优越
性,单是它没有经过时间考验,除了几个中国专家评委在不知如何被打点之后盖的印没有其
他同行评论测试,我就不放心用它。

退很多步讲,如果我装个新驱动就可以让我现有的无线局网卡跑wapi,其实我也不会有太大
意见,反正被该疵一个又一个补丁折腾惯了,大不了不用呗。对了听说没gates是世界上被
扔午餐肉最多的人?一天有400万个spam电邮?该!可惜该丫有钱,雇了一屯子人帮他看信
过滤。又说远了。现在回到刚才说的 wapi软件驱动,其实也就是整个wapi之战的最最核心
关键技术问题,那就是:没门!wapi非得改硬件!

说这里有的朋友可能不太明白,为什么不能用纯软件,可以不让802.11做任何加密,再在驱
动里随便想怎么加密就怎么加密不可以吗?这个在理论上或者实验室里是可以的,可实际上
行不通。本来一个802.11b的卡最多可以有11兆位的速度,不过那是最底层速度不算数。如
果下载文件,用户实际可以达到的最多也就是6兆多。如果用纯软件加解密,这马上下降到
2兆多,也就是说软件加解密最多只能做到这么快。如果用802.11g,实际用户速度可以达到
20多兆,软件加密根本跟不上,而且在这样做的同时计算资源被大量占用,搞的手提经常死
机。所以每个802.11芯片组里有自己专用的加密引擎,至于wpa的软件解决,用的也还是一
样的wep数据加密,可以用为wep加密设计的无线局网芯片组,不过在密钥上玩花样罢了。

所以当看到有人也报道说做出wapi纯软件解决办法可以让用户来用,俄就说那是放屁,这样
做出来的东西最多只算个模拟,根本不能在实际中用。

前文说到wapi一定要用硬件来做,可是硬件wapi的话,问题就大了。首先国内没人能做,第
二国外厂抱怨难道还专为中国开线?尤其是intel这样的多走了一步的冤大头,早把无线局
网芯片和主CPU绑到一块芯片版上了,差不多等于再开一条cpu线,比一般wifi芯片厂更麻烦
。那你说它能干吗?所以 intel走在了反wapi的最前线,非常好理解。

还有一个问题了,那咱在国外买的centrino手提能回国用吗?如果不能,那是砸intel和所
有wi-fi厂的牌子;如果能,就是说国内网管得支持两套保密设置?呃。。。悄悄问一声,
你真的很想搞死他们?假如你神志清醒,大概不会建议全世界人都把自己的无线局
网设备扔了然后在wapi之下世界大同吧?

公告里还有一条让所有wifi厂跳的东西,那就是必须和那11家中国厂合作。其实在整个wap
i事件里,我只为这一条叫好。为什么?因为这样中国厂就可以学技术了呀。可惜敌人都比
贼还精,咱老人家想到的他
们也想到了,所以不肯上钩。有人说intel这次还有一个原因被逼急了,就是捷通一上来就
狮子大开口一定要centrino的排版图,结果过早让敌人识破了我们的奸计。

换个角度想问题。如果wapi执行了,谁是最大受害者?我的结论是:中国消费者。国外厂商
没多少亏好吃,中国造的芯片,原来该付的技术费一分也不会少,因为除了wapi,其余部分
中国标准全抄802.11。中国对每块wapi芯片收取的技术费用是两美元,可是国外厂商自然会
把这费用转嫁到中国消费者头上。如果中方还有别的招,这个,—-最多他们不来了嘛。而
另一方面执行wapi的必然结果是推迟无线局网在中国的普及推广,因为的重起炉灶造硬件。
同时和 wapi配套的软件和系统(比如用户认证的客户端,服务器端,配套的支持wapi的协
议,数据库等等)情况如何更是不得而知了。同时中国消费者与国际上已有的低价无线局网
产品无缘,必须购买wapi产品。

这件背着民族大义国家主权神圣大旗的事往下三路来想,就成了捷通和信产合伙从中国网民
手里抢钱了。算我是小人之心吧。当然也有积极的一面,就是用中国市场为筹码从外国厂商
抢些技术,可惜没人上钩。

对了,读到这里大概你会毫不奇怪:那两块钱wapi技术费捷通信产各拿一半。


 


2条评论

发表评论

评论也有版权!