摘要:Wi-Fi 技术的跨越式发展,为其在军事和应急场景中应用的深入研究提供了新动能。首先分析了开展安全 Wi-Fi 6 在军事和应急场景中应用研究的背景与契机,包括各国政策布局、网络现代化助力作用、技术发展背景和优势;其次提出 Wi-Fi 安全机制和安全防护方案,深入分析梳理当前 WLAN 安全机制 WAPI 存在的安全问题,提出了相关的补强重点和方案措施;最后分析了安全 Wi-Fi 6 在战术通信、应急通信和军营移动办公等典型军事应用场景的应用方式。通过对安全Wi-Fi 6 应用场景的分析,为安全 Wi-Fi 技术在军事和应急场景中的应用指明了新方向。
内容目录:
1 开展研究的背景与契机
1.1 各国加紧安全 Wi-Fi 的应用布局
1.2 安全 Wi-Fi 助力网络现代化的需要
1.3 安全 Wi-Fi 技术发展已更进一步
1.4 安全 Wi-Fi 军事应用具备天然优势
2 安全 Wi-Fi 防护方案
3 典型场景分析
3.1 战术通信场景
3.2 应急通信场景
3.3 军营移动办公场景
4 结 语
随着移动互联网技术、无线局域网技术的快速发展,以及便携电脑、PAD、手机等移动终端的使用普及,任何时候、任何地点、任何人快速入网通信互联已成为基本需求。无线保真(WirelessFidelity,Wi-Fi)作为无线局域网最常用的接入方式,因其架构简单和部署便利,其应用价值已成为普遍共识。如何在商用价值的基础上将其应用于军事、应急领域,助力网络现代化,成为各国研究的一个重要方向和课题。
Wi-Fi 应用的便利性、普遍性和空间开放性为其带来了安全性问题。如果将 Wi-Fi 技术应用于军事和应急通信领域,也存在安全性和保密性问题,需要基于我国自行提出的安全标准无线局域网鉴别和保密基础结构(Wireless LAN Authentication andPrivacy Infrastructure,WAPI)进行技术补强和针对性协议变化,并结合系统构建的安全保密体系形成能保证业务数据信息安全保密传输的安全Wi-Fi系统。
Wi-Fi 在智慧家庭、智慧校园、垂直行业领域的相关研究较多,严丹丹等人 研究了 Wi-Fi 在泛在网中的应用,包括医疗检测、安全管家、数字化家电、质量检测和安全监控等;吕强等人研究了Wi-Fi 基于卫星在高铁、“一带一路”海洋、民航等领域的应用;王磊杰等人研究了 Wi-Fi 在智慧校园学生轨迹智能预警分析系统和无感知学生上课考勤系统中的应用;刘鑫研究了新教学模式应用场景下的高校校园 Wi-Fi 应用。有 Wi-Fi 应用于军事领域的相关跟踪报道,但关于技术分析和研究的文献较少;Wi-Fi 应用于应急领域的相关技术研究文献更少。
随着作战概念升级和作战理念转变,以及马赛克作战新概念的提出,对军事网络特别是战场网络提出了开设快速、重组灵活、安全可靠的使用需求;应急通信的需求和战场网络的需求高度一致。随着 Wi-Fi 6 标准发布和商业化应用,以及安全Wi-Fi 技术的逐渐成熟,其即插即用、即开即通、接入灵活、安全可靠等使用特性凸显,在应对新的军事、应急需求方面具备了天然优势,为安全 Wi-Fi 6 技术应用于军事、应急领域提供了新动能、新契机。
基于此,本文对安全 Wi-Fi 在各国的布局、应用需求、技术发展产生的动能以及领域应用具备的优势等方面进行深入剖析;针对安全防护风险,提出基于安全和密码一体防护的安全 Wi-Fi 6 架构和方案;着重分析了当前军事网络在布撤、开通、配置、重组等方面的一些问题,提出了安全 Wi-Fi 6 在军事应用方面的优势和典型应用场景,为安全 Wi-Fi 6 在军事领域的应用提供了研究新思路和预先研究方案。
1 开展研究的背景与契机
1.1 各国加紧安全Wi-Fi的应用布局
以美国为代表的最强军事国家资料显示,其正加大推进安全 Wi-Fi 用于军事信息系统的研制建设。美国陆军官方网站 2018 年 1 月 11 日消息称,美陆军第三步兵师第一装甲旅早在 2017 年底的军事演练中就试用了安全 Wi-Fi,以不断提升指挥所的灵活性、机动性和生存能力。在战场指挥所迁移后,数分钟内即完成重组网,将原来的数小时重组网时间大幅缩短。部署规模按照旅级单指挥所60 个活动用户进行,并在 Wi-Fi 网络上实现了无线话音、数据和视频的安全交换,初步替代了原来基于有线手段部署指挥所的方式。2019 年,美国国防部已经为 70 架 C-17A 军用运输机订购了机载Wi-Fi 网络系统。因当前的机载 Wi-Fi 体积较大、重量较重,只适合在运输机等大型军用飞机使用,适合战斗机安装使用的安全 Wi-Fi 系统还有待于进一步开发完善。最新资料显示,历经 10 余年美军开发了一套被称为“战场 Wi-Fi”的通信系统。该系统用于通信飞机 E11A 装备形成空中通信节点,构建空中连接平台,用于阿富汗等多山地区通信盲区环境,在复杂地形环境中勾连空中与地面信息网络节点,实现空空、空地有效通信。同时,替代现有系统中为解决盲区通信部署的卫星中继站,提供更大带宽,提升作战协同通信效能。
我党和国家高度重视安全应急工作,党的二十大报告提出要建立大安全大应急框架,提高防灾、减灾、救灾和重大突发公共事件处置保障能力。为贯彻党的二十大精神,2023 年 6 月,以“融合空天地智能通信,赋能全灾种行业应急”为主题的“第八届应急通信产业发展高层论坛”在北京召开,探讨智能应急技术,展示和推广先进装备和解决方案,分享应急通信保障经验。各个环节均出现了基于Wi-Fi 6 的相关技术、产品和案例。会议发布的《2022年应急通信高端装备集》收录的新型高端装备也大量采用了 Wi-Fi 6 相关技术和物理层硬件。
从相关报道资料来看,研究安全 Wi-Fi 6 用于军事、应急通信是伴随能力需求更高和技术发展红利的大势所趋。
1.2 安全 Wi-Fi 助力网络现代化的需要
2017 年 12 月,美陆军发布了《指挥所需求指南》,旨在通过试验和快速原型验证,更好提出对指挥所的需求。从现有指挥所能力需求和问题出发,结合指挥所综合基础设施草案(Draft of theCommand Post Comprehensive Infrastructure,CPI2)能力开发文件,缺乏机动性、敏捷性是大型指挥所做出敏捷作战部署和实施的最大制约因素。美陆军管理安全 Wi-Fi 的网络现代化产品经理明确表示,安全 Wi-Fi 是美陆军新的综合远征指挥所解决方案采办中的重要组成部分,安全 Wi-Fi 提供的机动性、作战灵活性和生存能力可以更好、更快地建立任务式作战指挥系统,支撑指挥官作战指挥并赢得战争。
北京交通大学张宏科院士团队利用下一代Wi-Fi 协议标准 IEEE 802.11be 新增的多接入点协同能力,针对在抗震救灾、抗洪抢险等应急通信专网场景下高可靠、低延时通信服务需求,提出了基于信道状态因子构建多个应急终端协同融合的系统,并通过软件定义无线电硬件平台与 MATLAB 进行了联合仿真验证。5G+Wi-Fi、卫星 +Wi-Fi 等远程通信 +CPE 接入的应急通信应用架构在新冠疫情、涿州水灾等重大灾情应急处置中得到了广泛应用和实践。
从美陆军第三步兵师第一装甲旅决定性行动实战训练结果来看,大量使用的安全 Wi-Fi 使 160 台指挥所计算机快速联网以及海量语音、数据、视频数据的安全可靠交换,将网络开通时间从数小时减少到分钟级,验证了 Wi-Fi 对网络现代化的突出贡献。张宏科院士团队通过试验得到的多 Wi-Fi 终端协同验证结果,新冠疫情和涿州水灾关于 Wi-Fi 的相关应用,均说明 Wi-Fi 6 将是未来大应急框架下实现应急专网现代化的坚强保证。
1.3 安全 Wi-Fi 技术发展已更进一步
Wi-Fi 是目前使用最广的一种无线网络传输技术,自 1997 年 6 月美国电机电子工程师协会(IEEE)发 布 802.11 标 准 的 第 一 个 版 本 以 来, 至 2022 年12 月 802.11 已历经 8 个阶段的发展。随着 802.11ax标准的落地,截至目前,Wi-Fi 无线联网技术已升级至 Wi-Fi 6,即第 6 代无线网络技术,网速最高可达 9.6 Gbit/s,专家预测 Wi-Fi 6 是 Wi-Fi 技术延寿的“强心剂”。
相较于 Wi-Fi 5,Wi-Fi 6 有着更优异的性能体验:
(1)速度更快。Wi-Fi 6 最大传输速率由 WiFi 5 的 3.5 Gbit/s 提升到了 9.6 Gbit/s,理论速度提升了近 3 倍。
(2)延时更低。Wi-Fi 6 不仅上传下载的速度得到了很大提升,还大幅度改善了网络拥堵,而且允许更多的设备连接至无线网络,并拥有一致的高速连接体验。
(3)容量更大。Wi-Fi 6 网络允许多信道共享信道,多台终端同时接入,且每个信道都可进行高效率数据传输,提升多用户场景下的网络体验,适用于热点区域多用户使用。
(4)更加安全。Wi-Fi 6 采用保护 Wi-Fi 安全系统标准版本 3(Wi-Fi Protected Acces 3,WPA3)网络安全协议,是 WPA2 协议的升级版本,安全性能进一步提升,能够更好阻止强力攻击、暴力破解。
(5)更加省电。Wi-Fi 6 引入相关技术,主动规划设备与热点之间的通信时间,减少无线网络天线使用及信号搜索时间,一定程度上减少设备的电量消耗,提升设备的续航时间。
Wi-Fi 6 的高速率、低延时、高容量、高安全、低功耗特性与军事通信系统、应急通信系统对通信性能、安全性能和强野外自持能力需求“不谋而合”。
1.4 安全 Wi-Fi 军事应用具备天然优势
安全 Wi-Fi 的优势特点如下文所述。
(1) 部 署 简 便。安 全 Wi-Fi 包 括 安 全 热 点(Access Point,AP)和安全无线网卡,安全 AP 通过以太网线与网络快速连接,安全无线网卡可以采用 USB 互联方式与宿主机快速连接,部署简单便捷。
(2)开通快捷。安全 Wi-Fi 配置管理简便,不需要预先规划即可开通使用。
(3)带宽较高。未来 Wi-Fi 第 7 代产品规划已将信息速率提高到惊人的 46 Gbit/s,相较于传统几十兆的无线局域通信系统带宽提高了几百倍。
(4)重组灵活。安全 Wi-Fi 与 Wi-Fi 相比,除安全性增强外,其他技术指标几乎一致,支持单点多用户接入和跨接入点漫游能力,可以在机动环境下根据用户区域和网络拓扑快速移动接入,并在Wi-Fi 的 AP 战损后快速切换接入点,真正实现网络随遇接入。
(5)安全保密。安全 Wi-Fi 在商用 Wi-Fi 的基础上进行了安全补强,并在空口安全、接入安全等自身安全基础上增加了网络安全和信息安全能力,可以支撑高密级信息在 Wi-Fi 无线网络上的可靠交换,保证信息机密性和完整性。
(6)重量轻、体积小、功耗低。安全 Wi-Fi系统的 AP 设备可以做成手机大小,而终端侧的无线网卡设备可以做到与 USB 棒相同的功耗和体积,在重量、体积、功耗方面优势明显,特别符合机动指挥所对相关指标的要求。
(7)成本低廉。安全 Wi-Fi 的主用组件为商用组件,已经在商用领域形成了完整的产业链,从技术、生产、服务等各个层面都可以提供廉价快捷的支撑,为安全 Wi-Fi 大面积装备部队用户提供了低成本解决方案。
Wi-Fi 以其方便、快捷、廉价等诸多优势,这几年在民用领域取得了长足的发展和巨大的成功。同时安全 Wi-Fi 诸多特性也符合现代战争对军事通信提出的许多新要求,因此将安全 Wi-Fi 用于军事通信领域值得深入研究。安全 Wi-Fi 由于在部署、开通、带宽、重组、重量、体积、功耗、成本等方面的天然优势,用以代替有线局域网中的部分或全部传输媒介,或作为有线网络的补充和延伸来解决“最后一公里”通信问题具有军事技术价值。
2 安全 Wi-Fi 防护方案
为保证 Wi-Fi 无线开放信道特性下的信息防窃听和防篡改,需要对 Wi-Fi 施行安全防护,以保证信息的机密性、完整性。安全防护主要从空口安全、接入安全等方面考虑。典型的安全 Wi-Fi 防护架构如图 1 所示。
图 1 安全 Wi-Fi 防护架构
Wi-Fi 常用的安全机制有有线等效保密(WiredEquivalent Privacy,WEP)、WPA、802.11i、WPA2、WAP3 等, 从 WEP 到 WPA2 的 安 全 机 制都或多或少存在一些隐患,已经出现密钥攻击、重放攻击和中间人攻击等问题。为解决 Wi-Fi6 安全性问题,Wi-Fi 联盟推出了新一代安全协议WPA3,其使用更安全的同步对称身份验证握手协议、更强大的国家商用加密算法,以及专门针对开放式公共网络的加密方式 OWE。
但以上 Wi-Fi 安全机制全部是国外研究机构提出的标准。为了维护国家信息安全,我国提出了自己的 WLAN 安全通信协议标准 WAPI,经过后期修订和增补标准,基本形成了全面无线安全的WAPI 体制。WAPI 由无线身份验证设施(WLANAuthentication Infrastructure,WAI)和无线保护设施(WLAN Privacy Infrastructure,WPI)两部分构成,分别用于解决身份鉴权和数据加密问题。WAI 提供AP 与无线网卡的相互身份认证与会话密钥协商,并且采纳了基于椭圆曲线的公钥证书方案,WPI 提供对通信数据的机密性传输,并且采纳我国自主研制的分组加密算法 SMS4。WAPI 流程机制如图 2所示。
图 2 WAPI 流程机制
WAPI 的优越性主要体现在以下几个方面。
(1)真正实现双向认证。在 WAPI 安全体制下,无线客户端和 WLAN 设备二者处于对等地位,二者身份的相互鉴别在公信的鉴别服务器控制下实现。双向鉴别机制既可防止假冒的无线客户端接入WLAN 网络,也可杜绝假冒的 WLAN 设备伪装成合法设备。
(2)防盗取仿冒。WAPI 强制使用数字证书作为无线客户端和 WLAN 设备的身份凭证,杜绝了因传统用户名和口令认证身份方法带来的盗取仿冒安全隐患,提高了系统安全性,且无线客户端入网申请或注销,只需在证书服务器上颁发新的证书或取消当前证书,使安全管理异常方便。
(3)防攻击。在 WAPI 中使用数字证书作为用户身份凭证,在鉴别过程中采用椭圆曲线签名算法,并使用安全的消息杂凑算法保证消息的完整性,使攻击者难以对鉴别信息进行修改和伪造,避免了传统认证中完整性校验不够安全、鉴别消息易被篡改或伪造带来的网络安全攻击问题。
虽然 WAPI 已经解决了无线局域网的大部分安全问题,但与同时期发布的 WPA2 类似,同样存在对用户身份信息的保密性不足以及未能抵抗伪 AP攻击和重放攻击等安全问题。在 Wi-Fi 6 军事化和在垂直行业等的应用中,需要针对此类安全不足进行增强设计,提升 WAI 的安全性 。①针对当无线网卡发送接入鉴别请求分组给 AP 时采用明文格式而导致的非匿名性问题,利用 AC 的公钥信息加密无线网卡的序列号和明文证书,隐藏无线网卡发送的证书明文信息,实现用户证书认证过程的匿名性。②针对 AP 证书鉴别过程中不提供签名导致的伪 AP 攻击问题,通过证书鉴别请求分组增加 AP签名,使伪 AP 不能通过签名验证,来防止伪 AP攻击。③针对协议证书鉴别过程缺少抵抗重放攻击手段的问题,通过在证书鉴别交换过程交换的数据内容中加入序列号和时间戳来确定数据的有效性,抵抗重放攻击。
将安全 Wi-Fi 6 应用于军事信息系统,除了针对 Wi-Fi 自身的安全问题进行安全补强,还需针对安全 Wi-Fi 6 军事应用可能面临的安全攻击,结合军事信息系统安全防护的体系化要求,从边界安全、网络加密保护、信息加密保护以及主机安全防护等几个方面考虑,一体构建安全 Wi-Fi 6 安全防护体系,如图 3 所示。
图 3 安全 Wi-Fi 防护体系
3 典型场景分析
安全 Wi-Fi 6 的应用大致分为移动办公 / 固定环境网络、临机环境网络两种。应用于军事和应急场景,主要对应战术通信场景、应急通信场景的临机环境网络;应用于军营移动办公场景,主要对应移动办公 / 固定环境网络。
临机环境网络主要包括在作战行动、紧急情况、突发事件、临时任务等军事和应急场景部署网络,Wi-Fi 6 的易架设、易管理、零配置、支持区域覆盖和漫游的特性适合于此类环境网络的部署和使用;移动办公 / 固定环境网络应用于军事,主要是通过 Wi-Fi 6 构建军营区域覆盖的环境网络,此类网络使用场景固定,要求网络区域覆盖,并能够无感漫游。
3.1 战术通信场景
战场环境下指挥所在指定区域机动或展开,可以依托安全 Wi-Fi 6 构建覆盖机动指挥所区域和开放式指挥所区域的安全无线局域网,为临时搭建的指挥所帐篷、指挥车辆内的移动用户提供宽带无线网络接入能力。机动指挥所内的便携式计算机通过安全无线网卡与安全 AP 建立安全连接,实现高速数据安全传输 。安全 AP 通过战场的有 / 无线通信手段互联。安全 AP 设备可集中或分级分布部署到通信车,实现对系统的管理和维护。战术通信场景如图 4 所示。
图 4 战术通信场景
3.2 应急通信场景
应急通信场景下,安全 Wi-Fi 6 主要用于实现应急现场移动通信和卫星通信“+”的业务场景。通过对安全 Wi-Fi 6 手段的引入,可扩展应急通信车下车伴随临机和下车保障的任务场景。借助安全 Wi-Fi 6 手段,通过卫星和移动通信等中继,为话音、数据、视频业务提供无线宽带服务,实现应急通信车业务的车下机动延伸,满足机动节点保障人员的下车机动补盲。随着技术发展,应急保障的信息化设备必须突出小型化和灵活便捷的特点,需要依托应急保障平台开设具备布撤简便、开通快、移动性好、配置简单等应用特点的区域通信系统,支持任务现场业务应用延伸。应急通信场景如图 5所示。
图 5 应急通信场景
3.3 军营移动办公场景
依托安全 Wi-Fi 6 构建军营内移动办公系统,不受区域内有线部署的限制,可以实现区域内无线局域网的快速接入和移动使用。可在军队的办公室、会议室等办公环境,按照用户数据接入需求,部署安全 AP,并将安全 AP 接入军队内网的有线网络,通过有线网络与数据中心建立连接,从而实现军队用户无线移动办公应用,部署的 AP 设备可以通过集中的控制设备统一管理。军营移动办公场景如图 6 所示。
图 6 军营移动办公场景
4 结 语
本文通过全面梳理安全 Wi-Fi 各国战略层面应用布局、Wi-Fi 技术对网络现代化的助力作用、Wi-Fi 技术发展进入第 6 代的技术先进性以及安全 Wi-Fi 军事和应急应用的天然优势,抓住开展安全 Wi-Fi 6 在军事和应急通信应用的研究契机;然后针对安全 Wi-Fi 6 应用的安全风险和技术弊端进行了分析,提出了安全补强的重点和途径,并结合军事应用的安全防护要求提出了体系化安全防护方案;设想了在战术通信、应急通信和军营移动办公场景中安全 Wi-Fi 6 的应用方式。通过对安全Wi-Fi 6 的技术优势和应用场景的分析,为后续深化开展安全 Wi-Fi 6 在军事和应急场景的应用提供了新的方向。
引用格式:文军 , 张国华 , 李长隆 , 等 . 安全 Wi-Fi 6 在军事和应急场景中的应用研究 [J]. 通信技术 ,2024,57(3):315-322.
作者简介 >>>
文 军,男,硕士,高级工程师,主要研究方向为无线通信系统;
张国华,男,学士,高级工程师,主要研究方向为无线通信系统;
李长隆,男,硕士,工程师,主要研究方向为武警系统信息化建设;
朱世伟,男,学士,工程师,主要研究方向为无线通信系统;
高常波,男,硕士,高级工程师,主要研究方向为无线通信系统;
武 明,男,硕士,高级工程师,主要研究方向为无线通信系统运维。
选自《通信技术》2024年第3期(为便于排版,已省去原文参考文献)