無(wú)線應(yīng)用
今年5月12日發(fā)布、12月1日強(qiáng)http://www.49028c.com制執(zhí)行的無(wú)線局域網(wǎng)（WLAN）國(guó)家標(biāo)準(zhǔn)中，最引人注目的就是由寬帶無(wú)線IP標(biāo)準(zhǔn)工作組制定的新的安全機(jī)制WAPI。它到底能否更為有效地保障WLAN的安全呢新機(jī)制也同時(shí)再次引發(fā)了業(yè)界對(duì)WLAN現(xiàn)有安全機(jī)制的重新思考。
在7月9日的WLAN國(guó)家標(biāo)準(zhǔn)宣貫會(huì)上，寬帶無(wú)線IP標(biāo)準(zhǔn)工作組秘書(shū)長(zhǎng)黃振海博士指出，國(guó)家標(biāo)準(zhǔn)與國(guó)際標(biāo)準(zhǔn)的差異主要在于安全問(wèn)題和無(wú)線電頻率管理問(wèn)題，而新安全機(jī)制WAPI（無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)）還同時(shí)體現(xiàn)了國(guó)家標(biāo)準(zhǔn)的先進(jìn)性。
安全是重中之重
安全性對(duì)于WLAN來(lái)說(shuō)可謂老生常談，自它誕生之日起，與其靈活便捷的優(yōu)勢(shì)共存的就是安全漏洞這個(gè)揮之不去的陰影。在國(guó)外，因此出現(xiàn)的安全問(wèn)題屢見(jiàn)不鮮，并導(dǎo)致很多安全糾紛。據(jù)統(tǒng)計(jì)，不愿采用WLAN的理由中，安全問(wèn)題高居第一位，達(dá)40%以上，已經(jīng)成為阻礙WLAN進(jìn)入信息化應(yīng)用領(lǐng)域的最大障礙?，F(xiàn)有的安全機(jī)制由于不能提供足夠安全的基礎(chǔ)建設(shè)模塊，讓解決WLAN安全成本的負(fù)擔(dān)轉(zhuǎn)移到整個(gè)WLAN價(jià)值鏈上的產(chǎn)品制造廠商、系統(tǒng)集成商和用戶(hù)，這種不合理的成本轉(zhuǎn)嫁使市場(chǎng)上產(chǎn)生了多種安全安裝解決方案，而最終用戶(hù)為了能夠?qū)嵤┰O(shè)備廠商提供的多種安全安裝方案而不斷付出更多的安全成本。國(guó)際標(biāo)準(zhǔn)為此采用了WEP、WPA、802.11x、802.11i、VPN等方式試圖保證WLAN安全，但它們要么只是將有線局域網(wǎng)安全機(jī)理通過(guò)技術(shù)轉(zhuǎn)接到WLAN上，要么在技術(shù)上很容易被破譯。安全問(wèn)題似乎成了WLAN心中永遠(yuǎn)的痛。WAPI的出現(xiàn)再次引發(fā)了業(yè)界對(duì)WLAN現(xiàn)有安全機(jī)制的重新思考。
基本安全方式面臨取代
業(yè)務(wù)組標(biāo)識(shí)符（SSID）和物理地址（MAC）過(guò)濾是目前WLAN最基本的安全方式，但它們?cè)诩夹g(shù)上易于被攻破，正逐步被新的安全方式所取代。
業(yè)務(wù)組標(biāo)識(shí)符（SSID）
它需要無(wú)線客戶(hù)端出示正確的SSID才能訪問(wèn)無(wú)線接入點(diǎn)AP，因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令。然而無(wú)線接入點(diǎn)AP向外廣播其SSID，使安全程度下降。另外，一般情況下，用戶(hù)自己配置客戶(hù)端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶(hù)。 標(biāo)準(zhǔn)工作組還表示：有的廠家支持“任何”SSID方式，只要無(wú)線客戶(hù)端處在AP范圍內(nèi)，它都會(huì)自動(dòng)連接到AP，這將繞過(guò)SSID的安全功能。
物理地址（MAC）過(guò)濾
它屬于硬件認(rèn)證，而不是用戶(hù)認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新，目前都是手工操作，擴(kuò)展能力差，因此只適合小型網(wǎng)絡(luò)規(guī)模。另外，非法用戶(hù)利用網(wǎng)絡(luò)偵聽(tīng)手段很容易竊取MAC地址。
802.11有技術(shù)缺陷
IEEE802.11包括認(rèn)證和加密等方面，利用認(rèn)證與加密的安全漏洞，在短至幾分鐘的時(shí)間內(nèi)，就可以破解密鑰。
共享密鑰認(rèn)證
基于WEP的共享密鑰認(rèn)證的目的就是實(shí)現(xiàn)訪問(wèn)控制，然而其認(rèn)證信息易于偽造。因?yàn)楣蚕砻荑€認(rèn)證是通過(guò)加密認(rèn)證質(zhì)詢(xún)文本來(lái)證明自己知曉共享密鑰，如果攻擊者監(jiān)聽(tīng)到認(rèn)證應(yīng)答，則可以確定用于加密應(yīng)答的RC4密碼流。因此，通過(guò)監(jiān)聽(tīng)一次成功的認(rèn)證，攻擊者就可以偽造認(rèn)證。標(biāo)準(zhǔn)工作組認(rèn)為：?jiǎn)?dòng)共享密鑰認(rèn)證實(shí)際上降低了網(wǎng)絡(luò)的總體安全性，使猜中WEP密鑰更為容易。

 
WAPI：充分考慮市場(chǎng)應(yīng)用

有線等效保密（WEP）
WEP的目標(biāo)是為WLAN提供與有線網(wǎng)絡(luò)相同級(jí)別的安全保護(hù)。WEP在鏈路層采用RC4對(duì)稱(chēng)加密技術(shù)，雖然通過(guò)加密提供無(wú)線網(wǎng)絡(luò)的安全性，標(biāo)準(zhǔn)工作組也指出了它的許多缺陷：
缺少密鑰管理。用戶(hù)的加密密鑰必須與AP的密鑰相同，并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶(hù)都共享同一把密鑰。WEP中沒(méi)有規(guī)定共享密鑰的管理方案，通常是手工進(jìn)行配置與維護(hù)。由于同時(shí)更換密鑰的費(fèi)時(shí)與困難，所以密鑰通常很少更換，倘若一個(gè)用戶(hù)丟失密鑰，則會(huì)殃及到整個(gè)網(wǎng)絡(luò)。
ICV算法不合適。WEP ICV是一種基于CRC-32的用于檢測(cè)傳輸噪音和普通錯(cuò)誤的算法。CRC-32是信息的線性函數(shù)，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV。
RC4算法存在弱點(diǎn)。在RC4中，人們發(fā)現(xiàn)了弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后，就可以對(duì)它們進(jìn)行分析，只須嘗試很少的密鑰就可以接入到網(wǎng)絡(luò)中。
802.1x不能解決根本
在采用認(rèn)證端口訪問(wèn)控制技術(shù)（IEEE802.1x）的WLAN中，無(wú)線用戶(hù)端安裝802.1x客戶(hù)端軟件，AP內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為RADIUS服務(wù)器的客戶(hù)端，負(fù)責(zé)用戶(hù)與RADIUS服務(wù)器之間認(rèn)證信息的轉(zhuǎn)發(fā)。
標(biāo)準(zhǔn)工作組表示， 802.1x并不是專(zhuān)為WLAN設(shè)計(jì)的，沒(méi)有考慮到無(wú)線應(yīng)用的特點(diǎn)。它提供客戶(hù)端與RADIUS服務(wù)器之間的認(rèn)證，而不是與AP之間的認(rèn)證。采用的用戶(hù)認(rèn)證信息僅僅是用戶(hù)名與口令，在存儲(chǔ)、使用和認(rèn)證信息傳遞中存在很大安全隱患，如泄漏、丟失。AP與RADIUS服務(wù)器之間基于共享密鑰完成認(rèn)證過(guò)程協(xié)商出的會(huì)話密鑰的傳遞，該共享密鑰為靜態(tài)，人為手工管理，存在一定的安全隱患。
TKIP不是最終方案
目前Wi-Fi推薦的安全解決方案WPA以及制定中的IEEE802.11i標(biāo)準(zhǔn)，均采用TKIP作為一種過(guò)渡安全解決方案。TKIP與WEP一樣基于RC4加密算法，但相比WEP算法，將WEP密鑰的長(zhǎng)度由40位加長(zhǎng)到128位，初始化向量IV的長(zhǎng)度由24位加長(zhǎng)到48位，并對(duì)現(xiàn)有的WEP進(jìn)行了改進(jìn)，即追加了“每發(fā)一個(gè)包重新生成一個(gè)新的密鑰(Per Packet Key)”、“消息完整性檢查（MIC）”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”四種算法，極大地提高了加密安全強(qiáng)http://www.49028c.com度。標(biāo)準(zhǔn)工作組認(rèn)為：WEP算法的安全漏洞是由于WEP機(jī)制本身引起的，與密鑰的長(zhǎng)度無(wú)關(guān)，即使增加加密密鑰的長(zhǎng)度，也不可能增強(qiáng)http://www.49028c.com其安全程度，初始化向量IV長(zhǎng)度的增加也只能在有限程度上提高破解難度，比如延長(zhǎng)破解信息收集時(shí)間，并不能從根本上解決問(wèn)題。因?yàn)樽鳛榘踩P(guān)鍵的加密部分，TKIP沒(méi)有脫離WEP的核心機(jī)制。而且，TKIP甚至更易受攻擊，因?yàn)樗捎昧薑erberos密碼，常常可以用簡(jiǎn)單的猜測(cè)方法攻破。另一個(gè)嚴(yán)重問(wèn)題是加/解密處理效率問(wèn)題沒(méi)有得到任何改進(jìn)。
Wi-Fi聯(lián)盟和IEEE802委員會(huì)也承認(rèn)，TKIP只能作為一種臨時(shí)的過(guò)渡方案，而IEEE802.11i標(biāo)準(zhǔn)的最終方案是目前尚未制定出的基于IEEE802.1x認(rèn)證的CCMP（CBC-MAC Protocol）加密技術(shù)，即以AES（Advanced Encryption Standard）為核心算法。它采用CBC-MAC加密模式，具有分組序號(hào)的初始向量。CCMP為128位的分組加密算法，相比前面所述的所有算法安全程度更高。
VPN應(yīng)用遭遇困難
作為一種比較可靠的網(wǎng)絡(luò)安全解決方案，VPN自然而然地從有線網(wǎng)絡(luò)擴(kuò)展到無(wú)線網(wǎng)絡(luò)，然而實(shí)際情況并非如此。標(biāo)準(zhǔn)工作組認(rèn)為，無(wú)線網(wǎng)絡(luò)的應(yīng)用特點(diǎn)在很大程度上阻礙了VPN技術(shù)的應(yīng)用，主要體現(xiàn)在以下幾個(gè)方面：
運(yùn)行的脆弱性：因突發(fā)干擾或AP間越區(qū)切換等因素導(dǎo)致的無(wú)線鏈路質(zhì)量波動(dòng)或短時(shí)中斷是無(wú)線應(yīng)用的特點(diǎn)之一，因此用戶(hù)通信鏈路出現(xiàn)短時(shí)中斷不足為奇。這種情況對(duì)于普通的TCP/IP應(yīng)用影響不顯敏感，但對(duì)于VPN鏈路影響巨大，一旦發(fā)生中斷，用戶(hù)將不得不手動(dòng)設(shè)置以恢復(fù)VPN連接。這對(duì)于WLAN用戶(hù)，尤其是需要移動(dòng)或QoS保證（如VoIP業(yè)務(wù)）的用戶(hù)是不能忍受的。
吞吐量性能瓶頸：在一個(gè)VPN網(wǎng)絡(luò)里（電腦自動(dòng)關(guān)機(jī)）進(jìn)行的任何交換必須經(jīng)過(guò)一個(gè)VPN服務(wù)器，一臺(tái)典型的VPN服務(wù)器能夠達(dá)到30-50 Mbps的數(shù)據(jù)吞吐量。按照這個(gè)速度，只要有八個(gè)802.11b AP，甚至一兩（電腦沒(méi)聲音）個(gè)802.11a/g AP就可以使一臺(tái)VPN服務(wù)器過(guò)載。這就使得那些為大公司提供無(wú)線接入的廠商，為了在多個(gè)VPN服務(wù)器之間達(dá)到負(fù)載平http://www.49028c.com衡，要花費(fèi)巨額費(fèi)用。
通用性問(wèn)題：VPN技術(shù)在國(guó)內(nèi)，甚至在國(guó)際上沒(méi)有統(tǒng)一的開(kāi)發(fā)標(biāo)準(zhǔn)，各公司自有專(zhuān)用產(chǎn)品不可通用，這與強(qiáng)http://www.49028c.com調(diào)互通性的WLAN應(yīng)用是相悖的。
網(wǎng)絡(luò)的擴(kuò)展性問(wèn)題：由于VPN網(wǎng)絡(luò)架設(shè)的復(fù)雜性，大大限制了網(wǎng)絡(luò)的可擴(kuò)展性能。如果要改變一個(gè)VPN網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或內(nèi)容，用戶(hù)往往將不得不重新規(guī)劃并進(jìn)行網(wǎng)絡(luò)配置，不利于中型以上的網(wǎng)絡(luò)使用。
成本問(wèn)題：上述的三個(gè)問(wèn)題實(shí)際在不同程度上直接導(dǎo)致了用戶(hù)網(wǎng)絡(luò)架設(shè)的成本攀升。而且，VPN產(chǎn)品本身的價(jià)格就很高，對(duì)于中小型網(wǎng)絡(luò)用戶(hù)，采購(gòu)費(fèi)用甚至?xí)^(guò)WLAN設(shè)備本身。
WAPI安全更勝一籌
與上述安全機(jī)制相比，WAPI可謂更勝一籌。它已由ISO/IEC授權(quán)的IEEE Registration Authority審查獲得認(rèn)可，分配了用于WAPI協(xié)議的以太類(lèi)型字段，這也是我國(guó)目前在該領(lǐng)域惟一獲得批準(zhǔn)的協(xié)議，正等待向ISO/IEC JTC1委員會(huì)進(jìn)行提交。雖然它的具體技術(shù)細(xì)節(jié)還要參考剛剛正式出版的WLAN國(guó)家標(biāo)準(zhǔn)的詳細(xì)描述，但記者也從標(biāo)準(zhǔn)工作組獲悉：WAPI采用國(guó)家密碼管理委員會(huì)辦公室批準(zhǔn)的公開(kāi)密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，分別用于WLAN設(shè)備的數(shù)字證書(shū)、密鑰協(xié)商和傳輸數(shù)據(jù)的加解密，從而實(shí)現(xiàn)設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問(wèn)控制和用戶(hù)信息在無(wú)線傳輸狀態(tài)下的加密保護(hù)。
WAPI具有幾個(gè)重要特點(diǎn)：全新的高可靠性安全認(rèn)證與保密體制，更可靠的二層（鏈路層）以下安全系統(tǒng)，完整的“用戶(hù)－接入點(diǎn)”雙向認(rèn)證，集中式或分布集中式認(rèn)證管理，證書(shū)－鑰雙認(rèn)證，靈活多樣的證書(shū)管理與分發(fā)體制，可控的會(huì)話協(xié)商動(dòng)態(tài)密鑰，高強(qiáng)http://www.49028c.com度的加密算法，可擴(kuò)展或升級(jí)的全嵌入式認(rèn)證與算法模塊，支持帶安全的越區(qū)切換；支持SNMP網(wǎng)絡(luò)管理，完全符合國(guó)家標(biāo)準(zhǔn)，通過(guò)國(guó)家商用密碼管理部門(mén)安全審查，符合“國(guó)家商用密碼管理?xiàng)l例”。
值得一提的是，WAPI還充分考慮了市場(chǎng)應(yīng)用。從應(yīng)用模式上分為單點(diǎn)式和集中式兩（電腦沒(méi)聲音）種：?jiǎn)吸c(diǎn)式主要用于家庭和小型公司的小范圍應(yīng)用；集中式主要用于熱點(diǎn)地區(qū)和大型企業(yè)，可以和運(yùn)營(yíng)商的管理系統(tǒng)結(jié)合起來(lái)，共同搭建安全的無(wú)線應(yīng)用平http://www.49028c.com臺(tái)。用戶(hù)可以在家里（電腦自動(dòng)關(guān)機(jī)）、公司、熱點(diǎn)地區(qū)應(yīng)用WLAN，互連互通尤為重要。采用WAPI可以徹底扭轉(zhuǎn)目前WLAN采用多種安全機(jī)制并存且互不兼容的現(xiàn)狀，從根本上解決安全問(wèn)題和兼容性問(wèn)題。