無(wú)線應(yīng)用

5月12日，5月12日發(fā)布、12月1日實(shí)施的無(wú)線局域網(wǎng)國(guó)家標(biāo)準(zhǔn)，其中最引人注目的是無(wú)線寬帶標(biāo)準(zhǔn)工作組制定的新安全機(jī)制WAPI，新機(jī)制可以確保更安全有效的無(wú)線局域網(wǎng)也重新思考了業(yè)界現(xiàn)有的無(wú)線局域網(wǎng)安全機(jī)制。

7月9日，在WLAN國(guó)家標(biāo)準(zhǔn)宣貫會(huì)上，寬帶無(wú)線IP標(biāo)準(zhǔn)工作組秘書長(zhǎng)黃振海博士指出了國(guó)家標(biāo)準(zhǔn)中存在的主要安全問題和射頻管理問題的差異，國(guó)際標(biāo)準(zhǔn)以及新的安全機(jī)制 WAPI（WAPI）也體現(xiàn)了國(guó)家標(biāo)準(zhǔn)的先進(jìn)性。

安全是重中之重

安全性是無(wú)線局域網(wǎng)的一個(gè)常見問題。 自誕生之日起，便以其靈活、方便等優(yōu)點(diǎn)與安全漏洞共存。 在國(guó)外，安全問題很普遍，導(dǎo)致很多安全糾紛。 據(jù)統(tǒng)計(jì)，不愿使用無(wú)線局域網(wǎng)的原因是安全問題最高，高達(dá)40%，成為無(wú)線局域網(wǎng)進(jìn)入信息化應(yīng)用領(lǐng)域的最大障礙。 現(xiàn)有的安全機(jī)制無(wú)法提供足夠安全的基本構(gòu)建塊來(lái)解決 WLAN 產(chǎn)品制造商、系統(tǒng)集成商和用戶整個(gè)價(jià)值鏈中 WLAN 安全的成本負(fù)擔(dān)，并且不合理地將各種成本投放市場(chǎng)安裝安全解決方案，最終用戶安裝各種安全實(shí)現(xiàn)。 設(shè)備制造商提供更多安全性并繼續(xù)支付費(fèi)用。 國(guó)際標(biāo)準(zhǔn)采用WEP、WPA、802.11系列、802.11i、VPN等方式保證無(wú)線局域網(wǎng)的安全。 然而，它們并不是簡(jiǎn)單地轉(zhuǎn)移有線局域網(wǎng)安全機(jī)制的無(wú)線局域網(wǎng)技術(shù)，或者在技術(shù)上很容易識(shí)別。 安全似乎是WLAN心中永恒的痛。 WAPI的出現(xiàn)重新思考了業(yè)界現(xiàn)有的WLAN安全機(jī)制。

基本安全模式已被取代。

服務(wù)集標(biāo)識(shí)符（SSID）和物理地址（MAC）過濾是無(wú)線網(wǎng)絡(luò)安全最基本的方式，但它們?cè)诩夹g(shù)上薄弱，逐漸被新的安全方式所取代。

服務(wù)集標(biāo)識(shí)符 (SSID)

這需要無(wú)線客戶端顯示正確的 SSID 才能訪問無(wú)線接入點(diǎn) AP。 SSID 可以被認(rèn)為是一個(gè)簡(jiǎn)單的密碼，但是，無(wú)線接入點(diǎn) AP 廣播其 SSID，從而降低了安全級(jí)別。 另外，一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道SSID，很容易與非法用戶共享。 標(biāo)準(zhǔn)工作組還表示：部分廠商支持； any 和 SSID 方法，只要無(wú)線客戶端在 AP 范圍內(nèi)，它就會(huì)自動(dòng)連接到 AP，從而繞過 SSID 的安全特性。

物理地址 (MAC) 過濾

這是硬件認(rèn)證，不是用戶認(rèn)證。 該方法要求AP中的MAC地址列表必須隨時(shí)更新。 現(xiàn)在是手工制作，可擴(kuò)展性很低，所以只適用于小規(guī)模的網(wǎng)絡(luò)，不法用戶很容易通過網(wǎng)絡(luò)攔截竊取MAC地址。

802.11 存在技術(shù)缺陷

.11包含認(rèn)證和加密，利用認(rèn)證和加密漏洞，在短短幾分鐘內(nèi)破解密鑰。

共享密鑰認(rèn)證

基于WEP的共享密鑰認(rèn)證的目的是實(shí)現(xiàn)訪問控制服務(wù)器運(yùn)維技術(shù)，但其認(rèn)證信息容易偽造。 因?yàn)楣蚕砻荑€認(rèn)證就是通過對(duì)查詢文本進(jìn)行加密認(rèn)證來(lái)證明自己知道共享密鑰。 如果攻擊者偵聽認(rèn)證回復(fù)，我們可以確認(rèn)加密回復(fù) RC4 密碼流。 因此，通過偵聽成功的身份驗(yàn)證，攻擊者可以偽造身份驗(yàn)證。 標(biāo)準(zhǔn)工作組開始共享密鑰身份驗(yàn)證，這實(shí)際上降低了網(wǎng)絡(luò)的整體安全性，WEP 密鑰更容易被猜到。

WAPI：充分考慮市場(chǎng)應(yīng)用

有線等效保密 (WEP)

WEP 的目標(biāo)是為無(wú)線 LAN 提供與有線網(wǎng)絡(luò)相同級(jí)別的安全性。 Wep在鏈路層采用RC4對(duì)稱加密技術(shù)。 雖然無(wú)線網(wǎng)絡(luò)的安全是通過加密來(lái)實(shí)現(xiàn)的，但標(biāo)準(zhǔn)工作組也指出了它的諸多不足。

缺乏密鑰管理。 用戶的加密密鑰必須與AP的密鑰相同服務(wù)器運(yùn)維技術(shù)，服務(wù)區(qū)內(nèi)的所有用戶共享同一個(gè)密鑰。 沒有 WEP 共享密鑰管理方案，通常是手動(dòng)配置和維護(hù)。 由于同時(shí)更換密鑰既費(fèi)時(shí)又困難，通常很少更換密鑰，如果用戶丟失密鑰，將對(duì)整個(gè)網(wǎng)絡(luò)造成沖擊。

ICV算法不是.wep ICV是基于CRC-32的傳輸噪聲檢測(cè)，而常見的.crc-32算法是信息的線性函數(shù)，這意味著攻擊者可以篡改加密信息并方便地修改ICV。

RC4 算法的弱點(diǎn)。 發(fā)現(xiàn) RC4 中的弱密鑰。 當(dāng)攻擊者使用弱密鑰收集到足夠多的數(shù)據(jù)包時(shí)，它可以分析出接入網(wǎng)絡(luò)中只有少數(shù)密鑰可用。

802.1x無(wú)法解決root

在認(rèn)證端口訪問控制技術(shù)（802.1x）無(wú)線局域網(wǎng)中，無(wú)線終端用戶安裝802.1x客戶端軟件，即AP內(nèi)嵌802.1x認(rèn)證代理，它同時(shí)作為服務(wù)器的客戶端，負(fù)責(zé)轉(zhuǎn)發(fā)認(rèn)證信息傳遞給用戶和服務(wù)器之間。

標(biāo)準(zhǔn)工作組表示，802.1X是否為WLAN設(shè)計(jì)并沒有考慮到無(wú)線應(yīng)用的特點(diǎn)。 它提供客戶端和服務(wù)器之間的身份驗(yàn)證，而不是 AP 和客戶端之間的身份驗(yàn)證。 用戶認(rèn)證信息僅使用用戶名和密碼，認(rèn)證信息的存儲(chǔ)、使用和傳輸存在很多安全隱患，如泄露、丟失等。ap和服務(wù)器通過基于共享密鑰協(xié)商會(huì)話密鑰的共享密鑰傳輸。 共享密鑰是靜態(tài)的，需要手動(dòng)管理，存在一定的安全風(fēng)險(xiǎn)。

TKIP 是最終的解決方案嗎

目前，Wi-Fi、WPA 和公式中的 .11i 標(biāo)準(zhǔn)推薦的安全解決方案都使用 TKIP 作為過渡安全。 Tkip和WEP都是基于RC4加密算法，但是相對(duì)于WEP算法，它擴(kuò)展了40位到128位的WEP密鑰長(zhǎng)度，初始向量IV長(zhǎng)度從24位擴(kuò)展到48位并擴(kuò)展，對(duì)現(xiàn)有的WEP進(jìn)行了改進(jìn)，即是一個(gè)附加的每發(fā)送一個(gè)數(shù)據(jù)包生成一個(gè)新的密鑰（key per ），消息完整性校驗(yàn)（MIC），序列的初始向量函數(shù)； 密鑰生成和更新功能； 四種算法，大大提高了加密的安全強(qiáng)度。 工作組考慮ED標(biāo)準(zhǔn)WEP算法：安全漏洞是由WEP機(jī)制本身造成的，沒有密鑰長(zhǎng)度，即使加密密鑰長(zhǎng)度增加，也能提高安全級(jí)別，增加的長(zhǎng)度初始化向量只能在有限的范圍內(nèi)使用，一定程度上增加了破解難度，比如延長(zhǎng)破解信息收集時(shí)間等，不能從根本上解決問題。 作為安全密鑰加密的一部分，TKIP 沒有突破 WEP 的核心機(jī)制，而且 TKIP 更容易受到攻擊，因?yàn)樗褂玫拿艽a通常只需簡(jiǎn)單猜測(cè)即可破解。 另一個(gè)嚴(yán)重的問題是加密/解密處理效率問題Y沒有得到改善。

Wi-Fi聯(lián)盟和委員會(huì)也承認(rèn)TKIP只能作為一個(gè)臨時(shí)的過渡方案，.11i標(biāo)準(zhǔn)的最終解決方案還是基于CCMP。 1x認(rèn)證尚未建立的（CBC-MAC）加密技術(shù)，它以AES（高級(jí)加密標(biāo)準(zhǔn)）為核心算法，采用CBC-MAC加密模式，組序mp初始向量為128位塊加密算法，比上述所有算法都更安全。

VPN應(yīng)用遇到的困難

VPN作為一種更可靠的網(wǎng)絡(luò)安全解決方案，自然而然地從有線網(wǎng)絡(luò)延伸到了無(wú)線網(wǎng)絡(luò)，但事實(shí)并非如此。 標(biāo)準(zhǔn)工作組認(rèn)為，無(wú)線網(wǎng)絡(luò)的應(yīng)用特性在很大程度上阻礙了VPN技術(shù)的應(yīng)用。 在以下幾個(gè)方面：

運(yùn)營(yíng)漏洞：無(wú)線鏈路質(zhì)量波動(dòng)或突發(fā)干擾或AP切換導(dǎo)致的短時(shí)中斷是無(wú)線應(yīng)用的特征之一。 因此，用戶通信鏈路出現(xiàn)短暫中斷也就不足為奇了，這對(duì)普通TCP/IP應(yīng)用不敏感，但對(duì)VPN鏈路影響很大。 如果發(fā)生中斷，用戶將不得不手動(dòng)設(shè)置以恢復(fù) VPN 連接。 這對(duì)于WLAN 用戶來(lái)說(shuō)是無(wú)法容忍的，尤其是那些需要移動(dòng)性或QoS 保證（例如VoIP 服務(wù)）的用戶。

吞吐量性能瓶頸：VPN 網(wǎng)絡(luò)上的任何交易都必須經(jīng)過 VPN 服務(wù)器，典型的 VPN 服務(wù)器可以達(dá)到 30-50 Mbps 的數(shù)據(jù)吞吐量。 在這種情況下，只要有8個(gè)802.11b AP，甚至一兩個(gè)802.11a/G AP，VPN服務(wù)器就可能過載，這使得提供無(wú)線接入的大公司需要花費(fèi)大量成本來(lái)平衡多個(gè)VPN服務(wù)器之間的負(fù)載成本.

普遍問題：VPN技術(shù)在國(guó)內(nèi)乃至全球都沒有統(tǒng)一的發(fā)展標(biāo)準(zhǔn)。 每個(gè)公司都有自己的特色產(chǎn)品，不具有通用性，這與強(qiáng)調(diào)互操作性的WLAN應(yīng)用相悖。

網(wǎng)絡(luò)可擴(kuò)展性：由于VPN網(wǎng)絡(luò)設(shè)置的復(fù)雜性，網(wǎng)絡(luò)可擴(kuò)展性受到很大限制。 如果我們要改變一個(gè)VPN網(wǎng)絡(luò)的拓?fù)浠騼?nèi)容，用戶往往要重新規(guī)劃和配置網(wǎng)絡(luò)，這不利于中等以上網(wǎng)絡(luò)的使用。

成本問題：以上三個(gè)問題實(shí)際上導(dǎo)致了用戶網(wǎng)絡(luò)設(shè)置成本不同程度的增加，而VPN產(chǎn)品本身的價(jià)格就非常高。 對(duì)于中小網(wǎng)絡(luò)用戶來(lái)說(shuō)，購(gòu)買成本甚至?xí)^WLAN設(shè)備本身。

WAPI 是更好的安全性

與上述安全機(jī)制相比，WAPI 更勝一籌。 已通過ISO/IEC IEEE認(rèn)可注冊(cè)機(jī)構(gòu)的審核，并分配了字段的WAPI協(xié)議。 它也是我們領(lǐng)域目前唯一批準(zhǔn)的協(xié)議。 這正在等待提交給 ISO/IEC JTC1 委員會(huì)。 雖然詳細(xì)說(shuō)明只能參考國(guó)家標(biāo)準(zhǔn)無(wú)線局域網(wǎng)正式公布的具體技術(shù)細(xì)節(jié)，但記者從標(biāo)準(zhǔn)工作組了解到：橢圓曲線密碼體制 國(guó)家密碼管理委員會(huì)辦公室，用于數(shù)字證書、無(wú)線局域網(wǎng)關(guān)鍵設(shè)備的協(xié)商和數(shù)據(jù)加密傳輸，以實(shí)現(xiàn)無(wú)線傳輸環(huán)境下的加密保護(hù)設(shè)備鑒權(quán)、鑒權(quán)、訪問控制和關(guān)聯(lián)用戶信息。

WAPI有幾個(gè)重要的特性：高可靠的安全認(rèn)證和新的安全體系，兩層（鏈路層）以下更可靠的安全體系，用戶接入點(diǎn)完成相互認(rèn)證，集中式或分布式密鑰管理和認(rèn)證，雙重認(rèn)證證書，證書管理靈活分布式系統(tǒng)的動(dòng)態(tài)密鑰、會(huì)話控制、高強(qiáng)度加密算法、嵌入式認(rèn)證算法模塊可擴(kuò)展或升級(jí)，支持安全切換； 支持SNMP網(wǎng)絡(luò)管理，完全符合國(guó)家標(biāo)準(zhǔn)，商用加密管理，通過國(guó)家安全審查，符合國(guó)家規(guī)定； 商用密碼管理規(guī)定；.

值得一提的是，WAPI還充分考慮了市場(chǎng)應(yīng)用。 從應(yīng)用方式上分為單點(diǎn)和集中應(yīng)用兩種：?jiǎn)吸c(diǎn)主要用于小家庭、小公司的集中應(yīng)用； 主要用于熱點(diǎn)和大型企業(yè)，配合管理系統(tǒng)和運(yùn)營(yíng)商建立安全的無(wú)線應(yīng)用平臺(tái)尤為重要，讓用戶在家庭、公司和熱點(diǎn)地區(qū)都能使用無(wú)線局域網(wǎng)，互聯(lián)互通。 使用WAPI可以徹底扭轉(zhuǎn)目前的局面。 WLAN采用多種安全機(jī)制，互不兼容，從根本上解決了安全性和兼容性問題。