無線應用

5月12日，5月12日發(fā)布、12月1日實施的無線局域網國家標準，其中最引人注目的是無線寬帶標準工作組制定的新安全機制WAPI，新機制可以確保更安全有效的無線局域網也重新思考了業(yè)界現有的無線局域網安全機制。

7月9日，在WLAN國家標準宣貫會上，寬帶無線IP標準工作組秘書長黃振海博士指出了國家標準中存在的主要安全問題和射頻管理問題的差異，國際標準以及新的安全機制 WAPI（WAPI）也體現了國家標準的先進性。

安全是重中之重

安全性是無線局域網的一個常見問題。 自誕生之日起，便以其靈活、方便等優(yōu)點與安全漏洞共存。 在國外，安全問題很普遍，導致很多安全糾紛。 據統計，不愿使用無線局域網的原因是安全問題最高，高達40%，成為無線局域網進入信息化應用領域的最大障礙。 現有的安全機制無法提供足夠安全的基本構建塊來解決 WLAN 產品制造商、系統集成商和用戶整個價值鏈中 WLAN 安全的成本負擔，并且不合理地將各種成本投放市場安裝安全解決方案，最終用戶安裝各種安全實現。 設備制造商提供更多安全性并繼續(xù)支付費用。 國際標準采用WEP、WPA、802.11系列、802.11i、VPN等方式保證無線局域網的安全。 然而，它們并不是簡單地轉移有線局域網安全機制的無線局域網技術，或者在技術上很容易識別。 安全似乎是WLAN心中永恒的痛。 WAPI的出現重新思考了業(yè)界現有的WLAN安全機制。

基本安全模式已被取代。

服務集標識符（SSID）和物理地址（MAC）過濾是無線網絡安全最基本的方式，但它們在技術上薄弱，逐漸被新的安全方式所取代。

服務集標識符 (SSID)

這需要無線客戶端顯示正確的 SSID 才能訪問無線接入點 AP。 SSID 可以被認為是一個簡單的密碼，但是，無線接入點 AP 廣播其 SSID，從而降低了安全級別。 另外，一般情況下，用戶自己配置客戶端系統，所以很多人都知道SSID，很容易與非法用戶共享。 標準工作組還表示：部分廠商支持； any 和 SSID 方法，只要無線客戶端在 AP 范圍內，它就會自動連接到 AP，從而繞過 SSID 的安全特性。

物理地址 (MAC) 過濾

這是硬件認證，不是用戶認證。 該方法要求AP中的MAC地址列表必須隨時更新。 現在是手工制作，可擴展性很低，所以只適用于小規(guī)模的網絡，不法用戶很容易通過網絡攔截竊取MAC地址。

802.11 存在技術缺陷

.11包含認證和加密，利用認證和加密漏洞，在短短幾分鐘內破解密鑰。

共享密鑰認證

基于WEP的共享密鑰認證的目的是實現訪問控制服務器運維技術，但其認證信息容易偽造。 因為共享密鑰認證就是通過對查詢文本進行加密認證來證明自己知道共享密鑰。 如果攻擊者偵聽認證回復，我們可以確認加密回復 RC4 密碼流。 因此，通過偵聽成功的身份驗證，攻擊者可以偽造身份驗證。 標準工作組開始共享密鑰身份驗證，這實際上降低了網絡的整體安全性，WEP 密鑰更容易被猜到。

WAPI：充分考慮市場應用

有線等效保密 (WEP)

WEP 的目標是為無線 LAN 提供與有線網絡相同級別的安全性。 Wep在鏈路層采用RC4對稱加密技術。 雖然無線網絡的安全是通過加密來實現的，但標準工作組也指出了它的諸多不足。

缺乏密鑰管理。 用戶的加密密鑰必須與AP的密鑰相同服務器運維技術，服務區(qū)內的所有用戶共享同一個密鑰。 沒有 WEP 共享密鑰管理方案，通常是手動配置和維護。 由于同時更換密鑰既費時又困難，通常很少更換密鑰，如果用戶丟失密鑰，將對整個網絡造成沖擊。

ICV算法不是.wep ICV是基于CRC-32的傳輸噪聲檢測，而常見的.crc-32算法是信息的線性函數，這意味著攻擊者可以篡改加密信息并方便地修改ICV。

RC4 算法的弱點。 發(fā)現 RC4 中的弱密鑰。 當攻擊者使用弱密鑰收集到足夠多的數據包時，它可以分析出接入網絡中只有少數密鑰可用。

802.1x無法解決root

在認證端口訪問控制技術（802.1x）無線局域網中，無線終端用戶安裝802.1x客戶端軟件，即AP內嵌802.1x認證代理，它同時作為服務器的客戶端，負責轉發(fā)認證信息傳遞給用戶和服務器之間。

標準工作組表示，802.1X是否為WLAN設計并沒有考慮到無線應用的特點。 它提供客戶端和服務器之間的身份驗證，而不是 AP 和客戶端之間的身份驗證。 用戶認證信息僅使用用戶名和密碼，認證信息的存儲、使用和傳輸存在很多安全隱患，如泄露、丟失等。ap和服務器通過基于共享密鑰協商會話密鑰的共享密鑰傳輸。 共享密鑰是靜態(tài)的，需要手動管理，存在一定的安全風險。

TKIP 是最終的解決方案嗎

目前，Wi-Fi、WPA 和公式中的 .11i 標準推薦的安全解決方案都使用 TKIP 作為過渡安全。 Tkip和WEP都是基于RC4加密算法，但是相對于WEP算法，它擴展了40位到128位的WEP密鑰長度，初始向量IV長度從24位擴展到48位并擴展，對現有的WEP進行了改進，即是一個附加的每發(fā)送一個數據包生成一個新的密鑰（key per ），消息完整性校驗（MIC），序列的初始向量函數； 密鑰生成和更新功能； 四種算法，大大提高了加密的安全強度。 工作組考慮ED標準WEP算法：安全漏洞是由WEP機制本身造成的，沒有密鑰長度，即使加密密鑰長度增加，也能提高安全級別，增加的長度初始化向量只能在有限的范圍內使用，一定程度上增加了破解難度，比如延長破解信息收集時間等，不能從根本上解決問題。 作為安全密鑰加密的一部分，TKIP 沒有突破 WEP 的核心機制，而且 TKIP 更容易受到攻擊，因為它使用的密碼通常只需簡單猜測即可破解。 另一個嚴重的問題是加密/解密處理效率問題Y沒有得到改善。

Wi-Fi聯盟和委員會也承認TKIP只能作為一個臨時的過渡方案，.11i標準的最終解決方案還是基于CCMP。 1x認證尚未建立的（CBC-MAC）加密技術，它以AES（高級加密標準）為核心算法，采用CBC-MAC加密模式，組序mp初始向量為128位塊加密算法，比上述所有算法都更安全。

VPN應用遇到的困難

VPN作為一種更可靠的網絡安全解決方案，自然而然地從有線網絡延伸到了無線網絡，但事實并非如此。 標準工作組認為，無線網絡的應用特性在很大程度上阻礙了VPN技術的應用。 在以下幾個方面：

運營漏洞：無線鏈路質量波動或突發(fā)干擾或AP切換導致的短時中斷是無線應用的特征之一。 因此，用戶通信鏈路出現短暫中斷也就不足為奇了，這對普通TCP/IP應用不敏感，但對VPN鏈路影響很大。 如果發(fā)生中斷，用戶將不得不手動設置以恢復 VPN 連接。 這對于WLAN 用戶來說是無法容忍的，尤其是那些需要移動性或QoS 保證（例如VoIP 服務）的用戶。

吞吐量性能瓶頸：VPN 網絡上的任何交易都必須經過 VPN 服務器，典型的 VPN 服務器可以達到 30-50 Mbps 的數據吞吐量。 在這種情況下，只要有8個802.11b AP，甚至一兩個802.11a/G AP，VPN服務器就可能過載，這使得提供無線接入的大公司需要花費大量成本來平衡多個VPN服務器之間的負載成本.

普遍問題：VPN技術在國內乃至全球都沒有統一的發(fā)展標準。 每個公司都有自己的特色產品，不具有通用性，這與強調互操作性的WLAN應用相悖。

網絡可擴展性：由于VPN網絡設置的復雜性，網絡可擴展性受到很大限制。 如果我們要改變一個VPN網絡的拓撲或內容，用戶往往要重新規(guī)劃和配置網絡，這不利于中等以上網絡的使用。

成本問題：以上三個問題實際上導致了用戶網絡設置成本不同程度的增加，而VPN產品本身的價格就非常高。 對于中小網絡用戶來說，購買成本甚至會超過WLAN設備本身。

WAPI 是更好的安全性

與上述安全機制相比，WAPI 更勝一籌。 已通過ISO/IEC IEEE認可注冊機構的審核，并分配了字段的WAPI協議。 它也是我們領域目前唯一批準的協議。 這正在等待提交給 ISO/IEC JTC1 委員會。 雖然詳細說明只能參考國家標準無線局域網正式公布的具體技術細節(jié)，但記者從標準工作組了解到：橢圓曲線密碼體制 國家密碼管理委員會辦公室，用于數字證書、無線局域網關鍵設備的協商和數據加密傳輸，以實現無線傳輸環(huán)境下的加密保護設備鑒權、鑒權、訪問控制和關聯用戶信息。

WAPI有幾個重要的特性：高可靠的安全認證和新的安全體系，兩層（鏈路層）以下更可靠的安全體系，用戶接入點完成相互認證，集中式或分布式密鑰管理和認證，雙重認證證書，證書管理靈活分布式系統的動態(tài)密鑰、會話控制、高強度加密算法、嵌入式認證算法模塊可擴展或升級，支持安全切換； 支持SNMP網絡管理，完全符合國家標準，商用加密管理，通過國家安全審查，符合國家規(guī)定； 商用密碼管理規(guī)定；.

值得一提的是，WAPI還充分考慮了市場應用。 從應用方式上分為單點和集中應用兩種：單點主要用于小家庭、小公司的集中應用； 主要用于熱點和大型企業(yè)，配合管理系統和運營商建立安全的無線應用平臺尤為重要，讓用戶在家庭、公司和熱點地區(qū)都能使用無線局域網，互聯互通。 使用WAPI可以徹底扭轉目前的局面。 WLAN采用多種安全機制，互不兼容，從根本上解決了安全性和兼容性問題。