WAPI:无线局域网新安全机制
作者:陈翔 文章来源:中国计算机报 网络与通信 2003年07月21日

WAPI:充分考虑市场应用

  有线等效保密(WEP)
  WEP的目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密技术,虽然通过加密提供无线网络的安全性,标准工作组也指出了它的许多缺陷:
缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP中没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常很少更换,倘若一个用户丢失密钥,则会殃及到整个网络。
ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV。
RC4算法存在弱点。在RC4中,人们发现了弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。
  802.1x不能解决根本
  在采用认证端口访问控制技术(IEEE802.1x)的WLAN中,无线用户端安装802.1x客户端软件,AP内嵌802.1x认证代理,同时它还作为RADIUS服务器的客户端,负责用户与RADIUS服务器之间认证信息的转发。
  标准工作组表示, 802.1x并不是专为WLAN设计的,没有考虑到无线应用的特点。它提供客户端与RADIUS服务器之间的认证,而不是与AP之间的认证。采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失。AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,人为手工管理,存在一定的安全隐患。
  TKIP不是最终方案
  目前Wi-Fi推荐的安全解决方案WPA以及制定中的IEEE802.11i标准,均采用TKIP作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位,并对现有的WEP进行了改进,即追加了“每发一个包重新生成一个新的密钥(Per Packet Key)”、“消息完整性检查(MIC)”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法,极大地提高了加密安全强度。

<<< 上一页 下一页 >>>