WAPI:无线局域网新安全机制

作者：陈翔 文章来源：中国计算机报 网络与通信 2003年07月21日

　　标准工作组认为：WEP算法的安全漏洞是由于WEP机制本身引起的，与密钥的长度无关，即使增加加密密钥的长度，也不可能增强其安全程度，初始化向量IV长度的增加也只能在有限程度上提高破解难度，比如延长破解信息收集时间，并不能从根本上解决问题。因为作为安全关键的加密部分，TKIP没有脱离WEP的核心机制。而且，TKIP甚至更易受攻击，因为它采用了Kerberos密码，常常可以用简单的猜测方法攻破。另一个严重问题是加/解密处理效率问题没有得到任何改进。
　　Wi-Fi联盟和IEEE802委员会也承认，TKIP只能作为一种临时的过渡方案，而IEEE802.11i标准的最终方案是目前尚未制定出的基于IEEE802.1x认证的CCMP（CBC-MAC Protocol）加密技术，即以AES（Advanced Encryption Standard）为核心算法。它采用CBC-MAC加密模式，具有分组序号的初始向量。CCMP为128位的分组加密算法，相比前面所述的所有算法安全程度更高。
　　VPN应用遭遇困难
　　作为一种比较可靠的网络安全解决方案，VPN自然而然地从有线网络扩展到无线网络，然而实际情况并非如此。标准工作组认为，无线网络的应用特点在很大程度上阻碍了VPN技术的应用，主要体现在以下几个方面：
　　运行的脆弱性：因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一，因此用户通信链路出现短时中断不足为奇。这种情况对于普通的TCP/IP应用影响不显敏感，但对于VPN链路影响巨大，一旦发生中断，用户将不得不手动设置以恢复VPN连接。这对于WLAN用户，尤其是需要移动或QoS保证（如VoIP业务）的用户是不能忍受的。
　　吞吐量性能瓶颈：在一个VPN网络里进行的任何交换必须经过一个VPN服务器，一台典型的VPN服务器能够达到30-50 Mbps的数据吞吐量。按照这个速度，只要有八个802.11b AP，甚至一两个802.11a/g AP就可以使一台VPN服务器过载。这就使得那些为大公司提供无线接入的厂商，为了在多个VPN服务器之间达到负载平衡，要花费巨额费用。
　　通用性问题：VPN技术在国内，甚至在国际上没有统一的开发标准，各公司自有专用产品不可通用，这与强调互通性的WLAN应用是相悖的。
　　网络的扩展性问题：由于VPN网络架设的复杂性，大大限制了网络的可扩展性能。如果要改变一个VPN网络的拓扑结构或内容，用户往往将不得不重新规划并进行网络配置，不利于中型以上的网络使用。
　　成本问题：上述的三个问题实际在不同程度上直接导致了用户网络架设的成本攀升。而且，VPN产品本身的价格就很高，对于中小型网络用户，采购费用甚至会超过WLAN设备本身。
　　WAPI安全更胜一筹
　　与上述安全机制相比，WAPI可谓更胜一筹。它已由ISO/IEC授权的IEEE Registration Authority审查获得认可，分配了用于WAPI协议的以太类型字段，这也是我国目前在该领域惟一获得批准的协议，正等待向ISO/IEC JTC1委员会进行提交。虽然它的具体技术细节还要参考刚刚正式出版的WLAN国家标准的详细描述，但记者也从标准工作组获悉：WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。

<<< 上一页 下一页 >>>