WAPI:无线局域网新安全机制
作者:陈翔 文章来源:中国计算机报 网络与通信 2003年07月21日
WAPI具有几个重要特点:全新的高可靠性安全认证与保密体制,更可靠的二层(链路层)以下安全系统,完整的“用户-接入点”双向认证,集中式或分布集中式认证管理,证书-钥双认证,灵活多样的证书管理与分发体制,可控的会话协商动态密钥,高强度的加密算法,可扩展或升级的全嵌入式认证与算法模块,支持带安全的越区切换;支持SNMP网络管理,完全符合国家标准,通过国家商用密码管理部门安全审查,符合“国家商用密码管理条例”。
值得一提的是,WAPI还充分考虑了市场应用。从应用模式上分为单点式和集中式两种:单点式主要用于家庭和小型公司的小范围应用;集中式主要用于热点地区和大型企业,可以和运营商的管理系统结合起来,共同搭建安全的无线应用平台。用户可以在家里、公司、热点地区应用WLAN,互连互通尤为重要。采用WAPI可以彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状,从根本上解决安全问题和兼容性问题。
|
IEEE802.11 |
IEEE802.11i |
WAPI |
特征 |
对客户机硬件认证
单向认证 |
无线用户和RADIUS服务器的认证·双向认证
无线用户身份通常为用户名和口令 |
无线用户和无线接入点的认证·双向认证
身份凭证为公钥数字证书 |
性能 |
认证简单 |
认证过程复杂
RADIUS服务器不易扩充 |
认证过程简单
客户端可以支持多证书,方便用户多处使用,充分保证其漫游功能·认证服务单元易于扩充,支持用户的异地接入 |
安全漏洞 |
认证易于伪造
降低了总安全性 |
用户身份凭证简单,易被盗取,且被盗取后可任意使用
共享密钥管理存在安全隐患 |
无 |
算法 |
开放式系统认证
共享密钥认证 |
未确定 |
192/224/256位的椭圆曲线签名算法 |
安全强度 |
低 |
较高 |
最高 |
扩展性 |
低 |
低 |
高 |
算法 |
64位的WEP流加密 |
128位的WEP流加密
128位的AES加密算法 |
认证的分组加密 |
密钥 |
静态 |
动态(基于用户、基于认证、通信过程中动态更新) |
动态(基于用户、基于认证、通信过程中动态更新) |
安全强度 |
低 |
高 |
最高 |
中国法规 |
不符合 |
不符合 |
符合 |
<<<
上一页