WAPI:无线局域网新安全机制

作者：陈翔 文章来源：中国计算机报 网络与通信 2003年07月21日

　　无线应用
　　今年5月12日发布、12月1日强制执行的无线局域网（WLAN）国家标准中，最引人注目的就是由宽带无线IP标准工作组制定的新的安全机制WAPI。它到底能否更为有效地保障WLAN的安全呢？新机制也同时再次引发了业界对WLAN现有安全机制的重新思考。
　　在7月9日的WLAN国家标准宣贯会上，宽带无线IP标准工作组秘书长黄振海博士指出，国家标准与国际标准的差异主要在于安全问题和无线电频率管理问题，而新安全机制WAPI（无线局域网鉴别和保密基础结构）还同时体现了国家标准的先进性。
　　安全是重中之重
　　安全性对于WLAN来说可谓老生常谈，自它诞生之日起，与其灵活便捷的优势共存的就是安全漏洞这个挥之不去的阴影。在国外，因此出现的安全问题屡见不鲜，并导致很多安全纠纷。据统计，不愿采用WLAN的理由中，安全问题高居第一位，达40%以上，已经成为阻碍WLAN进入信息化应用领域的最大障碍。现有的安全机制由于不能提供足够安全的基础建设模块，让解决WLAN安全成本的负担转移到整个WLAN价值链上的产品制造厂商、系统集成商和用户，这种不合理的成本转嫁使市场上产生了多种安全安装解决方案，而最终用户为了能够实施设备厂商提供的多种安全安装方案而不断付出更多的安全成本。国际标准为此采用了WEP、WPA、802.11x、802.11i、VPN等方式试图保证WLAN安全，但它们要么只是将有线局域网安全机理通过技术转接到WLAN上，要么在技术上很容易被破译。安全问题似乎成了WLAN心中永远的痛。WAPI的出现再次引发了业界对WLAN现有安全机制的重新思考。
　　基本安全方式面临取代
　　业务组标识符（SSID）和物理地址（MAC）过滤是目前WLAN最基本的安全方式，但它们在技术上易于被攻破，正逐步被新的安全方式所取代。
　　业务组标识符（SSID）
　　它需要无线客户端出示正确的SSID才能访问无线接入点AP，因此可以认为SSID是一个简单的口令。然而无线接入点AP向外广播其SSID，使安全程度下降。另外，一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。 标准工作组还表示：有的厂家支持“任何”SSID方式，只要无线客户端处在AP范围内，它都会自动连接到AP，这将绕过SSID的安全功能。
　　物理地址（MAC）过滤
　　它属于硬件认证，而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作，扩展能力差，因此只适合小型网络规模。另外，非法用户利用网络侦听手段很容易窃取MAC地址。
　　802.11有技术缺陷
IEEE802.11包括认证和加密等方面，利用认证与加密的安全漏洞，在短至几分钟的时间内，就可以破解密钥。
　　共享密钥认证
基于WEP的共享密钥认证的目的就是实现访问控制，然而其认证信息易于伪造。因为共享密钥认证是通过加密认证质询文本来证明自己知晓共享密钥，如果攻击者监听到认证应答，则可以确定用于加密应答的RC4密码流。因此，通过监听一次成功的认证，攻击者就可以伪造认证。标准工作组认为：启动共享密钥认证实际上降低了网络的总体安全性，使猜中WEP密钥更为容易。

<<< 上一页 下一页 >>>