WLAN安全机制大扫描
文章来源:网络世界第25期 2003-7-21

  (2)保密
  有线等效保密的改进方案-TKIP
  目前Wi-Fi推荐的无线局域网安全解决方案WPA(Wi-Fi Protected Access)以及制定中的IEEE 802.11i标准均采用TKIP(Temporal Key Integrity Protocol)作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法,但相比WEP算法,将WEP密钥的长度由40位加长到128位,初始化向量IV的长度由24位加长到48位。然而WEP算法的安全漏洞是由于WEP机制本身引起的,与密钥的长度无关,即使增加加密密钥的长度,也不可能增强其安全程度,初始化向量IV长度的增加也只能在有限程度上提高破解难度,比如延长破解信息收集时间,并不能从根本上解决问题,因为作为安全关键的加密部分,TKIP没有脱离WEP的核心机制。甚至TKIP更易受攻击,因为它采用了Kerberos密码,常常可以用简单的猜测方法攻破。另一个严重问题是加/解密处理效率问题没有得到任何改进,甚至更差。Wi-Fi联盟和IEEE 802委员会也承认,TKIP只能作为一种临时的过渡方案,而不是最终方案。
  有线等效保密的替代方案-CCMP
  目前正在制定中的IEEE 802.11i标准的终极加密解决方案为基于IEEE 802.1x认证的CCMP(CBC-MAC Protocol)加密技术,即以AES(Advanced Encryption Standard)为核心算法,采用CBC-MAC加密模式,具有分组序号的初始向量。CCMP为128位的分组加密算法,相比前面所述的所有算法安全程度更高。
  四、VPN技术
  作为一种比较可靠的网络安全解决方案,VPN技术在有线网络中,尤其是企业有线网络应用中得到了一定程度的采用。自然,有人就认为将其从有线网络扩展到无线网络依然可行。然而实际情况并非如此,无线网络的应用特点在很大程度上阻碍了VPN技术的应用,主要体现在以下几个方面:
  运行的脆弱性:众所周知,因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一,因此用户通信链路出现短时中断不足为奇。这种情况对于普通的TCP/IP应用影响不显敏感,但对于VPN链路影响巨大,一旦发生中断,用户将不得不通过手动设置以重新恢复VPN连接。这对于WLAN用户,尤其是需要移动或QoS保证(如VoIP业务)的WLAN用户是不可忍受的。
  吞吐量性能瓶颈:在一个VPN网络里进行的任何交换必须经过一个VPN服务器,一台典型的VPN服务器能够达到30-50 Mbps的数据吞吐量。按照这个速度,只要有八个IEEE 802.11b无线接入点(对于54Mbps的IEEE 802.11a/g无线接入点甚至一两台)就可以使一台VPN服务器过载。这就使得那些为大公司提供公司范围无线接入的公司,为了在多个VPN服务器之间达到负载平衡,花费多得不可思议的费用。
  通用性问题:VPN技术在国内,甚至在国际上没有一个统一的开发标准,各公司基于自有技术与目的开发自有专用产品,导致技术体制杂乱,没有通用型可言。这对于强调互通性的WLAN应用是相悖的。
网络的扩展性问题:VPN技术在提供网络安全的同时,大大限制了网络的可扩展性能,这主要是由于VPN网络架设的复杂性导致的。如果要改变一个VPN网络的拓扑结构或内容,用户往往将不得不重新规划并进行网络配置,这对于一个中型以上的网络几乎是不可思议的。
  成本问题:上述的3个问题实际在不同程度上直接导致了用户网络架设的成本攀升。另一个重要因素是VPN产品本身的价格就很高,对于中小型网络用户甚至超过WLAN设备的采购费用。

<<< 上一页