WAPI無線局域網新安全機制

無線應用
今年5月12日發布、12月1日強http://.制執行的無線局域網（WLAN）國家標准中，最引人注目的就是由寬帶無線IP標准工作組制定的新的安全機制WAPI。它到底能否更為有效地保障WLAN的安全呢新機制也同時再次引發了業界對WLAN現有安全機制的重新思考。
在7月9日的WLAN國家標准宣貫會上，寬帶無線IP標准工作組秘書長黃振海博士指出，國家標准與國際標准的差異主要在於安全問題和無線電頻率管理問題，而新安全機制WAPI（無線局域網鑒別和保密基礎結構）還同時體現了國家標准的先進性。
安全是重中之重
安全性對於WLAN來說可謂老生常談，自它誕生之日起，與其靈活便捷的優勢共存的就是安全漏洞這個揮之不去的陰影。在國外，因此出現的安全問題屢見不鮮，並導致很多安全糾紛。據統計，不願采用WLAN的理由中，安全問題高居第一位，達40%以上，已經成為阻礙WLAN進入信息化應用領域的最大障礙。現有的安全機制由於不能提供足夠安全的基礎建設模塊，讓解決WLAN安全成本的負擔轉移到整個WLAN價值鏈上的產品制造廠商、系統集成商和用戶，這種不合理的成本轉嫁使市場上產生了多種安全安裝解決方案，而最終用戶為了能夠實施設備廠商提供的多種安全安裝方案而不斷付出更多的安全成本。國際標准為此采用了WEP、WPA、802.11x、802.11i、VPN等方式試圖保證WLAN安全，但它們要麼只是將有線局域網安全機理通過技術轉接到WLAN上，要麼在技術上很容易被破譯。安全問題似乎成了WLAN心中永遠的痛。WAPI的出現再次引發了業界對WLAN現有安全機制的重新思考。
基本安全方式面臨取代
業務組標識符（SSID）和物理地址（MAC）過濾是目前WLAN最基本的安全方式，但它們在技術上易於被攻破，正逐步被新的安全方式所取代。
業務組標識符（SSID）
它需要無線客戶端出示正確的SSID才能訪問無線接入點AP，因此可以認為SSID是一個簡單的口令。然而無線接入點AP向外廣播其SSID，使安全程度下降。另外，一般情況下，用戶自己配置客戶端系統，所以很多人都知道該SSID，很容易共享給非法用戶。 標准工作組還表示：有的廠家支持“任何”SSID方式，只要無線客戶端處在AP范圍內，它都會自動連接到AP，這將繞過SSID的安全功能。
物理地址（MAC）過濾
它屬於硬件認證，而不是用戶認證。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作，擴展能力差，因此只適合小型網絡規模。另外，非法用戶利用網絡偵聽手段很容易竊取MAC地址。
802.11有技術缺陷
IEEE802.11包括認證和加密等方面，利用認證與加密的安全漏洞，在短至幾分鐘的時間內，就可以破解密鑰。
共享密鑰認證
基於WEP的共享密鑰認證的目的就是實現訪問控制，然而其認證信息易於偽造。因為共享密鑰認證是通過加密認證質詢文本來證明自己知曉共享密鑰，如果攻擊者監聽到認證應答，則可以確定用於加密應答的RC4密碼流。因此，通過監聽一次成功的認證，攻擊者就可以偽造認證。標准工作組認為：啟動共享密鑰認證實際上降低了網絡的總體安全性，使猜中WEP密鑰更為容易。

 
WAPI：充分考慮市場應用

有線等效保密（WEP）
WEP的目標是為WLAN提供與有線網絡相同級別的安全保護。WEP在鏈路層采用RC4對稱加密技術，雖然通過加密提供無線網絡的安全性，標准工作組也指出了它的許多缺陷：
缺少密鑰管理。用戶的加密密鑰必須與AP的密鑰相同，並且一個服務區內的所有用戶都共享同一把密鑰。WEP中沒有規定共享密鑰的管理方案，通常是手工進行配置與維護。由於同時更換密鑰的費時與困難，所以密鑰通常很少更換，倘若一個用戶丟失密鑰，則會殃及到整個網絡。
ICV算法不合適。WEP ICV是一種基於CRC-32的用於檢測傳輸噪音和普通錯誤的算法。CRC-32是信息的線性函數，這意味著攻擊者可以篡改加密信息，並很容易地修改ICV。
RC4算法存在弱點。在RC4中，人們發現了弱密鑰。攻擊者收集到足夠的使用弱密鑰的包後，就可以對它們進行分析，只須嘗試很少的密鑰就可以接入到網絡中。
802.1x不能解決根本
在采用認證端口訪問控制技術（IEEE802.1x）的WLAN中，無線用戶端安裝802.1x客戶端軟件，AP內嵌802.1x認證代理，同時它還作為RADIUS服務器的客戶端，負責用戶與RADIUS服務器之間認證信息的轉發。
標准工作組表示， 802.1x並不是專為WLAN設計的，沒有考慮到無線應用的特點。它提供客戶端與RADIUS服務器之間的認證，而不是與AP之間的認證。采用的用戶認證信息僅僅是用戶名與口令，在存儲、使用和認證信息傳遞中存在很大安全隱患，如洩漏、丟失。AP與RADIUS服務器之間基於共享密鑰完成認證過程協商出的會話密鑰的傳遞，該共享密鑰為靜態，人為手工管理，存在一定的安全隱患。
TKIP不是最終方案
目前Wi-Fi推薦的安全解決方案WPA以及制定中的IEEE802.11i標准，均采用TKIP作為一種過渡安全解決方案。TKIP與WEP一樣基於RC4加密算法，但相比WEP算法，將WEP密鑰的長度由40位加長到128位，初始化向量IV的長度由24位加長到48位，並對現有的WEP進行了改進，即追加了“每發一個包重新生成一個新的密鑰(Per Packet Key)”、“消息完整性檢查（MIC）”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”四種算法，極大地提高了加密安全強http://.度。標准工作組認為：WEP算法的安全漏洞是由於WEP機制本身引起的，與密鑰的長度無關，即使增加加密密鑰的長度，也不可能增強http://.其安全程度，初始化向量IV長度的增加也只能在有限程度上提高破解難度，比如延長破解信息收集時間，並不能從根本上解決問題。因為作為安全關鍵的加密部分，TKIP沒有脫離WEP的核心機制。而且，TKIP甚至更易受攻擊，因為它采用了Kerberos密碼，常常可以用簡單的猜測方法攻破。另一個嚴重問題是加/解密處理效率問題沒有得到任何改進。
Wi-Fi聯盟和IEEE802委員會也承認，TKIP只能作為一種臨時的過渡方案，而IEEE802.11i標准的最終方案是目前尚未制定出的基於IEEE802.1x認證的CCMP（CBC-MAC Protocol）加密技術，即以AES（Advanced Encryption Standard）為核心算法。它采用CBC-MAC加密模式，具有分組序號的初始向量。CCMP為128位的分組加密算法，相比前面所述的所有算法安全程度更高。
VPN應用遭遇困難
作為一種比較可靠的網絡安全解決方案，VPN自然而然地從有線網絡擴展到無線網絡，然而實際情況並非如此。標准工作組認為，無線網絡的應用特點在很大程度上阻礙了VPN技術的應用，主要體現在以下幾個方面：
運行的脆弱性：因突發干擾或AP間越區切換等因素導致的無線鏈路質量波動或短時中斷是無線應用的特點之一，因此用戶通信鏈路出現短時中斷不足為奇。這種情況對於普通的TCP/IP應用影響不顯敏感，但對於VPN鏈路影響巨大，一旦發生中斷，用戶將不得不手動設置以恢復VPN連接。這對於WLAN用戶，尤其是需要移動或QoS保證（如VoIP業務）的用戶是不能忍受的。
吞吐量性能瓶頸：在一個VPN網絡裡（電腦自動關機）進行的任何交換必須經過一個VPN服務器，一台典型的VPN服務器能夠達到30-50 Mbps的數據吞吐量。按照這個速度，只要有八個802.11b AP，甚至一兩（電腦沒聲音）個802.11a/g AP就可以使一台VPN服務器過載。這就使得那些為大公司提供無線接入的廠商，為了在多個VPN服務器之間達到負載平http://www.xsyzj.cn衡，要花費巨額費用。
通用性問題：VPN技術在國內，甚至在國際上沒有統一的開發標准，各公司自有專用產品不可通用，這與強http://.調互通性的WLAN應用是相悖的。
網絡的擴展性問題：由於VPN網絡架設的復雜性，大大限制了網絡的可擴展性能。如果要改變一個VPN網絡的拓撲結構或內容，用戶往往將不得不重新規劃並進行網絡配置，不利於中型以上的網絡使用。
成本問題：上述的三個問題實際在不同程度上直接導致了用戶網絡架設的成本攀升。而且，VPN產品本身的價格就很高，對於中小型網絡用戶，采購費用甚至會超過WLAN設備本身。
WAPI安全更勝一籌
與上述安全機制相比，WAPI可謂更勝一籌。它已由ISO/IEC授權的IEEE Registration Authority審查獲得認可，分配了用於WAPI協議的以太類型字段，這也是我國目前在該領域惟一獲得批准的協議，正等待向ISO/IEC JTC1委員會進行提交。雖然它的具體技術細節還要參考剛剛正式出版的WLAN國家標准的詳細描述，但記者也從標准工作組獲悉：WAPI采用國家密碼管理委員會辦公室批准的公開密鑰體制的橢圓曲線密碼算法和秘密密鑰體制的分組密碼算法，分別用於WLAN設備的數字證書、密鑰協商和傳輸數據的加解密，從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶信息在無線傳輸狀態下的加密保護。
WAPI具有幾個重要特點：全新的高可靠性安全認證與保密體制，更可靠的二層（鏈路層）以下安全系統，完整的“用戶－接入點”雙向認證，集中式或分布集中式認證管理，證書－鑰雙認證，靈活多樣的證書管理與分發體制，可控的會話協商動態密鑰，高強http://.度的加密算法，可擴展或升級的全嵌入式認證與算法模塊，支持帶安全的越區切換；支持SNMP網絡管理，完全符合國家標准，通過國家商用密碼管理部門安全審查，符合“國家商用密碼管理條例”。
值得一提的是，WAPI還充分考慮了市場應用。從應用模式上分為單點式和集中式兩（電腦沒聲音）種：單點式主要用於家庭和小型公司的小范圍應用；集中式主要用於熱點地區和大型企業，可以和運營商的管理系統結合起來，共同搭建安全的無線應用平http://www.xsyzj.cn台。用戶可以在家裡（電腦自動關機）、公司、熱點地區應用WLAN，互連互通尤為重要。采用WAPI可以徹底扭轉目前WLAN采用多種安全機制並存且互不兼容的現狀，從根本上解決安全問題和兼容性問題。
 
WAPI無線局域網新安全機制