1. WAPI无线局域网新安全机制

2. [10-10 23:22:12]   来源：http://www.85jc.com  网络故障   阅读：8660次

概要：TKIP不是最终方案 目前Wi-Fi推荐的安全解决方案WPA以及制定中的IEEE802.11i标准，均采用TKIP作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法，但相比WEP算法，将WEP密钥的长度由40位加长到128位，初始化向量IV的长度由24位加长到48位，并对现有的WEP进行了改进，即追加了“每发一个包重新生成一个新的密钥(Per Packet Key)”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法，极大地提高了加密安全强http://www.85jc.com度。标准工作组认为：WEP算法的安全漏洞是由于WEP机制本身引起的，与密钥的长度无关，即使增加加密密钥的长度，也不可能增强http://www.85jc.com其安全程度，初始化向量IV长度的增加也只能在有限程度上提高破解难度，比如延长破解信息收集时间，并不能从根本上解决问题。因为作为安全关键的加密部分，TKIP没有脱离WEP的核心机制。而且，TKIP甚至更易受攻击，因为它采用了Kerberos密

WAPI无线局域网新安全机制,标签：网络故障解决,网络故障排除,http://www.85jc.com
TKIP不是最终方案
目前Wi-Fi推荐的安全解决方案WPA以及制定中的IEEE802.11i标准，均采用TKIP作为一种过渡安全解决方案。TKIP与WEP一样基于RC4加密算法，但相比WEP算法，将WEP密钥的长度由40位加长到128位，初始化向量IV的长度由24位加长到48位，并对现有的WEP进行了改进，即追加了“每发一个包重新生成一个新的密钥(Per Packet Key)”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法，极大地提高了加密安全强http://www.85jc.com度。标准工作组认为：WEP算法的安全漏洞是由于WEP机制本身引起的，与密钥的长度无关，即使增加加密密钥的长度，也不可能增强http://www.85jc.com其安全程度，初始化向量IV长度的增加也只能在有限程度上提高破解难度，比如延长破解信息收集时间，并不能从根本上解决问题。因为作为安全关键的加密部分，TKIP没有脱离WEP的核心机制。而且，TKIP甚至更易受攻击，因为它采用了Kerberos密码，常常可以用简单的猜测方法攻破。另一个严重问题是加/解密处理效率问题没有得到任何改进。
Wi-Fi联盟和IEEE802委员会也承认，TKIP只能作为一种临时的过渡方案，而IEEE802.11i标准的最终方案是目前尚未制定出的基于IEEE802.1x认证的CCMP（CBC-MAC Protocol）加密技术，即以AES（Advanced Encryption Standard）为核心算法。它采用CBC-MAC加密模式，具有分组序号的初始向量。CCMP为128位的分组加密算法，相比前面所述的所有算法安全程度更高。
VPN应用遭遇困难
作为一种比较可靠的网络安全解决方案，VPN自然而然地从有线网络扩展到无线网络，然而实际情况并非如此。标准工作组认为，无线网络的应用特点在很大程度上阻碍了VPN技术的应用，主要体现在以下几个方面：
运行的脆弱性：因突发干扰或AP间越区切换等因素导致的无线链路质量波动或短时中断是无线应用的特点之一，因此用户通信链路出现短时中断不足为奇。这种情况对于普通的TCP/IP应用影响不显敏感，但对于VPN链路影响巨大，一旦发生中断，用户将不得不手动设置以恢复VPN连接。这对于WLAN用户，尤其是需要移动或QoS保证（如VoIP业务）的用户是不能忍受的。
吞吐量性能瓶颈：在一个VPN网络里（电脑自动关机）进行的任何交换必须经过一个VPN服务器，一台典型的VPN服务器能够达到30-50 Mbps的数据吞吐量。按照这个速度，只要有八个802.11b AP，甚至一两（电脑没声音）个802.11a/g AP就可以使一台VPN服务器过载。这就使得那些为大公司提供无线接入的厂商，为了在多个VPN服务器之间达到负载平http://www.85jc.com衡，要花费巨额费用。
通用性问题：VPN技术在国内，甚至在国际上没有统一的开发标准，各公司自有专用产品不可通用，这与强http://www.85jc.com调互通性的WLAN应用是相悖的。
网络的扩展性问题：由于VPN网络架设的复杂性，大大限制了网络的可扩展性能。如果要改变一个VPN网络的拓扑结构或内容，用户往往将不得不重新规划并进行网络配置，不利于中型以上的网络使用。
成本问题：上述的三个问题实际在不同程度上直接导致了用户网络架设的成本攀升。而且，VPN产品本身的价格就很高，对于中小型网络用户，采购费用甚至会超过WLAN设备本身。
WAPI安全更胜一筹
与上述安全机制相比，WAPI可谓更胜一筹。它已由ISO/IEC授权的IEEE Registration Authority审查获得认可，分配了用于WAPI协议的以太类型字段，这也是我国目前在该领域惟一获得批准的协议，正等待向ISO/IEC JTC1委员会进行提交。虽然它的具体技术细节还要参考刚刚正式出版的WLAN国家标准的详细描述，但记者也从标准工作组获悉：WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。
WAPI具有几个重要特点：全新的高可靠性安全认证与保密体制，更可靠的二层（链路层）以下安全系统，完整的“用户－接入点”双向认证，集中式或分布集中式认证管理，证书－钥双认证，灵活多样的证书管理与分发体制，可控的会话协商动态密钥，高强http://www.85jc.com度的加密算法，可扩展或升级的全嵌入式认证与算法模块，支持带安全的越区切换；支持SNMP网络管理，完全符合国家标准，通过国家商用密码管理部门安全审查，符合“国家商用密码管理条例”。
值得一提的是，WAPI还充分考虑了市场应用。从应用模式上分为单点式和集中式两（电脑没声音）种：单点式主要用于家庭和小型公司的小范围应用；集中式主要用于热点地区和大型企业，可以和运营商的管理系统结合起来，共同搭建安全的无线应用平http://www.85jc.com台。用户可以在家里（电脑自动关机）、公司、热点地区应用WLAN，互连互通尤为重要。采用WAPI可以彻底扭转目前WLAN采用多种安全机制并存且互不兼容的现状，从根本上解决安全问题和兼容性问题。
 
WAPI无线局域网新安全机制

上一页  [1] [2] 

上一篇：防火墙合理配置和管理的策略