|
|
3.2 WPA (Wi-Fi Protected Access,Wi-Fi保护访问)
IEEE为了缓解来自产业和最终用户的压力,于2002年匆忙推出了对WEP改进的方案——WPA,增强了802.11的安全性,作为过渡标准,在802.11i生效后将自动废止。从2003年2月Wi-Fi联盟开始WPA认证,4月认证首批WPA的新产品,经过6个月的认证过渡阶段,已于8月开始强制执行WAP标准。待正式出台802.11i标准之后,WPA的版本将升级为WPA V2,WPA将作为强制项目,WPA V2则作为可选项目,同时进行认证,再统一到WPA V2认证上来。
但一个严峻的现实是,WPA为了向前兼容有着安全缺陷的WEP标准,并没有根治安全隐患。WPA是基于目前Wi-Fi标准中WEP安全标准的RC4算法,有先天的缺陷。其区别是在通信的过程中不断地变更WEP密钥,变换的频度以假设目前的计算技术无法将WEP密钥破解为依据。但是对称加密的不足在于AP和工作站使用相同密钥,包括变更密钥在内的信息会在相同的简单加密数据包中传输,黑客只要监听到足够的数据包,借助更强大的计算设备,同样可以破解网络,最近暴露出严重的安全缺陷。
另一个让最终用户关心的问题是,WPA标准实施以来,通过认证的产品不到市场总量的20%,对于遵循木桶效应的信息安全原理来说,WPA对WLAN安全现状的缓解非常有限,而且WPA并不是完善的解决方案,很多WLAN设备厂商对此过渡方案颇有怨言,希望直接向802.11i升级。
3.3 IEEE 802.11i
由于WLAN系列标准当中针对服务质量、安全性都有一些规定,IEEE 802.11i是统一解决所有这些安全问题的标准。WPA标准构成了IEEE802.11i标准的核心。其认证机制是对客户机硬件和RADIUS进行双向认证,认证算法未定,无线用户身份认证通常为用户名和口令,身份凭证简单,易被盗用。其加密机制是128位WEP流加密算法和64128位AES加密算法,动态密钥,安全强度较高。
IEEE 802.11i本来是2002年就应该提出的一个标准,但是第一次打算推迟到2003年的9月份发布,后来Wi-Fi主席又宣布可能要到2004年第三个季度草案才能正式通过,全面强制认证的开展要等到2006年。估计届时符合802.11i的WLAN产品很难超过50%。根据国际WLAN市场的高增长率,到2006年运营商公众WLAN基础设施建设阶段将基本完成,大量有安全缺陷的WLAN产品将成为企业用户、个人用户手中的鸡肋,802.11i标准将成为不折不扣的马后炮。
因为标准不同,产品很难兼容,如果要达到820.11i标准,从AP、网卡、路由器、网关到操作系统都要同时升级,这相当于重新建立一套新的WLAN系统,代价是非常巨大的。
IEEE 802.11i首先是还在制订的草案,而不是正式的标准。其次它的安全性,由于没有出来,还不能给予肯定的评价。对于快速增长性的产品市场来说,配套安全标准的大大滞后,可能会错过WLAN发展的黄金时期。
4.WAPI是中国WLAN的安全保证
4.1中国WLAN国家标准的制定
对于我国乃至全球的WLAN市场来说,由于现有Wi-Fi标准的严重安全缺陷,2004年以后普遍面临标准升级的选择。从市场和产业的需求出发,我国组织了无线局域网国家标准的研究和制订工作,重点进行了WLAN国家标准的核心技术--无线局域网鉴别权和保密基础结构(WAPI)机制的构思、开发验证。从起草到颁布历时两年多时间,期间负责标准起草工作的“宽带无线IP标准工作组”相关成员单位,在信息产业部电子信息产业发展基金、科技部863、国家发改委高技术产业化示范工程、国家自然科学基金等多个国家项目的大力支持下,本着公开开放的原则,借鉴国外成功经验,制定出符合我国WLAN用户利益和产业发展需要的无线局域网国家标准GB15629.11和GB15629.1102,把国家对密码算法和无线电频率的要求纳入了进来,是基于Wi-Fi标准之上的符合中国安全规范的WLAN标准。它已由ISO/IEC授权的IEEE Registration Authority审查获得认可,分配了用于WAPI协议的以太网类型字段0x88b4,这是我国目前在该领域惟一获得批准的协议。我国正式推行WLAN国家标准也是符合国际惯例的,从2003年5月公布到2004年6月强制实施,有12个多月的准备阶段。 |
|
