行业动态

无线应用

5月12日，5月12日发布、12月1日实施的无线局域网国家标准，其中最引人注目的是无线宽带标准工作组制定的新安全机制WAPI，新机制可以确保更安全有效的无线局域网也重新思考了业界现有的无线局域网安全机制。

7月9日，在WLAN国家标准宣贯会上，宽带无线IP标准工作组秘书长黄振海博士指出了国家标准中存在的主要安全问题和射频管理问题的差异，国际标准以及新的安全机制 WAPI（WAPI）也体现了国家标准的先进性。

安全是重中之重

安全性是无线局域网的一个常见问题。 自诞生之日起，便以其灵活、方便等优点与安全漏洞共存。 在国外，安全问题很普遍，导致很多安全纠纷。 据统计，不愿使用无线局域网的原因是安全问题最高，高达40%，成为无线局域网进入信息化应用领域的最大障碍。 现有的安全机制无法提供足够安全的基本构建块来解决 WLAN 产品制造商、系统集成商和用户整个价值链中 WLAN 安全的成本负担，并且不合理地将各种成本投放市场安装安全解决方案，最终用户安装各种安全实现。 设备制造商提供更多安全性并继续支付费用。 国际标准采用WEP、WPA、802.11系列、802.11i、VPN等方式保证无线局域网的安全。 然而，它们并不是简单地转移有线局域网安全机制的无线局域网技术，或者在技术上很容易识别。 安全似乎是WLAN心中永恒的痛。 WAPI的出现重新思考了业界现有的WLAN安全机制。

基本安全模式已被取代。

服务集标识符（SSID）和物理地址（MAC）过滤是无线网络安全最基本的方式，但它们在技术上薄弱，逐渐被新的安全方式所取代。

服务集标识符 (SSID)

这需要无线客户端显示正确的 SSID 才能访问无线接入点 AP。 SSID 可以被认为是一个简单的密码，但是，无线接入点 AP 广播其 SSID，从而降低了安全级别。 另外，一般情况下，用户自己配置客户端系统，所以很多人都知道SSID，很容易与非法用户共享。 标准工作组还表示：部分厂商支持； any 和 SSID 方法，只要无线客户端在 AP 范围内，它就会自动连接到 AP，从而绕过 SSID 的安全特性。

物理地址 (MAC) 过滤

这是硬件认证，不是用户认证。 该方法要求AP中的MAC地址列表必须随时更新。 现在是手工制作，可扩展性很低，所以只适用于小规模的网络，不法用户很容易通过网络拦截窃取MAC地址。

802.11 存在技术缺陷

.11包含认证和加密，利用认证和加密漏洞，在短短几分钟内破解密钥。

共享密钥认证

基于WEP的共享密钥认证的目的是实现访问控制服务器运维技术，但其认证信息容易伪造。 因为共享密钥认证就是通过对查询文本进行加密认证来证明自己知道共享密钥。 如果攻击者侦听认证回复，我们可以确认加密回复 RC4 密码流。 因此，通过侦听成功的身份验证，攻击者可以伪造身份验证。 标准工作组开始共享密钥身份验证，这实际上降低了网络的整体安全性，WEP 密钥更容易被猜到。

WAPI：充分考虑市场应用

有线等效保密 (WEP)

WEP 的目标是为无线 LAN 提供与有线网络相同级别的安全性。 Wep在链路层采用RC4对称加密技术。 虽然无线网络的安全是通过加密来实现的，但标准工作组也指出了它的诸多不足。

缺乏密钥管理。 用户的加密密钥必须与AP的密钥相同服务器运维技术，服务区内的所有用户共享同一个密钥。 没有 WEP 共享密钥管理方案，通常是手动配置和维护。 由于同时更换密钥既费时又困难，通常很少更换密钥，如果用户丢失密钥，将对整个网络造成冲击。

ICV算法不是.wep ICV是基于CRC-32的传输噪声检测，而常见的.crc-32算法是信息的线性函数，这意味着攻击者可以篡改加密信息并方便地修改ICV。

RC4 算法的弱点。 发现 RC4 中的弱密钥。 当攻击者使用弱密钥收集到足够多的数据包时，它可以分析出接入网络中只有少数密钥可用。

802.1x无法解决root

在认证端口访问控制技术（802.1x）无线局域网中，无线终端用户安装802.1x客户端软件，即AP内嵌802.1x认证代理，它同时作为服务器的客户端，负责转发认证信息传递给用户和服务器之间。

标准工作组表示，802.1X是否为WLAN设计并没有考虑到无线应用的特点。 它提供客户端和服务器之间的身份验证，而不是 AP 和客户端之间的身份验证。 用户认证信息仅使用用户名和密码，认证信息的存储、使用和传输存在很多安全隐患，如泄露、丢失等。ap和服务器通过基于共享密钥协商会话密钥的共享密钥传输。 共享密钥是静态的，需要手动管理，存在一定的安全风险。

TKIP 是最终的解决方案吗

目前，Wi-Fi、WPA 和公式中的 .11i 标准推荐的安全解决方案都使用 TKIP 作为过渡安全。 Tkip和WEP都是基于RC4加密算法，但是相对于WEP算法，它扩展了40位到128位的WEP密钥长度，初始向量IV长度从24位扩展到48位并扩展，对现有的WEP进行了改进，即是一个附加的每发送一个数据包生成一个新的密钥（key per ），消息完整性校验（MIC），序列的初始向量函数； 密钥生成和更新功能； 四种算法，大大提高了加密的安全强度。 工作组考虑ED标准WEP算法：安全漏洞是由WEP机制本身造成的，没有密钥长度，即使加密密钥长度增加，也能提高安全级别，增加的长度初始化向量只能在有限的范围内使用，一定程度上增加了破解难度，比如延长破解信息收集时间等，不能从根本上解决问题。 作为安全密钥加密的一部分，TKIP 没有突破 WEP 的核心机制，而且 TKIP 更容易受到攻击，因为它使用的密码通常只需简单猜测即可破解。 另一个严重的问题是加密/解密处理效率问题Y没有得到改善。

Wi-Fi联盟和委员会也承认TKIP只能作为一个临时的过渡方案，.11i标准的最终解决方案还是基于CCMP。 1x认证尚未建立的（CBC-MAC）加密技术，它以AES（高级加密标准）为核心算法，采用CBC-MAC加密模式，组序mp初始向量为128位块加密算法，比上述所有算法都更安全。

VPN应用遇到的困难

VPN作为一种更可靠的网络安全解决方案，自然而然地从有线网络延伸到了无线网络，但事实并非如此。 标准工作组认为，无线网络的应用特性在很大程度上阻碍了VPN技术的应用。 在以下几个方面：

运营漏洞：无线链路质量波动或突发干扰或AP切换导致的短时中断是无线应用的特征之一。 因此，用户通信链路出现短暂中断也就不足为奇了，这对普通TCP/IP应用不敏感，但对VPN链路影响很大。 如果发生中断，用户将不得不手动设置以恢复 VPN 连接。 这对于WLAN 用户来说是无法容忍的，尤其是那些需要移动性或QoS 保证（例如VoIP 服务）的用户。

吞吐量性能瓶颈：VPN 网络上的任何交易都必须经过 VPN 服务器，典型的 VPN 服务器可以达到 30-50 Mbps 的数据吞吐量。 在这种情况下，只要有8个802.11b AP，甚至一两个802.11a/G AP，VPN服务器就可能过载，这使得提供无线接入的大公司需要花费大量成本来平衡多个VPN服务器之间的负载成本.

普遍问题：VPN技术在国内乃至全球都没有统一的发展标准。 每个公司都有自己的特色产品，不具有通用性，这与强调互操作性的WLAN应用相悖。

网络可扩展性：由于VPN网络设置的复杂性，网络可扩展性受到很大限制。 如果我们要改变一个VPN网络的拓扑或内容，用户往往要重新规划和配置网络，这不利于中等以上网络的使用。

成本问题：以上三个问题实际上导致了用户网络设置成本不同程度的增加，而VPN产品本身的价格就非常高。 对于中小网络用户来说，购买成本甚至会超过WLAN设备本身。

WAPI 是更好的安全性

与上述安全机制相比，WAPI 更胜一筹。 已通过ISO/IEC IEEE认可注册机构的审核，并分配了字段的WAPI协议。 它也是我们领域目前唯一批准的协议。 这正在等待提交给 ISO/IEC JTC1 委员会。 虽然详细说明只能参考国家标准无线局域网正式公布的具体技术细节，但记者从标准工作组了解到：椭圆曲线密码体制 国家密码管理委员会办公室，用于数字证书、无线局域网关键设备的协商和数据加密传输，以实现无线传输环境下的加密保护设备鉴权、鉴权、访问控制和关联用户信息。

WAPI有几个重要的特性：高可靠的安全认证和新的安全体系，两层（链路层）以下更可靠的安全体系，用户接入点完成相互认证，集中式或分布式密钥管理和认证，双重认证证书，证书管理灵活分布式系统的动态密钥、会话控制、高强度加密算法、嵌入式认证算法模块可扩展或升级，支持安全切换； 支持SNMP网络管理，完全符合国家标准，商用加密管理，通过国家安全审查，符合国家规定； 商用密码管理规定；.

值得一提的是，WAPI还充分考虑了市场应用。 从应用方式上分为单点和集中应用两种：单点主要用于小家庭、小公司的集中应用； 主要用于热点和大型企业，配合管理系统和运营商建立安全的无线应用平台尤为重要，让用户在家庭、公司和热点地区都能使用无线局域网，互联互通。 使用WAPI可以彻底扭转目前的局面。 WLAN采用多种安全机制，互不兼容，从根本上解决了安全性和兼容性问题。