WAPI安全机制：无线局域网

无线应用

5月12日，无线局域网（WLAN）的国家标准，这是在5月12日发布，12月1日起实施，最引人注目的是新的安全机制WAPI的无线宽带标准工作组开发的，可以保证无线局域网更安全有效新的机制也再次反思业界反思WLAN现有的安全机制。

在无线局域网国家标准宣贯会议7月9日，宽带无线IP标准工作组秘书长黄振海博士指出，国家标准与国际标准存在的主要安全问题和无线电频率管理问题之间的区别，以及新的安全机制WAPI（WAPI）也体现了国家标准的先进自然。

安全是重中之重

安全性是无线局域网的常见问题。自诞生以来，以其灵活、方便的优点，其共存是安全漏洞的影子。在国外，安全问题是常见的，导致了许多安全纠纷。据统计，不想采用无线局域网的原因是最高的安全问题，高达40%，这已成为无线局域网进入信息化应用领域的最大障碍。现有的安全机制不能提供基本的构建块是足够安全的，解决无线局域网产品制造商的整个价值链的无线局域网安全的成本负担，系统集成商和用户，对市场的不合理的费用有多种安装安全解决方案，和最终用户安装各种的安全实施方案设备制造商提供更多的安全和继续缴纳费用。国际标准采用的WEP，WPA，802.11系列、802.11i，VPN等方式来确保无线局域网的安全。然而，他们不是简单地转移了有线局域网的安全机制的无线局域网技术，或在技术上很容易被辨认出来。安全似乎是在WLAN的心永恒的痛苦。WAPI的出现，重新思考行业的WLAN现有的安全机制。

基本安全方式已被取代。

业务组标识符（SSID）和物理地址（MAC）过滤是无线网络安全的最基本的方式，但他们在技术上的弱势，并逐渐被新的安全方法所取代。

业务组标识符（SSID）

这就要求无线客户端显示正确的SSID接入无线接入点AP，SSID可以被认为是一个简单的密码，但是，无线接入点AP广播其SSID，从而降低安全水平。此外，在一般情况下，用户配置客户端系统本身，所以很多人都知道的SSID，很容易共享给非法用户，标准工作组还表示：有些厂家的支持；任何和SSID方式，只要无线客户端在AP范围内，它会自动连接到AP，这将绕过SSID的安全功能。

物理地址（MAC）过滤

这是一种硬件身份验证，而不是用户身份验证。这种方法要求AP中的MAC地址列表必须随时更新。它现在是手工制作的，而且具有很低的可扩展性，因此它只适用于小的网络规模，而且，非法用户很容易通过网络截取来窃取MAC地址。

802.11有技术缺陷

IEEE802.11包括认证和加密，并使用身份验证和加密漏洞突破关键在短至几分钟。

共享密钥认证

基于WEP共享密钥认证的目的是实现访问控制，但其认证信息很容易伪造。因为共享密钥认证是通过加密和认证查询文本来证明他们知道共享密钥。如果攻击者听认证答复，我们可以确认加密回复RC4密码流。因此，通过听成功验证，攻击者可以伪造认证。标准工作组，开始共享密钥认证实际上降低了网络的整体安全，WEP密钥更容易猜。
WAPI：充分考虑市场应用
有线等效保密（WEP）

WEP的目标是提供无线局域网与有线network.wep同样级别的安全保障使用链路层的RC4对称加密技术，虽然无线网络的安全是通过加密，标准工作组也指出了它的许多缺点。

密钥管理缺乏。用户的加密密钥必须与AP的密钥相同，并在服务区的所有用户共享同一个密钥。有没有WEP共享密钥管理方案，这通常是手动配置和维护。因为它是费时和困难同时更换的关键，关键是通常很少更换，如果用户丢失的钥匙，这将打击整个网络。

ICV算法不suitable.wep ICV是一种基于CRC-32检测传输噪声和常见的errors.crc-32算法是信息的线性函数，这意味着攻击者可以篡改加密信息和方便修改ICV。

在RC4算法的弱点。在RC4弱密钥被发现。当一个攻击者收集到足够的包使用弱密钥，它可以分析，只有几个键可以在访问网络。

802.1x能够解决不了根

在认证端口访问控制技术（802.1x）无线局域网，无线端用户安装802.1x客户端软件，美联社802.1x嵌入式认证代理，同时它也作为RADIUS服务器的客户端，负责转发认证信息的用户和服务器之间。

标准工作组说，802.1X是不是为WLAN设计并没有考虑到无线应用的特点，它提供了客户端和RADIUS服务器之间的认证，而不是AP和客户端之间的认证，用户认证信息只使用用户名和密码，还有很多在存储安全隐患，使用和认证信息的传输，如泄漏和loss.ap和RADIUS服务器传输通过共享密钥基于共享密钥协商会话密钥。共享密钥是静态的和手动管理的，并且存在一定的安全风险。

TKIP是不是最终的解决方案

目前，安全解决方案，通过Wi-Fi推荐，水渍险和配方中的IEEE802.11i标准，使用TKIP作为一种过渡性的安全solution.tkip和WEP基于RC4加密算法，但相比WEP算法，由40扩展到128位的WEP密钥长度，初始向量IV长度从24到48和扩展，现有的WEP已经提高了，这是一个额外的每发送一个数据包来生成新的密钥（每包键），消息完整性检查（MIC），序列的初始向量函数；密钥生成和更新功能；四种算法，大大提高了加密的安全强度。工作组考虑ED标准WEP算法：安全漏洞是由WEP机制本身造成的，没有密钥的长度，即使在加密密钥长度的增加，也可以提高安全水平，增加的初始化向量的长度只能在有限的程度上增加了破解的难度，如裂缝信息采集时间的延长，并不能从根本上解决问题。作为安全密钥加密部分，TKIP没有核心机制突破WEP，TKIP更脆弱，因为它使用Kerberos密码，常常可以用一个简单的猜测方法破解。另一个严重的问题是加/解密处理效率问题Y没有得到改善。

Wi-Fi联盟和IEEE802委员会也承认，TKIP只能作为一种临时过渡方案，并对IEEE802.11i标准最终的解决方案是基于CCMP IEEE802.1x认证尚未建立在（CBC-MAC Protocol）加密技术，它使用AES（高级加密标准）作为核心算法，它使用CBC-MAC加密模式与该组的序列number.ccmp初始向量是一个128位的分组加密算法，它比前面提到的所有算法更安全。

VPN应用遇到的困难

VPN作为一种更可靠的网络安全解决方案，自然从有线网络扩展到无线网络，但事实并非如此，标准工作组认为，无线网络的应用特性在很大程度上阻碍了VPN技术的应用，主要表现在以下几个方面：

操作脆弱性：无线链路质量波动或突发性干扰或AP切换引起的短时间中断是无线应用的特点之一。因此，用户通信链路出现短中断并不奇怪，这种情况对普通TCP/IP应用程序并不敏感，但对VPN链路有很大的影响。一旦发生中断，用户将不得不手动设置恢复VPN连接。这对WLAN用户来说是难以忍受的，尤其是需要移动或QoS保证（如VoIP服务）的用户。

吞吐量性能瓶颈：在VPN网络的任何交易必须通过一个VPN服务器，和一个典型的VPN服务器可以达到30-50 Mbps的数据吞吐量。在这种情况下，只要有八802.11b的AP，甚至一个或两个802.11a / G AP、VPN服务器可以被重载，这使得厂商提供的无线接入的大公司花费很多来平衡多个VPN服务器之间的负载成本。

普遍性的问题：VPN技术在中国乃至世界没有统一的开发标准。每个公司都有自己的特殊产品，这是不通用的，这与强调互操作性的WLAN应用相反。

网络的可扩展性：由于VPN网络架设的复杂性，网络的可扩展性受到很大的限制。如果我们想改变一个VPN网络的拓扑结构或内容，用户往往要重新规划和配置网络，这是不利于中等或以上的网络使用。

成本问题：上述三个问题实际上导致用户网络架设成本的不同程度上升，而且VPN产品本身的价格非常高，对于中小型网络用户来说，购买成本甚至会超过WLAN设备本身。

WAPI是更好的安全性

上述安全机制相比，WAPI更好。它已通过ISO / IEC IEEE批准授权的登记机关的审查，并分配了以太网类型字段的WAPI协议。这也是目前在我们领域批准的唯一协议。这是等待被提交给ISO / IEC JTC1委员会。虽然详细描述必须仅指国家标准的无线局域网的官方出版物的具体技术细节，但记者从标准工作组获悉：WAPI采用椭圆曲线密码体制的分组密码算法的公钥和秘密密钥系统国家密码管理委员会办公室，用于数字证书，无线局域网的关键设备的谈判和数据加密传输，从而实现加密保护设备的认证，认证，在无线传输环境下的访问控制和链接的用户信息。

WAPI有几个重要的特点：高可靠性的安全认证和安全系统的新的，更可靠的两层（链路层）以下安全系统，完整的用户接入点的相互认证，集中式或分布式密钥管理和认证，双认证证书，证书的管理和灵活的分布式系统的动态密钥，会话控制，高强度的加密算法，嵌入式认证算法模块可以扩展或升级，支持安全切换；支持SNMP网络管理，完全符合国家标准，通过国家安全审查的商用密码管理，按照国家；商业密码管理条例；。

值得一提的是，WAPI也充分考虑到市场应用，从应用模式分为单点和集中两种：单点式主要用于小家庭和小公司集中的应用；主要用于热点地区和大型企业，管理体系和运营商合作，建立一个安全的无线应用平台，用户可以将无线局域网在家庭、公司和热点，和互连尤为重要。WAPI的使用完全可以扭转目前的局势，WLAN采用多重安全机制和互不兼容，从根本上解决了安全性和兼容性问题。