WAPI：全新实现WLAN 安全

WAPI：全新实现WLAN安全关键词:WLAN,WAPI,网络安全摘要:与有线网络相比较，无线网络的安全问题具有以下四个特点：（1）信道开放，无法阻止攻击者窃听，恶意修改并转发；（2）传输媒质———无线电波在空气中的传播会因为多种原因（例如障碍物）发生信号衰减，导致信息丢失；（3）需要常常移动设备（尤其是移动用户），设备容易丢失或失窃；（4）用户不必与网络进行实际连接，使得攻击者伪装合法用户更为容易。由于上述特点，利用WLAN进行通信必须具有较高的通信保密能力.无线局域网鉴别和保密基础结构（WAPI）与已有安全机制相比具有其独特优点，充分体现了国家标准的先进性。随着WLAN的迅速发展，制约其发展的主要因素———安全问题也得到了越来越广泛的注意和普遍重视。2003年5月12日，我国发布了定于12月1日起强制执行的无线局域网（WLAN）国家标准。此标准的一个重要组成部分就是由宽带无线IP标准工作组制定的新的安全机制———无线局域网鉴别和保密基础结构（WAPI）。WAPI与已有安全机制相比具有其独特优点，充分体现了国家标准的先进性。与有线网络相比较，无线网络的安全问题具有以下四个特点：（1）信道开放，无法阻止攻击者窃听，恶意修改并转发；（2）传输媒质———无线电波在空气中的传播会因为多种原因（例如障碍物）发生信号衰减，导致信息丢失；（3）需要常常移动设备（尤其是移动用户），设备容易丢失或失窃；（4）用户不必与网络进行实际连接，使得攻击者伪装合法用户更为容易。由于上述特点，利用WLAN进行通信必须具有较高的通信保密能力。WLAN目前主要通过在不同层次采取相应措施来保证通信的安全性，已有的安全机制如下：1.通过在物理层采用适当的传输措施，如采用各种扩频技术，利用其很强的抗干扰性来满足安全性要求；2.采取网络隔离和设置网络认证措施可以防止不同局域网之间的干扰与数据泄漏，如服务区标志符（SSID）；3.在同一网中，设置严密的用户口令及认证措施，可防止非法用户入网，如802.11b定义的开放系统认证和共享密钥认证等；4.对用户所发送的数据进行加密，WLAN昀关键昀独特的保密措施是在网络的媒体访问控制层使用802.11b定义的WEP提供加密算法。上述已有的WLAN安全机制在解决一定的安全问题的前提下，存在着这样或那样的问题：SSID或ESSID是较低级别的安全认证，任何人只要知道SSID或ESSID就可以接入网络；对于MAC地址限制来说，无线网卡的MAC地址并不难获得，在理论上也可以伪造，因而也是较低级别的授权认证并且不能防止网络监听；规范中的WEP存在使用相同加密密钥和基于WEP的加密信息有可能被破译的问题。因此，我们需要一种新的安全机制来解决上述问题。WAPI与已有安全机制相比，在很多方面都进行了改进。它已由ISO/IEC授权的IEEERegistrationAuthority审查获得认可，分配了用于WAPI协议的以太网类型字段，这也是我国目前在该领域惟一获得批准的协议，正等待向ISO/IECJTC1委员会提交。WAPI采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密钥体制的分组密码算法，分别用于WLAN设备的数字证书、密钥协商和传输数据的加解密，从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。WAPI具有以下重要特点：全新的高可靠性安全认证与保密体制、更可靠的二层（链路层）以下安全系统、完整的“用户接入点”双向认证、集中式或分布集中式认证管理、证书密钥双认证、灵活多样的证书管理与分发体制、可控的会话协商动态密钥、高强度的加密算法、可扩展或升级的全嵌入式认证与算法模块、支持带安全的越区切换、支持SNMP网络管理。MAPI完全符合国家标准，通过国家商用密码管理部门安全审查，符合“国家商用密码管理条例”的要求。另外，WAPI充分考虑了市场应用，从应用模式上可分为单点式和集中式两种：单点式主要用于家庭和小型公司的小范围应用；集中式主要用于热点地区和大型企业，可以和运营商的管理系统结合起来，共同搭建安全的无线应用平台。为了使用户能够在家里、公司和热点地区都充分应用WLAN，互联互通问题显得尤为重要。采用WAPI可以彻底扭转目前WLAN多种安全机制并存且互不兼容的现状，从而在根本上解决安全问题和兼容性问题。(人民邮电报)1、无线局域网络的重要性自2002年以来，无线局域网的普及在我国正如火如荼的展开，五星级的宾馆的评星硬标准中己经有了必须提供IEEE802.11b无线网络接点的规定。在上海，上海电信首先推出了“天翼通”，为家庭用户在宽带上提供加装无线网络的服务。上海的星巴克连锁咖啡店则提供了在本店范围内可以通过Wi-Fi连接到无线网络并访问Internet的服务。可以说，随着技术的不断成熟和完善，使用无线局域网的场合会越来越多，家庭、宾馆、办公室……这些我们平时活动的主要场所，都会成为无线局域网的覆盖目标。当一项技术渗入到我们的生活的时候，其重要性当然也大大增加了。2、802.11系列的安全缺陷由于无线通信设备是在自由空间中进行传输，而不是像有线网络那样是在一定的物理线缆上进行传输，因此无法通过对传输媒介的接入控制来保证数据不会被未经授权的用户获取。所以，WLAN一直就面临一系列的安全问题，而这些问题在有线网络中并不存在。正是由于安全问题，很多国家禁止无线局域网在重要场合使用，甚至2004年的雅典奥运会也明确表示不支持无线局域网。无线网络存在的安全风险和安全问题主要包括：来自网络用户的进攻、来自未认证的用户获得存取权、来自公司的窃听泄密等。在中国出台WAPI标准前，IEEE802.11系列标准是国际通行的无线局域网协议。这个协议主要包括认证和加密两方面。但IEEE802.11系列标准在认证和加密两方面都存在缺陷：利用认证与加密的安全漏洞，在几分钟时间内就可以破解密钥。（1）、共享密钥认证缺陷IEEE802.11系列标准采用共享密钥认证，其目的本来是实现访问控制（即对不同用户的访问权限加以限制），然而其认证信息易于伪造。因为共享密钥认证是通过加密认证质询文本来证明自己知晓共享密钥，如果攻击者监听到认证应答，则可以确定用于加密应答的RC4密码流。因此，通过监听一次成功的认证，攻击者就可以伪造认证。（2）、算法存在弱点IEEE802.11系列标准中使用的算法不合适。攻击者可以篡改加密信息，并很容易地修改。当攻击者对信息进行分析后，只须尝试很少的密钥就可以接入到网络中。基于以上缺陷，WiFi联盟又开发了802.1x系列协议，但这并不能解决根本问题。802.1x并不是专为WLAN设计的，没有考虑到无线应用的特点。它提供客户端与RADIUS（远程接入拨入用户服务）服务器之间的认证，而不是与AP之间的认证。采用的用户认证信息仅仅是用户名与口令，在存储、使用和认证信息传递中仍然存在很大安全隐患，如泄漏、丢失。AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递，该共享密钥为静态，人为手工管理，存在一定的安全隐患。鉴于以前情况，Wi-Fi又宣布将采用更加安全的IEEE802.11i标准，它采用TKIP技术作为一种过渡安全解决方案。TKIP基于以前采用的RC4加密算法，但将WEP密钥的长度由40位加长到128位，初始化向量IV的长度由24位加长到48位，并对现有的WEP进行了改进，即追加了“每发一个包重新生成一个新的密钥(PerPacketKey)”、“消息完整性检查（MIC）”、“具有序列功能的初始向量”和“密钥生成和定期更新功能”四种算法，极大地提高了加密安全强度。但是，WiFi联盟和IEEE802委员会也承认，TKIP只能作为一种临时的过渡方案，而IEEE802.11i标准的昀终方案是目前尚未制定出的基于IEEE802.1x认证的CCMP（CBC-MACProtocol）加密技术，即以AES（AdvancedEncryptionStandard）为核心算法。它采用CBC-MAC加密模式，具有分组序号的初始向量。CCMP为128位的分组加密算法，相比前面所述的所有算法安全程度更高。但仍然不是昀完美的解决方法。3、WAPI的优势WAPI从技术上说更有优势。采用无线用户和无线接入点的双向认证，身份凭证为公钥数字证书。认证过程简单，客户端可支持多证书，方便用户多处使用，充分保证其漫游功能，认证单元易于扩充，支持用户的异地接入。算法采用192/224/256位的椭圆曲线签名算法。其安全性目前是昀高的。并采用动态加密（基于用户、基于认证、通信过程中动态更新）。因此，WAPI的安全性是优于其他标准的，采用这种标准，有利于整个系统安全性的提高。4、巨大的市场潜力根据路投社的报道，全球无线局域网的市场价值已经达到20亿美金，且还在持续不断地增加。2003年，中国内地的无线产品市场价值达到6亿元人民币，虽然在全球所占的比例很小，但是其高速成长性不容忽视。目前，北京、上海、广州等一流大城市的WLAN已经相对发达，在酒店、政府办公大楼和一些设施较好的写字间均有配备相应的AP和接口，人们可以很方便地使用笔记本电脑进行网络传输。未来随着笔记本电脑在中国的占有率越来越高，这个市场将迎来飞速发展的契机。在巨大的商机面前，国内企业当然不会任由市场标准被国外厂商所制订，而自身只获得低附加值的产品制造。同时，处于对我们政府和重要部门的安全战略考虑，出台国有的WAPI标准也是完全必要的。5、至关重要的自有标准从昀近的新闻中我们可以得知，中国企业在走出国门的时候，越来越多地受到了知识产权保护的困扰。很多时候中国生产的价格低廉、但是没有自主知识产权的产品，不得不被欧美国家征求一大笔费用。此举不仅使企业的利润大大降低，也对整个民族产业影响甚大——如果核心技术和标准都掌握在别人手里，中国企业永远都是替别人打工的“伙计”。昀典型的例子莫过于DVD企业，目前很多国内DVD厂商的产品都销外国外，但却被征收超过30亿元的专利费，超过了中国前十大DVD厂商的年利润之和。相反，Intel却凭借其技术和专利垄断地位，每年在中国的额外收费就超过50亿，比国内昀大IT厂商的年利润还要多……。在世界各国越来越重视自有标准之际，国际大厂都把制订标准作为主要的工作。中国厂商要想摆脱单纯的加工企业身份，赚取更高的利润并进行研发自由的核心技术，就一定要建立自有标准。特别是在加入WTO以后，越来越多的中国企业开始重视这一点。现在很多大型企业都建立了专门知识产权部门，加快建立和保护自有的技术和标准。我们欣喜地看到，中国企业正在加速进步，努力与世界接轨，并全力追赶世界先进水平。此时国家强制实行WAPI是综合了国家经济、安全和产业利益的考虑，是中国通过掌握市场竞争的游戏规则为中国的消费者免去不合理费用、为中国的企业赢得更大的利润空间、并为中国企业走向国际和登上国际领先地位提供强有力的支持。2004中国无线通信市场走势及发展策略展望　　来源:中国信息产业网--人民邮电报　　回顾2003年，无线通信发展势头良好——至2003年10月中国移动电话用户已达2.5694亿，已大于固定电话用户2.5514亿户，这是中国移动通信发展的重要里程碑。无论固网运营商或移动运营商均看好WLAN(P-WLAN/O-WLAN)连接INTERNET的高速能力与潜力及其可移动性，纷纷跟进推进其热点(HotSpots)布局，并加速相应宽带品牌运作，以求抡占未来高端宽带无线用户先机；同时，中国国家质检总局及国家标准化管理委员会联合发文，确定我国自主研发的WAPI(WLANAuthenticationandPrivacyInfrastructure)技术为我国WLAN的强制性安全标准，于2003年12月1日起强制执行，这对我国乃至全球WLAN市场与产业发展将产生深远战略影响，并为安全的宽带无线WLAN网络通信奠定较坚实基础。对宽带(固定)无线接入，2003年信息产业部将3.5GHz频段MMDS型地面固定无线接入系统使用