agod 2006-9-28 10:21
【专家讲坛】WAPI的秘密,你知道吗(zz)
移动新人类 专家讲坛】WAPI即将在我国开始实施了,那么WAPI与目前802.11x系列无线技术有很区别呢?已有的迅驰笔记本或者是配有无线网卡的笔记本该怎么办?是否需要换掉无线网卡和相应的AP(无线基站)呢?看完本文,相信你就能找到答案。
WAPI的工作原理
WAPI是在去年五月我国提出的一项无线网络安全标准,这项标准是针对现有WEP与WPA可能造成的安全防护漏洞所提出的自有标准,分为WAI(WLAN Authentication Infrastructure)与WPI(WLAN Privacy Infrastructure)两部分组成,可以提供客户端认证及传输加密两项主要功能。
WAI使用公开密钥的方式认证无线网络环境中的各客户及AP,与WEP及WPA不同,WAI的定义中有一项称为ASU(认证服务单元)的设备,是用来管理信息交换中各方所需要使用的凭证,从凭证的生成、发送、取消及更新都是经由ASU进行的。
每个客户端联机到AP之后,就开始认证对方的身分是否正确,先由客户端发送凭证给AP,然后由AP处理之后,连同自己的凭证发送到ASU处,由ASU确认之后再发回给AP,并继续联机。
我们可以发现过去无线网络中时常出现的Man-In-Middle攻击,在这种双向的验证过程就明显的受到阻挠,提升了无线网络的安全性。这部分与WPA所规定的802.1x身分认证机制有些许雷同,但不同的是802.1x验证的是使用者身分,而WAI则是采用双向验证硬设备的身分,在安全性上可说是
各有优劣,但就防御强度而言,明显是WAI略胜一筹。
而WPI则是提供了另一种加密演算机制,联机双方先决定要用何种密码算法,接着各自产生随机随机数,用私人密钥加密后传送给对方,解密后,这两组数字计算之后的结果,就是正式通讯时所用的加密参数,并且在经过一段时间或交换到一定数量之后,就会舍弃原有加密值,并重新议定
新的参数。因为真正的沟通密钥并没有在无线网络中传递因此加强了安全性,并且固定更换密码,让监听者无法得知正确的密码。
就技术层面而言,WAPI针对现有加密机制作了相当多的加强,使用多重认证及避免密码在网络传输,而不是如同WPA加强密码本身的强度,不过推出时间尚短,还需要一番考验才能证实安全性。
旧有无线网卡和AP怎么办?
我们知道,6月1日以后所销售的无线网卡和AP都需要符合WAPI标准才可上市,那么6月1日以前的无线网卡怎么办?已有无线客户该怎么办呢?是不是不符合WAPI标准就不能上网呢?对于已有迅驰笔记本以及无线设备的客户,各家厂商目前尚未出台相应的WAPI解决方案,相信在6月之前会有
一个明确的宣示。在这里我们只是介绍一下目前可能会施行的兼容旧无线设备的WAPI解决方案。
这个解决方案是以现有的无线网络位基础,在这个基础上实现WAPI的应用。
用一个基于WAPI认证模块,把这个模块分别内置于AP内部和外部独立的AS认证服务器中,AS认证服务器负责证书的发放、验证与吊销等,无线客户端与无线接入点AP上都安装有AS发放的公钥证书,作为自己的数字身份凭证。
当无线客户端即移动终端MT登录至无线接入点AP时,在使用或访问网络之前必须通过认证服务器AS对双方进行身份验证。根据验证的结果,持有合法证书的移动终端MT才能接入持有合法证书的无线接入点AP,也就是说才能通过AP访问网络资源。这样不仅可以防止非法移动终端MT接入无线接
入点AP而访问网络资源,而且还可以防止移动终端MT登录至非法无线接入点AP而造成信息泄漏。
这种解决方案可以对整个无线网络的集中客户管理或独立小型应用模式下的单点式安全认证。满足大、中、小企业客户和家庭办公客户及特殊行业客户对不同安全级别的要求。在不启动WAPI认证模式时,能够兼容原有的无线网络设备,保护了客户在此方面原有的投资。
对于独立的客户来说,也可以让客户不需要外接独立的硬件AS认证服务器,只需启动AP内部的认证模块,并进行相应的配置,就可实现可靠的认证,但此时每个AP的认证是独立进行的,不能够实现跨AP的客户认证。
