| 出版日期:2004-08-02 总期号:1335 本年期号:56 |
|
 |
放心WLAN解读802.11i
千呼万唤,802.11i终于出台了,人们似乎吃颗个定心丸。 802.11i让厂商在制造WLAN安全产品的时候,可以“依法执行”。 互操作性、兼容性将有助于WLAN的进一步推,但它只是WLAN安全任务的一步。 IEEE最终批准了802.11无线LAN的安全标准802.11i。这是无线产业史上的一项重大事件,它为WLAN在企业的开展提供了主要动力。如同大多数标准一样,它的成熟还需要一定的时间,不过去年Wi-Fi联盟开展的WPA(Wi-Fi Protected Access)有助于加速其发展速度。 正如多数WLAN产业观察家所认识到的,原来标准的安全特性是远远不够的。在某种程度上,这些不足反映了过去对安全服务的理解,即认为安全服务通常是在第三层及第三层以上实施的。毕竟,上世纪90年代以太网巨大的成功并没有内在的安全性能做保证。不过,由于以太网依赖于一种引导媒介,这种媒介可设置安全特性,而且通常通过隔离单一流量的交换机来实施,因此这种需求并不怎么引人注目。在许多情况下,802.11委员会提倡使用WEP,这是一种具有共享密钥的体系结构,不过它的加密机制在攻击面前其实也是不堪一击的。 新型802.11i标准则好得多,它提供了三种基本网络安全性能中的两种,即验证和个人保密权。验证服务对于开放标准来说并不是十分重要,不过目前一些基础设施产品中已经增加了更高层的验证服务。802.11i的个人保密权服务是建立于AES之上的。AES是一种非常强大的加密标准,虽然AES对多数环境来说约束过多,但它并没有增加额外费用,这是因为包括Atheros和Broadcom在内的芯片制造商开展基于硬件的AES已有几年之久了。据说Intel也将在软件中植入AES。对于具有遗留硬件的环境,TKIP(Temporal Key Integrity Protocol,临时密钥完整性协议)将提供充分的措施,而利用单独的RADIUS服务器也可支持它们。 802.11i的验证是建立于802.1x协议上的,它与EAP(Extensible Authentication Protocol,扩展认证协议)协同工作,并通过RADIUS验证服务器实施,而RADIUS服务器在管理拨号连接的安全性方面也已得到了多年的证实。这种系统非常灵活,不过这种灵活性也可能成为它的致命缺点。虽然EAP支持802.1x上的多种验证类型,但是缺乏一种单独的整体接受的标准将不可避免地导致了实施和互用性的矛盾。Windows可能会建立关于TLS或Microsoft PEAT的安全环境,但是这些标准并非总是支持非Microsoft系统的。 在简单的WLAN环境中802.11i验证系统非常有效,但是漫游为其提出了重大挑战。当用户在WLAN蜂窝之间漫游时,他们需要重新建立安全证书。整个802.11i验证过程需要800毫秒的时间,这对于VoIP等对时间敏感的应用来说太长了。为了解决这个问题,802.11i委员会增加了两种特殊性能,其中包括客户端缓冲机制,它允许用户迅速重新验证前面验证过的接入点。Trapeze在这个方面取得了很好的成果,据报道这种系统将验证时间缩短到了25毫秒。 虽然缓冲加速了重新通信的过程,不过它对于连接新的接入点是毫无用处的。为了解决这个问题,Cisco和Microsoft提出了一种尚不成熟的加速漫游的前验证算法。虽然委员会的许多成员对这种系统颇有微词,但是大多数人还是认为这种有限的前验证标准总比什么都没有要好。在新的802.11k委员会的支持下,关于这个问题的额外工作还将继续进行。 802.11i并非是一种普遍接受的解决方案。例如,很难设想热点建立关于802.11i的安全措施,这是因为必须对客户端配置进行一定控制。不过对于企业来说,它将成为有助于克服WLAN实施中最大障碍之一的标准。 |
||||||||||||||||||||||||
