| 出版日期:2004-08-02 总期号:1335 本年期号:56 |
|
 |
SOHO支持WPA
WPA为无线LAN提供的安全保证是强有力的,这已成为业内专家和广大用户的共识。Wi-Fi联盟于2002年底发布的WPA无线LAN安全规范是替代WEP标准的一个过渡性规范,作为802.11i安全标准的一个子集,WPA依靠TKIP协议克服了WEP中的某些缺陷,增强了802.11协议族和EAP用户身份确认的安全性。EAP的执行需要类似于RADIUS这样的中心型用户身份确认服务器。通过Wi-Fi联盟WPA安全功能认证的产品意味着产品无论出自谁家,都能够在一起协调工作。 WPA的认证检测是非常苛刻的,有25%的参检产品在第一轮测试中就被淘汰。虽然WPA是固化在芯片中的,但如果厂商对参考设计板作了某些变动或者在软件和驱动程序配置方面存在问题,WPA就可能起不到它该起的作用。像吞吐率这类指标,即使不达标,也只是影响一点设备的数据处理流量,无碍大局。而对于WPA来说,其安全机制要么是百分之百地有效,要么就是纯粹的摆设,在有效与无效之间没有什么弹性的过度空间。 测试中发现的问题主要有以下几种:由状态机错误导致的相关系统故障;信息完整性校验操作错误;入侵检测失效;系统意外死机;漫游时间过长;由TKIP加密错误导致的设备通信以及无法支持多个服务器的故障。 Wi-Fi联盟要求所有配置了WPA功能的产品都要接受对WPA互操作性的强制认证,SOHO产品厂商对此反响不一。有部分厂商认为,WPA对个人用户来说没有多大必要。Netgear公司认为,厂商做什么产品,由用户的需要决定。攻破WEP的平均时间是6小时,而对于一个专业黑客来说,可能只需要半小时。但一般地讲,大多数黑客都不会呆在屋子外面的什么地方苦苦研究怎么钻进别人的网络中,他们对无线LAN的攻击目的是想通过它上互联网,而不是要干点什么杀人越货的勾当。对于现在正使用着WEP的一般用户来说,改变SSID号或者关掉SSID广播就已经足够安全。在“够用就好”的原则下,WPA多少显得有点奢侈。Belkin公司对Wi-Fi联盟的WPA强制认证做法意见很大,因为早在这一政策出台之前,Belkin公司就已完成了相关产品所有组件的Wi-Fi互操作性认证,现在再针对WPA搞一次互操作性认证就显得有些多余。Belkin公司称自己的SOHO网络产品支持WPA,在WPA的认证方面也有自己的规划,在公司自行组织的对WPA的测试中,没有发现互操作性方面的问题。SMC网络产品公司与Belkin公司的情况类似,他们的无线产品也支持WPA,并自称兼容Wi-Fi联盟制定的一系列标准。 Wi-Fi联盟在WPA强制认证这一问题上所持态度是坚决而不容置疑的。Wi-Fi联盟发言人Brian Grimm日前表示,只有通过了认证,才能说你的产品支持WPA,某些公司还没把产品拿来就自认为其产品符合Wi-Fi联盟测试的一系列标准,似有草率之嫌。这些产品也许兼容802.11b、802.11g或802.11a,但不能说它们就兼容Wi-Fi。 Wi-Fi联盟提供对企业级产品和个人用户级产品二类产品的认证测试。企业级产品测试针对TKIP加密和用户确认服务器这两部分内容。由于大多数SOHO产品用户用不着用户身份确认服务器,所以个人用户级产品测试仅限于TKIP加密。Wi-Fi联盟对个人用户级产品的认证测试工作比企业级产品慢很多,如果同时将两类产品送检,个人用户级产品的测试往往要等相当长的时间,这使得很多企业对个人用户级产品进行认证的积极性不高。为此,Wi-Fi联盟采取了一系列措施提高认证测试效率。Wi-Fi联盟的4个测试中心扩充了规模,把WPA和802.11b 、802.11g、802.11a的测试合并进行,测试时间由原来的2天缩短至12小时。测试收费也作了调整和削减,原先每项产品的单项测试需5000美元,现在将802.11b、802.11g和WPA的测试合并,每项产品收费7500美元。此外,还允许厂商在产品送检前先在自己的开发中心按Wi-Fi联盟的有关要求对产品进行预测试,尽量将问题发现在Wi-Fi联盟的正式测试之前,从而减少时间和金钱上的浪费。 已经有部分SOHO网络产品企业积极行动起来参与产品的认证检测。Linksys公司的11种路由器和客户端设备已通过认证,用户可以放心地将这些设备与企业WPA用户身份确认服务器放在一起使用。该公司计划下月将其个人用户级产品——带WPA功能的媒体播放器和游戏适配器送交Wi-Fi联盟进行认证。 |
||||||||||||||||||||||||
