WAPI之争吵到现在,越来越接近本质,中美摩擦已从企业利益之争上升到国家利益的冲突。在这次摩擦中,中国政府一段时间内表现出了少有的强硬态度,结果我们没有必要过多的去计较,这里整理了前面同仁的一些文章,我想学习本质看表象更为重要。
WAPI(WLAN Authenticationand Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,经多方参加,反复论证,充分考虑各种应用模式,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。同时本方案已由ISO/IEC授权的机构IEEE
Registration Authority审查并获得认可,这也是我国目前在该领域唯一获得批准的协议。
WAPI的特点:
——采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。
——用户只要安装一张证书就可在覆盖WLAN的不同地区漫游,方便用户使用。AP设置好证书后,无须再对后台的AAA服务器进行设置,安装、组网便捷,易于扩展。
——支持Windows98/2K/XP、Linux等操作系统。
——提供与现有计费技术兼容的服务,可实现按时计费、按流量计费、包月等多种计费方式。
——满足家庭、企业、运营商等多种应用模式。
——在不同场合,应用形式相同,使用方便,用户易接受。
下面就该协议与现在使用的一些协议进行相关的比较:
表一 WAPI与WEP对比
| |
WAPI |
WEP |
| 认证 |
认证方法 |
双向认证 |
单向认证 |
| 认证过程简单;无线用户与无线接入点地位对等,实现无线接入点接入控制和安全性保证;客户端支持证书其漫游功能 |
认证简单共享密钥认证 |
| 安全漏洞 |
无 |
鉴别易于伪造降低了总安全性 |
| 加密 |
密码 |
基于用户,鉴别,通信过程种动态更新 |
静态 |
| 安全强度 |
高 |
低 |
| 国家标准与法规 |
符合 |
不符合 |
表二 WAPI和802.1x的对比
| 项目 |
WAPI |
802.1x |
| 认证机制(MT和AP) |
双向认证 |
单项认证 |
| 密钥管理 |
全集中 |
AP和RADIUS手工共享密钥 |
| MT漫游 |
支持 |
支持 |
| 认证对象 |
用户 |
用户 |
| 构建和扩展易用性 |
好 |
差 |
| 设计对象 |
WLAN |
802协议网络 |
| 认证协议完整性 |
完善,强度高 |
协议存在缺陷 |
| 会话密钥协商 |
效率高 |
效率低 |
| 是否通过安全审查 |
通过 |
未通过 |
表三 WAPI与802.11及802.11i标准的对比
| |
|
WAPI |
IEEE802.11 |
IEEE802.11i |
| 认证 |
特征 |
*无线用户和无线接入点的认证
*双向认证
*身份凭证为公钥数字证书 |
*对客户机硬件认证
*单向认证 |
*无线用户和RADIUS服务器的认证
*双向认证
*无线用户身份通常为用户名和口令 |
| 性能 |
*认证过程简单
*客户端可以支持多证书,方便用户多处使用,充分保证其漫游功能
*认证服务器单元易于扩充,支持用户的异地接入 |
*认证简单 |
*认证过程复杂
*RADIUS服务器不易扩充
|
| 安全漏洞 |
无 |
*认证易于伪造
*降低了总安全性 |
*用户身份凭证简单,易被盗取,且被盗取后可任意使用
*共享密钥管理存在安全隐患 |
| 算法 |
192/224/256/位的椭圆曲线签名算法 |
*开入式系统认证
*共享密钥认证 |
未确定 |
| 安全强度 |
最高 |
低 |
较高 |
| 扩展性 |
高 |
低 |
低 |
| 加密 |
算法 |
认证的分组加密 |
64位的WEP流加密 |
*128位的WEP流加密
*128位的AES流加密 |
| 密钥 |
动态(基于用户、基于认证、通信过程中动态更新) |
静态 |
动态(基于用户、基于认证、通信过程中动态更新) |
| 安全强度 |
最高 |
低 |
高 |
| 中国法规 |
符合 |
不符合 |
不符合 |
|
