关于我国无线局域网产品强制标准与强制认证.PDFVIP

于我国无线局域网产品强制标准与强制认证 江苏省电子产品监督检验所 薛凤鸣 自无线网络开始应用以来，WLAN 的安全性问题已充分暴露。WLAN 通过无线电波发 送和接收数据，在大幅度减少网络布线和安装难度的同时，外界对WLAN 信号的截取、或 者对网络内部用户进行攻击将变得十分容易，黑客在WLAN 信号传输的有效范围内可以较 轻松地 取数据。WLAN 缺乏隐私保护，机密性和数据完整性的先天不足使其在不少场合 无法可靠使用。可以肯定地说，若安全问题得不到根本解决，无线上网进入行业应用的前景 堪忧。 2003 年5 月12 日，中国政府正式颁布了具有自主知识产权的WLAN 鉴别与保密基础 结构的 WAPI 协议标准(GB15629.11-2003、GB15629.1102-2003)。WAPI 全称为 WLAN Authentication and Prtvacy Infrastrugture (无线局域网鉴别和保密基础结构）,与目前国际标准 不同，它采用国家密码管理委员会办公室批准的公开密钥体制的椭圆曲线密码算法和秘密密 钥体制的分组密码算法，分别用于WLAN 设备的数字证书、密钥协商和传输数据的加解密， 从而实现设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护。 与目前国际的WLAN 过渡方案TKIP 相比有不少优越性。WAPI 与国际无线标准对比如表： 认证 IEEE 802. 11 IEEE 802.11i WAPI 对客户机硬件认证 无线用户和RADIUS 服务器的认证 无线用户和无线接入点的认证 特征 单向认证 双向认证 双向认证 无线用户身份通常为用户名和口令 身份凭证为公匙数 证书 认证简单 认证过程复杂 认证过程简单 RADIUS 服务器不易扩展 客户端可以支持多证书，方便用户多处 性能 使用，充分保证漫游功能 认证服务单元易于扩充，支持用户异地 接入 认证易于伪造 用户身份凭证简单，易被盗用，且被盗 安全漏洞 用后可任意使用 无 降低了总安全性 共享密匙管理存在安全隐患 算法 开放式系统认证 未确定 192/224/256 位的椭圆曲线签名算法 安全强度 低 较高 最高 扩展性 低 低 高 128 位的WEP 流加密 加密算法 64 位的WEP 流加密 认证的分组加密 128 位的AES 加密算法 静态 动态（基于用户、基于认证、通信过程 动态（基于用户、基于认证、通信过程 密钥 中动态更新） 中动态更新） 安全强度 低 高 最高 中国法规 不符合 不符合 符合 我国新安全机制WAPI 的出