早在2002年,802.11i标准(也有人称其为WPA2)就被提了出来,用以解决WLAN产品的安全问题。2003年初,802.11i的发布被推迟到了当年的9月,而到9月的时候,又再一次推迟到当年第四季度……802.11i真的到来的时候,已是2004年6月24日。虽然一拖再拖,标准的通过迄今也近一年了,但802.11i并没有像预期那样给WLAN的安全隐患注入一剂特效药,而是在市场上应者寥寥,这是为什么呢?

  当i在靠近

  802.11i主要包括两方面的内容,WPA和RSN(强健的安全网络)。WPA是利用暂时密钥完整协议(TKIP)作为改进WEP所使用密钥的安全性协议和算法,但WPA不能向后兼容某些设备和操作系统;而且TKIP在算法上与WEP相同,也是使用RC4算法。此外,除非WLAN设备具有运行WPA和加快该协议处理速度的硬件,否则网络性能将会因为启用WPA降低。

  RSN是接入点和移动设备之间的动态协商认证和加密算法,其中认证方案是基于802.1x和扩展认证协议(EAP)的,加密算法则采用AES,支持128位、192位、256位密钥。 这两种改进方案可以使RSN不断演进,以应付最新的安全威胁。

  不论是原理,还是功能,802.11i似乎都能满足目前解决WLAN安全问题的迫切需求。但是,不是每个已有WLAN的客户都想要或需要802.11i。很早就有专家指出,在较小的空间和有限的应用中使用无线局域网的用户,比如只有5-6个接入点的办公区,不需要最高级的安全性。

  “最大的风险是有人接入你的网络,然后用它作跳板来攻击另外人的网络。”一位安全专家曾这样说。况且由于802.11i标准不能向下和一些老的802.11b设备兼容,已有的WLAN用户可能需要升级他们的交换机、路由器和其他网络设备来满足802.11i中使用的新的加密技术的要求。

  i的代价

  用户之所以面对802.11i标准踯躅不前,归结起来大致是这样三种缘由:顾虑费用、全面升级耗时耗力、另有更划算的解决方法。

  美国波士顿公共图书馆很早就开始在公共区域内提供免费的无线网络连接,而且接入是完全开放的。其信息主管Carolyn Coulter就明确表示:因为费用问题,近期不打算进行802.11i升级。

  波士顿公共图书馆采取的无线安全措施是在主干上部署了一台用来负责接入管理和传输加密的Bluesocket WG-1000网关。WG-1000可以同时支持WPA和IPSec加密,通过基于角色的访问控制,能以用户名和密码相结合的登录方式来鉴定用户,有效地在无线接入点和企业网的其他设备之间建立一个防火墙,要求通过内部数据库和企业中央服务器进行身份认证。按照用户安全级别的不同要求,WG-1000可以为不同的用户制定不同的加密方案,WG-1000也支持强加密方案,足以解决WEP中的某些漏洞。

  波士顿公共图书馆的情况很具有代表性,申报升级经费对于这类公共服务机构来说是很复杂的事情,如果没有足够的理由,他们情愿维持现状——现状也挺好的啊。

  同样的问题摆到印地安娜心脏病医院面前,他们则干脆坚决地拒绝了802.11i,而是选择了VPN解决方案。印地安娜心脏病医院全面部署了802.11a无线接入点用于数据传输,另有一套802.11b无线网络支持的VoIP电话系统。VoIP终端是一一绑定的,因此固若金汤,接入802.11a内部网络则需要通过VPN认证。他们的信息中心主任曾坦白地说,“我们其实不在乎谁通过大厅里开放的无线接入连上Internet,我们只要防死对内部网络的入侵就可以了,而VPN把有线和无线网络的问题一并解决了。”