每天,成千上万的人们都在用Web浏览器和SSL(Secure Sockets Layer)执行安全的信息传输。但实际上,电子商务是完全独立于SSL技术的。虽然日常消费者对于这项技术本身知之甚少或者一无所知,但这丝毫不影响他们对SSL的信任。
另一方面,即便IEEE 802.11无线技术已经有了重大改进,还是几乎没人信任该技术在保卫他们的信息安全。如果WPA(Wireless Protected Acess)被正确部署,那么它可以保证802.11无线网络至少是和SSL一样安全的,都比未受保护的有线网络要安全。如果通信专家在减轻自己对安全揪心的同时还需要帮助客户有效地为未来网络的需求做些准备,那么他们必须明白以上道理。
2001年,加州大学伯克利分校发表了一篇描述WEP(Wired Equivalent Protocol)中存在的严重漏洞的论文后,人们开始把目光投向无线网络的不安全性。实际上,漏洞确实存在,因为制定802.11安全部分的IEEE委员会没能雇佣到密码学专家加入他们的工作组。
密码学需要非常强的数学背景,是非常专业化的一门学科。有能力开发并分析加密算法的实施的人实在是凤毛麟角。这样,即便WEP所采用的RC4是安全的,IEEE委员会制定的实施也保证不了安全。该实施呈现出许多漏洞,包括缺乏指定算法所需的初始化向量应该怎样计算的规范。另外还缺乏一个静态的共享密钥,网络中的每一台机器都可以该密钥直接加密。这就更加恶化了上述安全问题。并且也没有为发布密钥材料的简便方法。
使用易获得的工具,比如说Airsnort,很容易恢复WEP密钥,然后监测整个网络。因为缺乏一个可升级的密钥分发机制,要想改变密钥是相当困难的,所以密钥也就很少改变。因此,WEP就被烙上了不安全的烙印,随之,用户对无线局域网的感受也就一落千丈。
新的现实
事情发生在三年前,从那时起,技术开始进步。不幸的是,人们的感受仍旧保留在“无线不安全”的阶段。结果是,许多机构或者根本就不采用无线网络,或者通过在安全管道流中通过无线云部署VPN,这把整个过程变得非常复杂,而实际上根本没有必要。最坏的情况是,他们把无线网基础设施当成完全不可信的网络,用对他们的局域网加上了防火墙加以保护。
有了WPA,这些步骤都可以省掉。为什么呢?首先,WAP,在企业模式里用IEEE 802.1x做认证工作。开启802.1x后,未授权用户不可以访问网络。802.1x提供了非常广泛的认证机制,从简单的口令,到像数字证书和一次性口令这样的强认证机制,无所不包。如果某用户不属于一无线网络,他将不具有对该网络的访问权。
1
2
下一页>>
