Gentoo Taiwan 討論區

[pahud]

http://taiwan.cnet.com/enterprise/featu ... 9-3,00.htm

無線世界的標準革命
企業應用專區：李欣茹綜合報導

802.11是無線區域網路（WLAN）的主要運作標準。在802.11中每一個數字與字母代號都有不同學問，分別代表不同的連線速度、覆蓋距離與安全性。

由於無線規格還不斷的改變中，再加上802.11原先使用的安全標準－WEP（Wired Equivalent Privacy）設計考慮不周而瑕疵百出，包括Wi-Fi聯盟等組織與資訊廠商於是又著手擬定下一代的新標準，導致Ｗi-Fi規格與日俱增，變成十多種無線技術的集合代名詞。

影響所及，不只讓企業主頓生安全恐懼而延緩導入時程，一般消費者也容易迷失在一個個的數字與英文字母代號所構成的字彙迷宮中。

設計出現瑕疵

無線上網的確有股擋不住的魅力，吸引歐美各國相繼投入，近年來無不積極部署熱點（Hot spot），每年以上千個數量成長，然而，無線科技的本身還是受到嚴重挫折。

早在1999年初期，美國加州柏克萊大學研究小組已發現IEEE 802.11第一代安全技術－WEP存在嚴重的安全漏洞，本質鬆散的結構對於惡意入侵的駭客而言，「等於是不設防線」。

WEP是一種加密技術，可為傳輸中的資料加密，也是使用者身份的認證防線。目前市面多數硬體設備與無線AP都使用此標準。不幸的是，WEP是利用靜態、非交換式的金鑰進行加密，密碼長度只有40位元（少數產品使用64、128位元），利用無線電波傳遞的資料容易遭到攔截，更容易破解。

此外，WEP設計中的初始向量值（IV；Initialization Vector）檢查法，欄位長度只有24位元，任何單一連線五小時以上的無線網路，就必須重複使用同一數值。換句話說，在一個繁忙的無線網路上，速度達 11Mbps，並不斷傳送著1,500位元的封包，在5個小時之內就會露出破綻，而資料量只有24GB，想要在幾小時內，紀錄所有封包，並利用筆記型電腦計算出結果，是絕對可行的事情。

雪上加霜的是：網路上已有不少專門破解WEP加密的駭客程式流通，據說只要15分鐘就可成功。

安全協定「內亂」

這麼多無線標準怎麼來的？
一項無線標準能否上市銷售，要完成兩大步驟：首先，必須通過IEEE標準審查委員會的核准，就像正式蓋上一個認可印章。之後，還得通過Wi-Fi聯盟測試，確認支援此標準的產品互通性。

＊Wi-Fi聯盟
數家資訊廠商所成立的非營利組織，希望確保使用802.11規格的無線網路產品間都可完全相容。工作重點包括相容性測試與認證。

＊電機電子工程師協會(IEEE)
非營利的技術公會，專業範圍從電腦工程、生化科技，電信、航太到消費性電子，已制定860個以上的國際標準。
了解薄弱的WEP安全性可能嚇跑多數使用者，Wi-Fi聯盟爭取IEEE支援，在去年第四季發表新的安全標準－WAP（Wi-Fi protected access），暫時補強WEP加密及認證功能的不足。WAP採用了動態密碼，在傳輸過程中會不斷改變，就算封包遭到攔截也不易遭受暴力破解。

WPA也是IEEE發表下一代無線規格802.11i之前的過渡方案，也是該標準內的一小部分。WPA率先使用802.11i中的加密技術－TKIP (Temporal Key Integrity Protocol)，這項技術標榜可大幅解決802.11原先使用WEP所隱藏的安全問題。但根據市場消息，植基於802.11i的產品最快也要一年之後才可上市。

這段期間內，不少科技廠商也涉入無線安全標準的擬定，雖然已有過渡期的協議－801.1x，但是每家廠商實現該協議的作法不同，讓無線安全市場只有一個亂字可以形容。

其中，思科（Cisco）與微軟雙雙力推PEAP（Protracted Extensible Authentication Protocol ）標準，然而，微軟版的PEAP並不相容於思科版的PEAP，在微軟XP作業系統中，使用的是名為「EAP-TLS」的安全協定，而思科也不放棄投資自己專屬的LEAP－輕量級(Lightweight)的EAP。

因為廠商的同台不同調，導致所謂的「解決方案」，還沒真的解決無線安全問題，反而造成更多的市場混淆與複雜性。

跟上標準翻新腳步

除非重新修正802.11這個無線科技的安全技術規格，解決加密與認證問題，一併消除市場上雜陳的「標準」，否則WLAN技術高度的複雜性，以及極低的網路安全保障，將成為無線應用起飛的最大障礙。

IEEE 現正積極開發新一代的無線規格－802.11i，致力於徹底解決無線網路的安全問題，草案中包含加密技術 AES（Advanced Encryption Standard）與TKIP，以及認證協議IEEE802.1x。

如果企業打算在未來的某一天部屬WLAN，請有心理準備：你一定無法避免不去改變已設定的安全步驟，因為在未來一、兩年之內，顯然地，無線世界的標準革命不會嘎然而止。

可預期的，IEEE與Wi-Fi聯盟仍會持續發展新一代的安全標準與無線規格。如果部署無線網路對於商業競爭影響甚大，而非得將無線納入企業環境不可，那麼IT部門可千萬跟緊上述國際組織開發安全標準的腳步，保持在最新的安全標準與狀態，才有助於強化WLAN的安全性。

至於要選擇哪一個無線技術？企業可依照自己的需求導入。專家建議，如果企業已有無線網路，原先已採用802.11b，下一階段的網路擴充或升級可選擇 802.11g，因為其可與802.11b相容，且傳輸速度高出五倍（802.11g可達54Mbps）。如果決定部署一個嶄新的無線網路，可考慮選擇使用5.8GHz頻譜的802.11a，速度與802.11g相同，但是不會與微波爐、藍芽或是無線電話互相干擾，缺點是覆蓋範圍小。

Meta Group分析師指出，2004年企業若要打造高度安全與擴充性的WLAN將十分困難，由於標準雜陳互不相容，企業可能會被鎖定在同一個供應商的解決方案，或者依靠第三方軟硬體解決方案修補天生具有缺陷的無線網路。

[0dark0dark]

看看對岸的努力.再想想我們台商的態度.我不得不敬佩他們的精神和效率.不但政府主動保護國內市場.而且也證明其成果完成度之高[6月1日起.中國大陸統一WAPI標準.非此標準不得入關]

我看到一篇報導.說的很有道理.他說每次我們在訂制某某標準時.我們的一些提案總是被排除在外.甚至不得參與會議.然後標準訂出之後.又向我們規定一些"才智產"條例.使我們被迫使用他們定的標準.那我們能自主的標準又做的如何?看看繁體中文的編碼之多就知道成效了 看看簡體編碼.多統一阿.有秦始皇的味道 我講那麼多.是希望鼓勵台灣地區的資訊能自強化.當然.我也會做出一些我認為好的一些事物...期待吧.等這星期考完期中考就做

WAPI：全新實現WLAN安全 新華網 （2004-02-04）
隨著WLAN的迅速發展，制約其發展的主要因素———安全問題也得到了越來越廣泛的注意和普遍重視。2003年5月12日，我國[中共]發佈了定於12月1日起強制執行的無線局域網（WLAN）國家標準。此標準的一個重要組成部分就是由寬帶無線IP標準工作組制定的新的安全機制———無線局域網鑒別和保密基礎結構（WAPI）。WAPI與已有安全
機制相比具有其獨特優點，充分體現了國家標準的先進性。
與有線網路相比較，無線網路的安全問題具有以下四個特點：（1）信道開放，無法阻止攻擊者竊聽，惡意修改並轉發；（2）傳輸媒質———無線電波在空氣中的傳播會因為多種原因（例如障礙物）發生信號衰減，導致資訊丟失；（3）需要常常移動設備（尤其是移動用戶），設備容易丟失或失竊；（4）用戶不必與網路進行實際連接，使得攻擊者偽裝合法用戶更為容易。由於上述特點，利用WLAN進行通信必須具有較高的通信保密能力。
WLAN目前主要透過在不同層次採取相應措施來保證通信的安全性，已有的安全機制如下：1.透過在物理層採用適當的傳輸措施，如採用各種擴頻技術，利用其很強的抗干擾性來滿足安全性要求；2.採取網路隔離和設置網路認證措施可以防止不同局域網之間的干擾與數據泄漏，如服務區標誌符（SSID）；3.在同一網中，設置嚴密的用戶口令及認證措施，可防止非法用戶入網，如802.11b定義的開放系統認證和共用密鑰認證等；4.對用戶所發送的數據進行加密，WLAN最關鍵最獨特的保密措施是在網路的媒體訪問控制層使用802.11b定義的WEP提供加密演算法。
上述已有的WLAN安全機制在解決一定的安全問題的前提下，存在著這樣或那樣的問題：SSID或ESSID是較低級別的安全認證，任何人只要知道SSID或ESSID就可以接入網路；對於MAC地址限制來說，無線網卡的MAC地址並不難獲得，在理論上也可以偽造，因而也是較低級別的授權認證並且不能防止網路監聽；規範中的WEP存在使用相同加密密鑰和基於WEP的加密資訊有可能被破譯的問題。因此，我們需要一種新的安全機制來解決上述問題。
WAPI與已有安全機制相比，在很多方面都進行了改進。它已由ISO/IEC授權的IEEERegistrationAuthority審查獲得認可，分配了用於WAPI協議的以太網類型字段，這也是我國目前在該領域惟一獲得批准的協議，正等待向ISO/IECJTC1委員會提交。WAPI採用國家密碼管理委員會辦公室批准的公開密鑰體制的橢圓曲線密碼演算法和秘密密鑰體制的分組密碼演算法，分別用於WLAN設備的數位證書、密鑰協商和傳輸數據的加解密，從而實現設備的身份鑒別、鏈路驗證、訪問控制和用戶資訊在無線傳輸狀態下的加密保護。
WAPI具有以下重要特點：全新的高可靠性安全認證與保密體制、更可靠的二層（鏈路層）以下安全系統、完整的“用戶接入點”雙向認證、集中式或分佈集中式認證管理、證書密鑰雙認證、靈活多樣的證書管理與分發體制、可控的會話協商動態密鑰、高強度的加密演算法、可擴展或升級的全嵌入式認證與演算法模組、支持帶安全的越區切換、支持SNMP網路管理。MAPI完全符合國家標準，透過國家商用密碼管理部門安全審查，符合“國家商用密碼管理條例”的要求。
另外，WAPI充分考慮了市場應用，從應用模式上可分為單點式和集中式兩種：單點式主要用於家庭和小型公司的小範圍應用；集中式主要用於熱點地區和大型企業，可以和運營商的管理系統結合起來，共同搭建安全的無線應用平臺。為了使用戶能夠在家裏、公司和熱點地區都充分應用WLAN，互聯互通問題顯得尤為重要。採用WAPI可以徹底扭轉目前WLAN多種安全機制並存且互不相容的現狀，從而在根本上解決安全問題和相容性問題。