机密网络安全帮手——NSA Suite B加密
NSA即National Security Agency,由于黑客完全可以攻破有线对等保密协议(Wired Equivalent Privacy,WEP),实际上即Wi-Fi安全协议的前身,因此很多IT人员都不信任WLAN安全性。有些IT人员不赞同行业采用802.11i标准,即Wi-Fi受保护接入协议(Wi-Fi Protected Access,WPA2)。政府机构也无法接受WPA2,因为它们的员工都必须访问机密数据来进行通信,这使得美国国防部和国务院等机构都极难实现移动性。
对于实现非机密网络的商业技术,大多数机密网络往往都是使用NSA验证的专利技术创建,但这些技术通常已经过时5,6年。为了解决这个问题,美国国家安全机构已经开发了一套新算法,用于提高政府机构安全信息快速共享的能力。NSASuiteB加密技术便是该项目的成果。通过在他们的产品中实现NSA Suite B加密,有线和无线网络供应商都可以开发出符合NSA安全标准的商业产品。
NSA Suite B加密:政府机构的高安全性“致胜法宝”
美国的国家核安全管理局(NSSA)是负责国家核武器军械库管理和安全的机构,与大多数政府机构一样,它已经为自己的机密和非机密数据建立了气隙(airgaps),或者称为物理分隔的网络。对于大多数此类机构,不管是有线或是无线的机密网络都往往使用NSA指定和开发的专利硬件来建立,才能满足安全要求。通常,这些机构会使用物理安全措施来限制机密网络的访问,例如锁定保险和保管设备。
“如果到某人的办公室去,您有可能看到办公室中有2,3个独立的计算机系统和2,3套独立的网线,它们都是按照各自需要连接的网络部署,而这是非常低效的,单单是更新设备和维护这些网络就就是一笔巨大的开支,”NSSA的首席技术官J.Travis Howerton说。
但是NSA SuiteB加密是NSSA的一个“致胜法宝”。Howerton有10亿美元的预算,如果他能够使用无线技术实现部分网络整合,那么他就可以减少10%-15%的开支。同样,依靠安全WLAN的移动策略可以提高员工的生产力。到目前为止,他的机密WLAN安全要求已经超过了大多数商业无线供应商所能实现的水平。“实际上,我们现在采用的移动策略是BlackBerry,”他说。
Howerton希望为他的员工实现更高的安全性。他正在考虑将虚拟桌面基础架构(VDI)和移动性作为整合技术和提高生产力的方法。他的设想是使用NSA SuiteB加密技术来实现商业级智能手机和平板电脑的机密与非机密VDI访问。
“我们正在考虑的是,如何建立一个移动基础架构,同时不需要多次重复建设?通过使用NSA Suite B加密技术,我就可能一次性建立好我的无线基础架构,并且使用相同的基础架构和布线来同时支持机密和非机密网络。我们正在尝试的另一个技术是桌面虚拟化。如果我可以虚拟化我的桌面,并且拥有一个瘦设备,那么我应该能够进入一个网关,然后选择:‘我想进入哪个网络呢,机密端还是非机密端?’我必须能够点击并顺利地进入一个正确的环境,它知道我正在一台瘦客户端上,因此不会加载任何数据到设备上。”
目前,当NSSA工程师在现场拆除或修复核武器时,他们会被限制访问程序文档。因此他们必须离开他们的工作区,然后进入一个文档控制中心进行信息检索。通过使用NSA Suite B加密技术,NSSA就可以移动数据,”Howerton说。
他说,“通过NSA Suite B加密技术,在我的生产场地的现场移动工作人员可以使用iPad或平板电脑设备来连接他们的虚拟桌面电脑,从而实时获得他们所需要的程序,其概念是将人们从他们的办公桌前解放出来,允许他们移动到需要他们完成工作的任何地方,让他们获得可以在桌面电脑里使用的完整服务套件。我们的难点在于这个机密组件,它是一直束缚我们前进的原因。而SuiteB则可以帮我们解决这个问题。”
NSA Suite B加密:企业WLAN安全性的替代方法
Aruba正通过它的WLAN控制器的升级软件和虚拟内部网(VIA)代理软件——一个混合IPsec/SSLVPN客户端,来实现NSA Suite B加密。根据Aruba的政府解决方案副总裁DaveLogan介绍,对于大多数客户,NSA Suite B加密技术的每个用户授权费用是100美元,而最少部署费用为200美元。由于NSA Suite B可以在VIA客户端上使用,Aruba客户可以同时保证WLAN接入和远程接入的安全,他说。
其它的有线和无线网络供应商肯定也会开始在他们自己的产品中部署NSA Suite B加密支持。Fortress Systems是一家专门为国防部提供无线网络的公司,它已经支持Suite B了。Howerton表示,他也同思科探讨过关于Suite B部署计划。目前,思科已经在它的VPN产品中实现了NSA Suite B加密技术。
对于那些在WEP后期仍然对WLAN安全性心存疑虑的人们,NSA Suite B加密可以减轻他们的担忧。Logan表示,特别易受攻击行业中的企业,例如金融服务、石油,天然气生产和在线游戏等,可能都将会支持NSA Suite B加密。
“如果您因为安全问题而无法使用无线,据我所知,时至今日仍然有些人持有这样的看法,那么您应该立刻并且全面部署NSA Suite B加密,”Farpoint Group的总裁Craig Mathias说。Mathias预计10%-20%的企业仍然对WLAN安全持怀疑态度。这其中有一些公司已经部署了部分无线网络,但是安全性仍然是他们常担忧的问题。
他说,“他们只是简单地认为,因为无线信号可以在某段距离之内任意地传输,因此它们可能会被拦截和解密,事实上,WPA2是非常安全的。如果您使用802.1x作为分层认证,并使用VPN作为较高层安全技术,那么效果更佳。但是,
NSA Suite B会使安全性会更高,因为它是一种椭圆曲线型加密技术,这就是Black Berry在最近几年一直使用的加密技术。加密已经到了NSA所期待的Suite B水平,这说明这些技术水平已经非常高了。