機(jī)密網(wǎng)絡(luò)安全幫手——NSA Suite B加密

NSA即National Security Agency，由于黑客完全可以攻破有線對(duì)等保密協(xié)議（Wired Equivalent Privacy，WEP)，實(shí)際上即Wi-Fi安全協(xié)議的前身，因此很多IT人員都不信任WLAN安全性。有些IT人員不贊同行業(yè)采用802.11i標(biāo)準(zhǔn)，即Wi-Fi受保護(hù)接入?yún)f(xié)議（Wi-Fi Protected Access，WPA2)。政府機(jī)構(gòu)也無(wú)法接受WPA2，因?yàn)樗鼈兊膯T工都必須訪問(wèn)機(jī)密數(shù)據(jù)來(lái)進(jìn)行通信，這使得美國(guó)國(guó)防部和國(guó)務(wù)院等機(jī)構(gòu)都極難實(shí)現(xiàn)移動(dòng)性。

對(duì)于實(shí)現(xiàn)非機(jī)密網(wǎng)絡(luò)的商業(yè)技術(shù)，大多數(shù)機(jī)密網(wǎng)絡(luò)往往都是使用NSA驗(yàn)證的專利技術(shù)創(chuàng)建，但這些技術(shù)通常已經(jīng)過(guò)時(shí)5，6年。為了解決這個(gè)問(wèn)題，美國(guó)國(guó)家安全機(jī)構(gòu)已經(jīng)開(kāi)發(fā)了一套新算法，用于提高政府機(jī)構(gòu)安全信息快速共享的能力。NSASuiteB加密技術(shù)便是該項(xiàng)目的成果。通過(guò)在他們的產(chǎn)品中實(shí)現(xiàn)NSA Suite B加密，有線和無(wú)線網(wǎng)絡(luò)供應(yīng)商都可以開(kāi)發(fā)出符合NSA安全標(biāo)準(zhǔn)的商業(yè)產(chǎn)品。

NSA Suite B加密：政府機(jī)構(gòu)的高安全性“致勝法寶”

美國(guó)的國(guó)家核安全管理局（NSSA）是負(fù)責(zé)國(guó)家核武器軍械庫(kù)管理和安全的機(jī)構(gòu)，與大多數(shù)政府機(jī)構(gòu)一樣，它已經(jīng)為自己的機(jī)密和非機(jī)密數(shù)據(jù)建立了氣隙（airgaps），或者稱為物理分隔的網(wǎng)絡(luò)。對(duì)于大多數(shù)此類機(jī)構(gòu)，不管是有線或是無(wú)線的機(jī)密網(wǎng)絡(luò)都往往使用NSA指定和開(kāi)發(fā)的專利硬件來(lái)建立，才能滿足安全要求。通常，這些機(jī)構(gòu)會(huì)使用物理安全措施來(lái)限制機(jī)密網(wǎng)絡(luò)的訪問(wèn)，例如鎖定保險(xiǎn)和保管設(shè)備。

“如果到某人的辦公室去，您有可能看到辦公室中有2，3個(gè)獨(dú)立的計(jì)算機(jī)系統(tǒng)和2，3套獨(dú)立的網(wǎng)線，它們都是按照各自需要連接的網(wǎng)絡(luò)部署，而這是非常低效的，單單是更新設(shè)備和維護(hù)這些網(wǎng)絡(luò)就就是一筆巨大的開(kāi)支，”NSSA的首席技術(shù)官J.Travis Howerton說(shuō)。

但是NSA SuiteB加密是NSSA的一個(gè)“致勝法寶”。Howerton有10億美元的預(yù)算，如果他能夠使用無(wú)線技術(shù)實(shí)現(xiàn)部分網(wǎng)絡(luò)整合，那么他就可以減少10%-15%的開(kāi)支。同樣，依靠安全WLAN的移動(dòng)策略可以提高員工的生產(chǎn)力。到目前為止，他的機(jī)密WLAN安全要求已經(jīng)超過(guò)了大多數(shù)商業(yè)無(wú)線供應(yīng)商所能實(shí)現(xiàn)的水平。“實(shí)際上，我們現(xiàn)在采用的移動(dòng)策略是BlackBerry，”他說(shuō)。

Howerton希望為他的員工實(shí)現(xiàn)更高的安全性。他正在考慮將虛擬桌面基礎(chǔ)架構(gòu)（VDI）和移動(dòng)性作為整合技術(shù)和提高生產(chǎn)力的方法。他的設(shè)想是使用NSA SuiteB加密技術(shù)來(lái)實(shí)現(xiàn)商業(yè)級(jí)智能手機(jī)和平板電腦的機(jī)密與非機(jī)密VDI訪問(wèn)。

“我們正在考慮的是，如何建立一個(gè)移動(dòng)基礎(chǔ)架構(gòu)，同時(shí)不需要多次重復(fù)建設(shè)？通過(guò)使用NSA Suite B加密技術(shù)，我就可能一次性建立好我的無(wú)線基礎(chǔ)架構(gòu)，并且使用相同的基礎(chǔ)架構(gòu)和布線來(lái)同時(shí)支持機(jī)密和非機(jī)密網(wǎng)絡(luò)。我們正在嘗試的另一個(gè)技術(shù)是桌面虛擬化。如果我可以虛擬化我的桌面，并且擁有一個(gè)瘦設(shè)備，那么我應(yīng)該能夠進(jìn)入一個(gè)網(wǎng)關(guān)，然后選擇：‘我想進(jìn)入哪個(gè)網(wǎng)絡(luò)呢，機(jī)密端還是非機(jī)密端？’我必須能夠點(diǎn)擊并順利地進(jìn)入一個(gè)正確的環(huán)境，它知道我正在一臺(tái)瘦客戶端上，因此不會(huì)加載任何數(shù)據(jù)到設(shè)備上。”

目前，當(dāng)NSSA工程師在現(xiàn)場(chǎng)拆除或修復(fù)核武器時(shí)，他們會(huì)被限制訪問(wèn)程序文檔。因此他們必須離開(kāi)他們的工作區(qū)，然后進(jìn)入一個(gè)文檔控制中心進(jìn)行信息檢索。通過(guò)使用NSA Suite B加密技術(shù)，NSSA就可以移動(dòng)數(shù)據(jù)，”Howerton說(shuō)。

他說(shuō)，“通過(guò)NSA Suite B加密技術(shù)，在我的生產(chǎn)場(chǎng)地的現(xiàn)場(chǎng)移動(dòng)工作人員可以使用iPad或平板電腦設(shè)備來(lái)連接他們的虛擬桌面電腦，從而實(shí)時(shí)獲得他們所需要的程序，其概念是將人們從他們的辦公桌前解放出來(lái)，允許他們移動(dòng)到需要他們完成工作的任何地方，讓他們獲得可以在桌面電腦里使用的完整服務(wù)套件。我們的難點(diǎn)在于這個(gè)機(jī)密組件，它是一直束縛我們前進(jìn)的原因。而SuiteB則可以幫我們解決這個(gè)問(wèn)題。”

NSA Suite B加密：企業(yè)WLAN安全性的替代方法

Aruba正通過(guò)它的WLAN控制器的升級(jí)軟件和虛擬內(nèi)部網(wǎng)（VIA）代理軟件——一個(gè)混合IPsec/SSLVPN客戶端，來(lái)實(shí)現(xiàn)NSA Suite B加密。根據(jù)Aruba的政府解決方案副總裁DaveLogan介紹，對(duì)于大多數(shù)客戶，NSA Suite B加密技術(shù)的每個(gè)用戶授權(quán)費(fèi)用是100美元，而最少部署費(fèi)用為200美元。由于NSA Suite B可以在VIA客戶端上使用，Aruba客戶可以同時(shí)保證WLAN接入和遠(yuǎn)程接入的安全，他說(shuō)。

其它的有線和無(wú)線網(wǎng)絡(luò)供應(yīng)商肯定也會(huì)開(kāi)始在他們自己的產(chǎn)品中部署NSA Suite B加密支持。Fortress Systems是一家專門為國(guó)防部提供無(wú)線網(wǎng)絡(luò)的公司，它已經(jīng)支持Suite B了。Howerton表示，他也同思科探討過(guò)關(guān)于Suite B部署計(jì)劃。目前，思科已經(jīng)在它的VPN產(chǎn)品中實(shí)現(xiàn)了NSA Suite B加密技術(shù)。

對(duì)于那些在WEP后期仍然對(duì)WLAN安全性心存疑慮的人們，NSA Suite B加密可以減輕他們的擔(dān)憂。Logan表示，特別易受攻擊行業(yè)中的企業(yè)，例如金融服務(wù)、石油，天然氣生產(chǎn)和在線游戲等，可能都將會(huì)支持NSA Suite B加密。

“如果您因?yàn)榘踩珕?wèn)題而無(wú)法使用無(wú)線，據(jù)我所知，時(shí)至今日仍然有些人持有這樣的看法，那么您應(yīng)該立刻并且全面部署NSA Suite B加密，”Farpoint Group的總裁Craig Mathias說(shuō)。Mathias預(yù)計(jì)10%-20%的企業(yè)仍然對(duì)WLAN安全持懷疑態(tài)度。這其中有一些公司已經(jīng)部署了部分無(wú)線網(wǎng)絡(luò)，但是安全性仍然是他們常擔(dān)憂的問(wèn)題。

他說(shuō)，“他們只是簡(jiǎn)單地認(rèn)為，因?yàn)闊o(wú)線信號(hào)可以在某段距離之內(nèi)任意地傳輸，因此它們可能會(huì)被攔截和解密，事實(shí)上，WPA2是非常安全的。如果您使用802.1x作為分層認(rèn)證，并使用VPN作為較高層安全技術(shù)，那么效果更佳。但是，

NSA Suite B會(huì)使安全性會(huì)更高，因?yàn)樗且环N橢圓曲線型加密技術(shù)，這就是Black Berry在最近幾年一直使用的加密技術(shù)。加密已經(jīng)到了NSA所期待的Suite B水平，這說(shuō)明這些技術(shù)水平已經(jīng)非常高了。