摘要：NSA Suite B是保護企業(yè)WLAN安全性的最好方法,，它可以實現(xiàn)商業(yè)級智能手機和平板電腦的機密與非機密的VDI訪問。

由于黑客完全可以攻破有線對等保密協(xié)議（Wired Equivalent Privacy ，WEP),，實際上即Wi-Fi安全協(xié)議的前身,，因此很多IT人員都不信任WLAN安全性。有些IT人員不贊同行業(yè)采用802.11i標準，即Wi-Fi 受保護接入?yún)f(xié)議（Wi-Fi Protected Access ,，WPA2),。政府機構(gòu)也無法接受WPA2，因為它們的員工都必須訪問機密數(shù)據(jù)來進行通信,，這使得美國國防部和國務院等機構(gòu)都極難實現(xiàn)移動性,。

對于實現(xiàn)非機密網(wǎng)絡的商業(yè)技術，大多數(shù)機密網(wǎng)絡往往都是使用NSA驗證的專利技術創(chuàng)建,，但這些技術通常已經(jīng)過時5，6年,。為了解決這個問題,，美國國家安全機構(gòu)已經(jīng)開發(fā)了一套新算法，用于提高政府機構(gòu)安全信息快速共享的能力,。NSA Suite B加密技術便是該項目的成果,。通過在他們的產(chǎn)品中實現(xiàn)Suite B，有線和無線網(wǎng)絡供應商都可以開發(fā)出符合NSA安全標準的商業(yè)產(chǎn)品,。

NSA Suite B加密：政府機構(gòu)的高安全性“致勝法寶”

美國的國家核安全管理局（NSSA）是負責國家核武器軍械庫管理和安全的機構(gòu),，與大多數(shù)政府機構(gòu)一樣，它已經(jīng)為自己的機密和非機密數(shù)據(jù)建立了氣隙（air gaps）,，或者稱為物理分隔的網(wǎng)絡,。對于大多數(shù)此類機構(gòu)，不管是有線或是無線的機密網(wǎng)絡都往往使用NSA指定和開發(fā)的專利硬件來建立,，才能滿足安全要求,。通常，這些機構(gòu)會使用物理安全措施來限制機密網(wǎng)絡的訪問,，例如鎖定保險和保管設備,。

“如果到某人的辦公室去，您有可能看到辦公室中有2,，3個獨立的計算機系統(tǒng)和2,，3套獨立的網(wǎng)線，它們都是按照各自需要連接的網(wǎng)絡部署,，而這是非常低效的,，單單是更新設備和維護這些網(wǎng)絡就就是一筆巨大的開支，”NSSA的首席技術官J. Travis Howerton說,。

但是NSA Suite B加密是NSSA的一個“致勝法寶”,。Howerton有10億美元的預算，如果他能夠使用無線技術實現(xiàn)部分網(wǎng)絡整合,，那么他就可以減少10%-15%的開支,。同樣，依靠安全WLAN的移動策略可以提高員工的生產(chǎn)力。到目前為止,，他的機密WLAN安全要求已經(jīng)超過了大多數(shù)商業(yè)無線供應商所能實現(xiàn)的水平,。“實際上，我們現(xiàn)在采用的移動策略是BlackBerry,，”他說,。

Howerton希望為他的員工實現(xiàn)更高的安全性。他正在考慮將虛擬桌面基礎架構(gòu)（VDI）和移動性作為整合技術和提高生產(chǎn)力的方法,。他的設想是使用NSA Suite B加密技術來實現(xiàn)商業(yè)級智能手機和平板電腦的機密與非機密VDI訪問,。

“我們正在考慮的是，如何建立一個移動基礎架構(gòu),，同時不需要多次重復建設,？通過使用Suite B，我就可能一次性建立好我的無線基礎架構(gòu),，并且使用相同的基礎架構(gòu)和布線來同時支持機密和非機密網(wǎng)絡,。我們正在嘗試的另一個技術是桌面虛擬化。如果我可以虛擬化我的桌面,，并且擁有一個瘦設備,，那么我應該能夠進入一個網(wǎng)關，然后選擇：‘我想進入哪個網(wǎng)絡呢,，機密端還是非機密端,？’我必須能夠點擊并順利地進入一個正確的環(huán)境，它知道我正在一臺瘦客戶端上,，因此不會加載任何數(shù)據(jù)到設備上,。”目前，當NSSA工程師在現(xiàn)場拆除或修復核武器時,，他們會被限制訪問程序文檔,。因此他們必須離開他們的工作區(qū)，然后進入一個文檔控制中心進行信息檢索,。通過使用NSA Suite B加密技術,，NSSA就可以移動數(shù)據(jù)，”Howerton說,。

他說,，“通過Suite B，在我的生產(chǎn)場地的現(xiàn)場移動工作人員可以使用iPad或平板電腦設備來連接他們的虛擬桌面電腦,，從而實時獲得他們所需要的程序,，其概念是將人們從他們的辦公桌前解放出來，允許他們移動到需要他們完成工作的任何地方,，讓他們獲得可以在桌面電腦里使用的完整服務套件,。我們的難點在于這個機密組件,，它是一直束縛我們前進的原因。而Suite B則可以幫我們解決這個問題,。”

NSA Suite B加密：企業(yè)WLAN安全性的替代方法

Aruba正通過它的WLAN控制器的升級軟件和虛擬內(nèi)部網(wǎng)（VIA）代理軟件——一個混合IPsec/SSL VPN客戶端,，來實現(xiàn)NSA Suite B加密。根據(jù)Aruba的政府解決方案副總裁Dave Logan介紹,，對于大多數(shù)客戶,，Suite B的每個用戶授權費用是100美元，而最少部署費用為200美元,。由于Suite B可以在VIA客戶端上使用,，Aruba客戶可以同時保證WLAN接入和遠程接入的安全，他說,。

其它的有線和無線網(wǎng)絡供應商肯定也會開始在他們自己的產(chǎn)品中部署NSA Suite B加密支持,。Fortress Systems是一家專門為國防部提供無線網(wǎng)絡的公司，它已經(jīng)支持Suite B了,。Howerton表示，他也同思科探討過關于Suite B部署計劃,。目前,，思科已經(jīng)在它的VPN產(chǎn)品中實現(xiàn)了Suite B。

對于那些在WEP后期仍然對WLAN安全性心存疑慮的人們,，NSA Suite B加密可以減輕他們的擔憂,。

Logan表示，特別易受攻擊行業(yè)中的企業(yè),，例如金融服務,、石油，天然氣生產(chǎn)和在線游戲等,，可能都將會支持NSA Suite B加密,。

“如果您因為安全問題而無法使用無線，據(jù)我所知,，時至今日仍然有些人持有這樣的看法,，那么您應該立刻并且全面部署Suite B，”Farpoint Group的總裁Craig Mathias說,。Mathias預計10%-20%的企業(yè)仍然對WLAN安全持懷疑態(tài)度,。這其中有一些公司已經(jīng)部署了部分無線網(wǎng)絡，但是安全性仍然是他們常擔憂的問題,。

他說,，“他們只是簡單地認為，因為無線信號可以在某段距離之內(nèi)任意地傳輸,，因此它們可能會被攔截和解密,，事實上，WPA2是非常安全的。如果您使用802.1x作為分層認證,，并使用VPN作為較高層安全技術,，那么效果更佳。但是,，如果使用了Suite B,，那么安全性會更高。它是一種橢圓曲線型加密技術,，這就是BlackBerry在最近幾年一直使用的加密技術,。如果這對您來說還不夠好，那我也沒有更好的建議了,。加密已經(jīng)到了NSA所期待的Suite B水平,，這說明這些技術水平已經(jīng)非常高了。”