《無線通信網(wǎng)的安全》PPT課件.ppt

1、第15章 無線通信網(wǎng)的安全,15.1 無線和有線的區(qū)別 15.2 存在的威脅和漏洞 15.3 藍牙協(xié)議 15.4 無線應用協(xié)議(Wireless Application Protocol) 15.5 無線局域網(wǎng)的安全,15.6 協(xié)議堆棧 15.7 無線局域網(wǎng)的安全機制 15.8 IEEE802.1x 15.9 受保護的EAP-漫游用戶的強身份認證解決方案 15.10 IEEE802.11i 15.11 WPA(WiFi Protected Access)規(guī)范,15.1 無線和有線的區(qū)別,雖然無線通信設備有其特殊的限制(見15.1.2節(jié))，但大都仍可采用標準的安全技術。例如無線領域中的認證、授權

2、和審計原理與傳統(tǒng)的有線通信方式中的基本一致。前面各章節(jié)中有關安全的設計、配置原則(系統(tǒng)、網(wǎng)絡的監(jiān)視和管理)同樣也適用于無線通信環(huán)境，但是，無線通信在某些領域中還是有別于有線通信的。本節(jié)將逐一介紹這些區(qū)別并向讀者介紹與這些技術相關的安全本質。,15.1.1 物理安全 在討論無線通信時，物理安全是非常重要的。從定義上來看，我們可以把那些可以使一個組織實現(xiàn)無線數(shù)據(jù)通信的所有類型的設備統(tǒng)稱為移動設備(Mobile)。這就增加了失竊的風險，因為在一個安全組織的物理范圍之外也可以使用這些設備。雖然這些設備有一些保護措施，但是設計的保護措施總是基于最小信息保護需求的。例如：以前存儲在如蜂窩電話設備中的那些數(shù)

3、據(jù)都不能認為達到敏感保密等級。,無線數(shù)據(jù)設備能存儲企業(yè)信息，如E-mail、數(shù)據(jù)庫瞬態(tài)圖和價格列表，也能存儲敏感的客戶數(shù)據(jù)，如病人的醫(yī)療記錄。如果包含企業(yè)或客戶機密信息的設備被盜，小偷就可以無限期地對設備擁有惟一的訪問權。這樣小偷就有可能系統(tǒng)地破壞設備的安全機制，從而獲得被保護的數(shù)據(jù)。,對一個企業(yè)而言，物理安全的重要性依賴于存儲在設備中的數(shù)據(jù)保密級別。如傳統(tǒng)的蜂窩電話或個人數(shù)字助理(PDA)可能會保存?zhèn)€人電話本或聯(lián)系地址數(shù)據(jù)庫，這就有可能直接把電話號碼、E-mail地址、特定人或特定合作伙伴的郵政編碼泄漏給攻擊者。這本身的威脅并不大，更大的風險在于金融應用場合，例如在電話和無線PDA失效(掛失

4、)之前，可能已經有大量的非授權電話呼叫。,更進一步講，無線技術會增加存儲在設備上的數(shù)據(jù)容量，同時還會增加這些用于訪問企業(yè)網(wǎng)絡設備的訪問類型。蜂窩電話可以存儲E-mail、小型版本的數(shù)據(jù)庫甚至文檔。此外，你還能遠程訪問企業(yè)網(wǎng)絡。通過使用無線局域網(wǎng)和無線調制解調器，使得筆記本不需要和網(wǎng)絡進行物理連接，只要采用目前的無線通信協(xié)議就可訪問企業(yè)網(wǎng)絡。這些風險的存在并不意味著就不能用這些技術，而是說應該考慮其需要獨特的物理安全。,筆記本鎖、現(xiàn)在的PDA鎖是降低設備被偷風險的基本物理安全需求。用戶認證和對設備上數(shù)據(jù)進行加密能在設備被偷的情況下嚴格限制對數(shù)據(jù)的訪問。我們必須認識到，無線設備的物理層安全非常重要

5、，這可使我們本章討論的技術得到廣泛認可和應用。,15.1.2 設備局限性 目前，無線設備所存在的眾多限制，會對存儲在這些設備上的數(shù)據(jù)和設備間建立的通信鏈路安全產生潛在的影響。相比于個人計算機，無線設備，如個人數(shù)字助理(PDA)和移動電話存在以下幾方面的限制：, 電池壽命短； 顯示器??； 有限的/不同的輸入方法(觸摸屏與鍵盤)； 通信鏈路帶寬窄； 內存容量??； CPU處理速度低。,上面所列各條是大致按它們對安全的影響從小到大的順序排列的。雖然小顯示器對運行于設備上的應用程序有所影響，但顯然這對安全連接的影響非常小。不可預知的執(zhí)行時間(等待時間：latency)以及不能保證數(shù)據(jù)包的收發(fā)順序等都會影

6、響加密方法。這些限制中，影響最大的是移動設備的內存容量小和CPU處理速度慢，這些因素使得我們通常不愿意選擇加密操作。,15.2 存在的威脅和漏洞,在無線局域網(wǎng)環(huán)境中，我們需要研究與傳統(tǒng)有線LAN環(huán)境中存在的相同的安全問題。但是對于無線信道，還需要特別強調一些其特有的安全問題。以下是一些目前已知的主動攻擊類型9：, 社會工程(Social Engineering) 扮演(Impersonation) 漏洞利用(Exploits) 數(shù)據(jù)驅動(Data Driven) 傳遞信任(Transitive Trust) 基礎結構(Infrastructure) 拒絕服務(Denial of Service

7、),15.2.1 竊聽 在無線電環(huán)境中竊聽非常容易。當通過無線電通道發(fā)送消息時，任何人只要擁有合適的接收機并在傳輸?shù)姆秶鷥染湍芨`聽消息，而且發(fā)送者和預期的接收者無法知道傳輸是否被竊聽，這種竊聽根本無法檢測。 無線通信所采用的頻段和收發(fā)設備的功率對傳輸?shù)姆秶泻艽笥绊憽．敳捎? MHz或5 MHz的無線電頻段，收發(fā)設備的功率達到1 W(這是目前無線LAN的標準)，在沒有專門的電磁屏蔽情況下，無線LAN通信可在所運行網(wǎng)絡的建筑物外被竊聽到，因此不能認為網(wǎng)絡只運行在本單位的辦公大樓里。,在無線LAN環(huán)境下竊聽很容易，這使得保證網(wǎng)絡流量的機密性是個非常昂貴的過程。所有的無線LAN標準都考慮了這個問題，

8、并由MAC實體通過某種鏈路級加密實現(xiàn)，但是利用這些算法獲得的安全性對許多應用而言是不夠的。,15.2.2 傳遞信任 當公司網(wǎng)絡包括一部分無線LAN時，就會為攻擊者提供一個不需要物理安裝的接口用于網(wǎng)絡入侵。在有線網(wǎng)絡中，我們總能通過物理線路從我們的計算機追蹤到下一網(wǎng)絡節(jié)點,但在無線網(wǎng)絡環(huán)境下，通信雙方之間并沒有這么一條路徑。這使得有效的認證機制對無線LAN安全顯得尤為關鍵。在所有的情況下，參與傳輸?shù)碾p方都應該能相互認證。,無線LAN可用來作為傳遞信任的跳板。如果攻擊者能欺騙一個無線LAN，讓它信任攻擊者所控制的移動設備，則在企業(yè)網(wǎng)所有防火墻內部就有了敵方的一個網(wǎng)絡節(jié)點，并且從此以后很難阻止敵方的

9、行動。這種攻擊可以通過使用與我們的網(wǎng)絡設備相兼容的標準無線LAN硬件來實現(xiàn)，而有效阻止這種攻擊的方法就是移動設備訪問無線LAN的強認證機制。要發(fā)現(xiàn)不成功的攻擊必須依賴于這些不成功攻擊企圖的日志，但即使發(fā)現(xiàn)這種攻擊企圖也很難確定是否存在真正的攻擊。因為在正常操作情況下，無線電信道的高比特誤碼率(Bit Error Rate)以及來自其它無線LAN移動設備的登錄都可能產生不成功登錄的日志。,另外一種傳遞信任攻擊是專門針對無線網(wǎng)絡的，這種攻擊是欺騙移動設備，讓移動設備相信攻擊者所控制的基站。當移動設備開機時，一般會首先登錄具有最強信號的網(wǎng)絡，如果登錄失敗，就按信號功率順序登錄其它網(wǎng)絡。如果攻擊者有一

10、個大發(fā)射功率的基站，他就能欺騙移動設備首先登錄攻擊者所控制的網(wǎng)絡。這時存在兩種可能性：正常用戶成功登錄被攻擊者所控制的網(wǎng)絡，攻擊者從而找出密碼、秘密密鑰等；攻擊者僅僅拒絕用戶的登錄企圖但記錄登錄過程中所有的消息，并通過分析這些消息找出網(wǎng)絡中進行認證時的秘密密鑰或密碼。,在沒有有關網(wǎng)絡服務詳細信息的情況下，前一種攻擊很難實現(xiàn)并很容易被檢測到。后一種攻擊方式所需要的只是與我們的設備兼容的標準基站硬件(可能有專門的天線)。這種方式很難檢測到，這是因為移動設備一般不向上層報告不成功的登錄企圖(即使在正常環(huán)境下也會存在大量的不成功登錄企圖)。針對這種攻擊的惟一保護措施是有效的認證機制，它允許移動設備在不

11、泄漏登錄網(wǎng)絡所使用的秘密密鑰或密碼的前提下認證基站。,15.2.3 基礎結構 基礎結構攻擊是基于系統(tǒng)中存在的漏洞：軟件臭蟲(Bug)、錯誤配置、硬件故障等。這種情況同樣也會出現(xiàn)在無線LAN中。但是針對這種攻擊進行保護幾乎是不可能的除非發(fā)生了，否則你不可能知道有臭蟲的存在。所以能做的就是盡可能地降低破壞所造成的損失。,15.2.4 拒絕服務 無線電傳輸?shù)谋举|使得無線LAN很容易受到拒絕服務攻擊。如果攻擊者擁有一個功率強大的收發(fā)設備，他就能很容易地產生一個無線電干擾信號，使得無線LAN不能利用無線電信道進行通信。這種攻擊可在我們的站點外發(fā)起，如街道的停車場或下一街區(qū)的公寓。發(fā)起這種攻擊所需要的設備

12、很容易以可承受的價格從任何一家電子商店買到，并且任何一個短波無線電愛好者都會擁有搭建這種設備的能力。,針對這種攻擊的保護非常困難和昂貴。惟一完全的解決方法是把我們的無線網(wǎng)絡放在法拉第籠子里(只有在很少的情況下才會這么用)。官方可以很容易地對發(fā)射干擾的收發(fā)設備定位，因此在被發(fā)現(xiàn)之前攻擊者的時間是有限的。 另一方面，無線LAN相對有線LAN而言不容易受到其它類型的拒絕服務攻擊。例如，只要把線路剪斷就可把一個固定的LAN節(jié)點隔離開，這在無線環(huán)境中是不可能的。如果攻擊者切斷了整個站點的電源，則所有有線網(wǎng)絡就都沒用了，但用筆記本電腦或其它電池供電的計算機構成的AD-Hoc無線網(wǎng)絡(各計算機之間直接進行通

13、信)仍可正常使用。,15.3 藍 牙 協(xié) 議,藍牙是為個人區(qū)域網(wǎng)絡(Personal Area Networks，PAN)應用和需要短距離通信的應用設計的一種通信協(xié)議。藍牙規(guī)范最初定義的設備通信范圍為10米。這個協(xié)議主要用于擴展遠程通信能力并減少對電纜的依賴。它工作于網(wǎng)絡協(xié)議層次的物理層以及鏈路層，高層應用支持由其它知名協(xié)議提供。這些協(xié)議包括無線應用協(xié)議(WAP)、點對點協(xié)議(PPP)和IP(TCP/UDP)協(xié)議。,藍牙專業(yè)組為藍牙協(xié)議定義了大量的使用模型。這些使用模型不僅指明了協(xié)議潛在的應用場合，而且還可以幫助我們理解協(xié)議所需的安全級別。已公布的使用模型包括： 互聯(lián)網(wǎng)網(wǎng)橋(Internet

14、Bridge)：在這個模型中，一臺PC機使用移動電話訪問互聯(lián)網(wǎng)。PC機使用藍牙協(xié)議與移動設備通信；接下來移動設備采用與連接PC機的有線調制解調器同樣的方式撥號上互聯(lián)網(wǎng)。這個應用模型中的藍牙協(xié)議支持PPP，因而可以傳輸IP數(shù)據(jù)包。, 同步(Synchronization)：這個使用模型的關鍵是建立一個PAN來對E-mail、日歷和聯(lián)系人數(shù)據(jù)進行同步，這是典型的個人信息管理(PIM)應用和設備。 3合1電話(Three-in-one Phone)：采用這種使用模型的設備一般作為：(a) 連接到公共交換電話網(wǎng)絡的無繩電話；(b) 設備和設備之間通信的內部通信電話；(c) 連接到公共蜂窩基礎設施的蜂窩

15、電話。 這只是為藍牙協(xié)議開發(fā)的三種使用模型。實際的使用模型非常多，一般每一種使用模型都需要不同的信息安全方法。藍牙協(xié)議已經制定了不同的安全需求。,15.3.1 藍牙安全 藍牙規(guī)范中提供了三種安全模式：無安全級、服務級和安全級。安全模式指明了需要實現(xiàn)的安全程度。在無安全模式下，設備沒有任何安全措施。這適合于少量不需要安全性的應用模型。有安全的模式需要在任何鏈路連接建立之前實現(xiàn)安全。在藍牙設備的作用范圍內，這在目前的大多數(shù)使用模型中已經足夠。將來開發(fā)的設備將需要“always-on”安全模式。,藍牙設備最常用的配置是采用服務強制安全，即服務級(模式2)的安全。服務強制安全使得安全的需求建立在應用的

16、基礎上。這種模式認可了這樣一個事實：某個用戶的設備可能扮演不同的角色，實現(xiàn)不同的功能。如在使用vCard應用/功能進行名片交換時，強制設備實現(xiàn)安全是不合適的，而同樣的設備如果用在不可信環(huán)境下的電子商務中，就需要實現(xiàn)安全。下面將著重討論藍牙的模式2安全。,藍牙安全是在鏈路層實現(xiàn)的，是基于可信設備的概念。一個設備企圖和另一個設備建立鏈路，第二個設備要么對第一個設備是可信的，要么是不可信的。如果認為是可信的，第二個設備就會自動獲得對第一個設備的鏈路訪問；如果認為是不可信的，就會調用粒度更小的、基于服務的認證和授權機制。,此時，服務可以要求三種不同的安全級別：認證和授權、認證或不認證。這種安全模型使得

17、不同安全需求的服務共存于同一設備上。例如，訪問vCard應用時，交換聯(lián)系人信息可以定義為不需要認證或授權的服務。同一設備還可支持文件傳輸或數(shù)據(jù)庫交易服務，這些服務很有可能需要認證和授權。藍牙安全模型包括這樣一條規(guī)定：當與不可信設備建立鏈路，并允許其訪問某一項服務時，不能自動地允許其訪問任何其它服務，它也不能自動改變外來設備的狀態(tài)(這個設備在以后建立鏈路時仍將認為是不可信的)。,藍牙安全模型把移動設備提供的功能定義為服務。當實現(xiàn)模式2安全時，對設備的訪問控制是基于遠程設備企圖訪問的服務的。如果遠程設備是可信的，那么不需要任何訪問控制。在遠程設備不可信或未知(藍牙認為不可信)的情況下，設備需要不同

18、級別的訪問控制。基本的級別是授權。和有線網(wǎng)絡安全一樣，授權提供了訪問控制的基線(Baseline)。認證可以確認遠程設備是否被允許訪問本地設備上運行的服務。在更基礎的級別上，通過確定遠程設備的身份，該模型中內建的安全機制可以確定遠程設備對本地設備上特定服務的訪問級別。這就是所謂的授權。因此，授權之前必須通過認證。,在允許訪問服務前，可以實現(xiàn)的最后一個安全要素是加密。當服務需要加密時，加密是在鏈路層、在本地設備允許對方訪問服務之前建立的。默認情況下，對進入連接需要認證和授權，對外出連接需要認證(證實運行服務的設備的真實身份)。圖15-1給出了藍牙安全解決方案的流程。,圖15-1 藍牙解決方案的安

19、全流程,如前所述，藍牙安全模型是信任設備而不是用戶。藍牙的認證模型基于共享密鑰。兩個藍牙設備第一次進行通信時，兩個設備都需要知道對方是否是可信的。信任的建立必須發(fā)生在初始連接時，這是因為藍牙安全模型在隨后的連接請求中不允許用戶干涉(用戶名/口令的檢查)。從概念上講，這并不像現(xiàn)在許多無線設備實現(xiàn)的那樣：移動電話在打電話時必須和網(wǎng)絡進行認證，但這是認證設備，而不是用戶。雖然設備在允許訪問前用戶可以請求認證，但訪問控制是為設備而不是網(wǎng)絡實現(xiàn)的。,當網(wǎng)絡上只有一種服務時，這種安全模型是可以接受的。直到最近，移動網(wǎng)絡也只提供一種服務：語音通信。將來，移動設備會更多地使用同時支持聲音和數(shù)據(jù)的一個或多個網(wǎng)絡

20、。目前，采用不同技術(全球移動通信系統(tǒng)GSM、數(shù)字蜂窩分組數(shù)據(jù)CDPD(Cellular Digital Packet Data)和碼分多址CDMA)的移動網(wǎng)絡可以提供對聲音和不同數(shù)據(jù)服務的訪問。由于無線設備所增加的新的功能，使得在這個網(wǎng)絡上傳輸?shù)男畔⒏舾校@些網(wǎng)絡需要采用新的安全模型。,過去，可以用掃描器竊聽蜂窩網(wǎng)絡的傳輸，在考慮到分組的敏感性后，CDPD網(wǎng)絡用基于會話的密鑰加密來防止通常的竊聽。藍牙安全提供了類似級別的加密，這可阻止一些偶然的攻擊。在這兩種情況下，物理和鏈路級的通信加密提供了基于設備的認證、保密性和數(shù)據(jù)完整性。,15.3.2 保護藍牙 雖然藍牙安全可以防止一些偶然的攻擊，

21、但這種技術仍是有局限性的。藍牙安全實現(xiàn)的基本缺陷是信任設備，而不是用戶。 藍牙的設計并不是一個端到端(end-to-end)的安全解決方案，而只是在鏈路級提供安全。這個缺陷意味著：如果藍牙只用于提供鏈路層的連接，而且安全性要求也很高，那么就有必要由上層來提供安全性(一般由應用層提供)。,藍牙協(xié)議的另外一個局限實際上是藍牙設備本身的局限。藍牙設備處理速度不夠、內存有限，這使得它不可能對每個數(shù)據(jù)包進行安全檢查。由于這個原因，只有在建立連接階段和對面向連接的通信流量才實施安全檢查。對于需要安全能力的無連接通信流量，連接建立之外的安全檢查需由上層應用程序來額外實現(xiàn)。,在考慮藍牙所需的安全級別時需要考慮

22、兩條額外的信息： 第一、要保護的數(shù)據(jù)是什么；數(shù)據(jù)是公共的、私有的、機密的還是受限制的。如果藍牙保護的數(shù)據(jù)是公共的，那幾乎不需要花費多少資源來保護它。,第二、上層應用程序和協(xié)議對數(shù)據(jù)的保護程度；如果使用藍牙傳輸受限信息，上層協(xié)議和應用程序采用的保護措施是什么(加密、不可抵賴或認證)。在評估安全的整體強度時要檢查整個數(shù)據(jù)包，藍牙可以認證設備但不能認證使用設備的用戶，如果鏈路上傳輸?shù)臄?shù)據(jù)需要認證用戶，藍牙安全需要和上層安全機制結合起來。 藍牙安全存在一些局限，但通過和其它安全措施相結合，藍牙可以為設備間的鏈路安全提供可靠的機制。,15.4 無線應用協(xié)議(Wireless Application Pr

23、otocol),WAP是專門為移動設備優(yōu)化的協(xié)議。這些優(yōu)化主要是針對于本章前面討論的種種限制的。WAP是一個開放的標準，它盡可能地利用了現(xiàn)有的標準。對現(xiàn)有標準的復用和修訂擴展了無線通信標準，然而，我們有必要檢驗這些修訂對安全所造成的影響。例如，現(xiàn)有的加密算法對無線通信優(yōu)化后，這些優(yōu)化是否會降低算法的強度。,WAP規(guī)范采用的主要概念是協(xié)議的分層。分層是指把整個通信過程分成幾個獨立的模塊，每一模塊完成某個特定的子功能。有線通信中的TCP/IP分層是按照OSI參考模型實施的。OSI模型各層要完成的功能包括：在電纜或光纖上物理傳輸信息(物理層)、提供全球 惟一的源和目的地址(網(wǎng)絡層)、為應用程序格式化

24、信息(表示層)。分層方法的重要一面就是每一層都要為相鄰層提供標準的、知名的接口。這樣，即使某一層有所變化也不會影響其它層。,WAP規(guī)范定義了應用層、會話層和傳輸層協(xié)議。應用層說明了用戶使用的應用程序和提高應用程序功能的腳本。會話層管理用戶連接。傳輸層從不同類型的無線網(wǎng)絡中接收信息，使之安全并以格式化形式傳遞信息。 圖15-2是WAP協(xié)議體系結構示意。協(xié)議棧的上層以Web協(xié)議HTTP1.1、腳本語言和標記語言為模型；外部應用程序可在協(xié)議棧傳輸層之上的任何位置介入；該協(xié)議體系結構中有一層專門負責安全。本章稍后將詳細介紹該安全層。,圖15-2 WAP協(xié)議結構,無線設備用戶使用設備的方式與有線設備用戶

25、不一樣。這不是安全的原因，而是由于設備的局限性。小顯示器和網(wǎng)絡吞吐量的限制導致了無限設備不同的使用模式。無線用戶一般不會在服務供應商網(wǎng)絡上沖浪。無線設備的使用模式更偏愛那些流水線方式(steamline)工作的程序，這些應用程序所需的輸入很有限或可預知，專為小顯示器定制，只需要有限的帶寬即可。這就使得它本質上更面向商務：文本電子郵件/短消息、股票交易和數(shù)據(jù)庫查詢與事務處理等。,從安全角度看，有線網(wǎng)絡中的策略和過程同樣適用于無線通信流，數(shù)據(jù)受保護的程度必須和有線連接的一樣。對熟悉已有數(shù)據(jù)安全標準的安全人員，理解無線標準和為無線協(xié)議制定的標準之間的區(qū)別非常重要。 支持WAP最好的設備是電話，但其它

26、類型設備同樣支持WAP。Palm VII、PocketPC甚至某些RIM(Research In Motion)平臺都有WAP瀏覽器。在討論WAP安全和保護基于WAP的通信之后，我們將描述一些可以用來保護無線通信的專用解決方案。,15.4.1 WAP安全 在無線應用協(xié)議中，安全是可選的。在WAP體系結構中，安全層協(xié)議由無線傳輸層安全層(WTLS)提供。無線傳輸層安全層直接工作在傳輸協(xié)議層之上，為WAP的上層協(xié)議提供安全服務傳輸接口。WTLS規(guī)范致力于解決以下幾個問題：存儲/內存容量有限，低帶寬，處理能力低，延遲時間長或不可預測。WTLS的目的是通過使用證書和加密提供認證、保密和數(shù)據(jù)完整性。雖然

27、這個規(guī)范是基于IETF傳輸層安全(TLS)1.0規(guī)范的，但它針對前面討論的無線網(wǎng)絡局限性進行了優(yōu)化。表15-1列出了WTLS所增加的一些功能特性27。,表15-1 WTLS增加的功能特性,目前，許多運行在移動設備上的應用程序包含敏感數(shù)據(jù)。雖然許多移動網(wǎng)絡操作員會對流量進行加密，但這種加密是不一致的，而且也不能保證端到端的安全。WTLS在協(xié)議端點之間提供端到端的安全。在WAP的情況下，協(xié)議端點是移動設備或WAP網(wǎng)關。如果協(xié)議端點是可信的，那么連接就是安全的。注意WAP本身并不能提供完全的端到端安全。和藍牙一樣，如果需要端到端的安全，就需要上層應用或協(xié)議來實現(xiàn)。,WTLS在和服務器的握手過程中建立

28、安全參數(shù)。在握手過程中，客戶端和服務器就認證和加密的需求、采用的加密方法、客戶端可接受的證書和其它一些非默認的參數(shù)達成一致。這些參數(shù)首先由客戶端發(fā)送給服務器。服務器選擇可接受的參數(shù)并請求來自客戶端的認證。,在許多情況下，由于移動設備的局限性，客戶端只能采用少量的加密機制和接受某些類型的證書，而服務器由于其處理能力、存儲能力和內存較大，從而可以包容從不同的客戶端傳遞過來的大量的不同參數(shù)。在握手過程中，客戶端和服務器任何一方都可以中斷連接。中斷連接可能是由于一方不能接受另一方傳遞過來的參數(shù)，也可能是由于不支持，或是由于不能滿足最小安全需求。 目前，WTLS有三種模式的安全：匿名認證、服務器認證和雙

29、向(客戶和服務器)認證。,前面的章節(jié)提到過，認證是通過證書來完成的。廣泛采用的證書有X.509v3、X9.68(X9.68作為WAP-261-WTLS規(guī)范仍在開發(fā)中)和WTLS證書。首先，客戶端發(fā)送“Hello”消息啟動握手過程。服務器同樣用“Hello”消息來響應，緊跟著發(fā)送服務器證書消息。證書包括以下內容(列出的值是WAP-261-WTLS規(guī)范中定義的)：, 證書版本：值=1。 簽名算法：用于對證書簽名的算法。 證書發(fā)布者：注意，這必須是客戶端信任的CA。 證書有效期的開始時間：UNIX 32比特格式。 證書有效期的結束時間：UNIX 32比特格式。 主體(Subject)：公鑰擁有者。

30、公鑰類型：公鑰算法。 參數(shù)規(guī)范：與公鑰有關的任何參數(shù)。 公鑰。,為了優(yōu)化客戶端的網(wǎng)絡帶寬和處理能力，服務器可以只發(fā)送由CA私鑰簽名的證書。雖然在這種情況下需要客戶端信任CA，但這可以省去在鏈路上發(fā)送整個密鑰鏈的操作?？蛻舳苏J證完服務器后，服務器可能要求認證客戶端。這時，客戶端可能會用其證書(如果有)、空白證書(沒有證書的情況)或結束握手過程的告警消息來響應。隨后，用來加密所有應用流量的主秘密通過RSA或Diffile-Hellman或橢圓Diffie-Hellman算法進行交換。,保密和數(shù)據(jù)完整性通過加密和消息認證碼(MAC)來實施的。這些參數(shù)都是在握手過程中協(xié)商的。客戶端發(fā)送其支持的加密算法

31、和MAC算法列表。列表的第一對組合是客戶端的第一選擇。服務器將在這些組合中進行選擇，盡量使用客戶端和服務器同時支持的最好的組合。如果找不到可接受的組合，握手過程失敗。WAP依賴于現(xiàn)有的加密算法，如DES、3DES、RC5和IDEA，這些都是分組加密算法。數(shù)據(jù)完整性是由MAC完成的。MAC采用知名的算法，包括SHA和MD5。由于性能的原因，WAP標準可以使用SHA_XOR_40算法，這個算法是專門為處理能力有限的設備優(yōu)化的。,15.4.2 保護WAP 雖然由于性能原因，實現(xiàn)WTLS安全的協(xié)議是一種流水線(Streamline)方式，但它仍是一種可靠的解決方案。許多與WAP相關的安全風險來自于這種

32、體系結構的不安全實現(xiàn)。使用無線應用協(xié)議的應用程序中存在的最大風險是所謂的“Gap in WAP”。這個問題出現(xiàn)在WAP網(wǎng)關上，這是由于WTLS中的加密和保密只存在協(xié)議端點之間，而不是應用程序端點之間。,對于典型的WAP網(wǎng)關配置，在手持/無線設備和WAP網(wǎng)關之間才使用WTLS數(shù)據(jù)加密。在WAP網(wǎng)關，數(shù)據(jù)必須解密，然后再重新加密(典型的是采用SSL加密)。漏洞就在于在這個過程中，WAP網(wǎng)關內存中的數(shù)據(jù)是未加密的。此外，WAP安全模型中的無線設備是通過數(shù)字證書認證WAP網(wǎng)關的，而不是認證終端應用服務器的。,在這個技術的最初階段，無線運營商在其網(wǎng)絡上提供WAP網(wǎng)關。網(wǎng)關接收到通信流后，通過虛擬專用網(wǎng)(

33、VPN)或采用SSL把通信流發(fā)送到企業(yè)/服務供應商的網(wǎng)絡上。這個早期的模型依賴于服務供應商實施的物理和邏輯的安全。服務提供商實施這些安全來保護數(shù)據(jù)，數(shù)據(jù)在轉發(fā)之前要進行解密和重新加密。由于電子商務對于一個組織越來越至關重要，因而在無線鏈路上傳輸?shù)臄?shù)據(jù)也越來越敏感，所以該組織自身必須對無線通信擔當端到端安全的責任。圖15-3給出了幾種通過無線廣域網(wǎng)實現(xiàn)移動通信安全的解決方案。,圖15-3 移動應用體系結構,該圖在配置上有多種可能的變化。最初的配置是在中間的網(wǎng)關，如移動網(wǎng)絡的WAP網(wǎng)關上終止安全連接。更安全一點的配置是把WAP網(wǎng)關放在組織可以控制的區(qū)域內。與WAP網(wǎng)關一起配置的還包括專用設備的實現(xiàn)

34、，包括Palm、PocketPC和RIM。由于這些設備具有強大的處理能力和內存/存儲容量，因而它們可以使用更強的認證和加密方法。例如，PocketPC內置就支持SSL；Palm設備可以使用大量的加密算法，包括ECC和DESX。因此，具體移動設備不同，其可提供的安全解決方案也會不同。,在規(guī)劃一個基于WAP的體系結構時，組織應該把WAP網(wǎng)關放在一個可信的環(huán)境中。對大部分組織而言，這意味著把WAP網(wǎng)關放置在防火墻之內要么在非軍事區(qū)(DMZ)/網(wǎng)絡邊界，要么在公司內部網(wǎng)。在某些情況下，也可能把WAP網(wǎng)關直接放在Web服務器上。這將極大地降低WAP網(wǎng)關不安全性帶來的風險。服務器所能保證的安全等級是組織內

35、無線通信數(shù)據(jù)的安全保密級別的關鍵因素。,WAP規(guī)范還有一些額外的安全措施來進一步保護鏈路。大部分解決方案本質上是專用的，用戶前臺(無線設備上的WAP瀏覽器)和后臺都是定制實現(xiàn)的。從這些實現(xiàn)中學到的教訓和正在進行的WAP標準化工作都將最終提高實現(xiàn)的安全性。,15.5 無線局域網(wǎng)的安全,無線局域網(wǎng)(WLAN)是現(xiàn)有有線LAN的擴展，它采用無線電波而不是銅電纜或光纖來傳輸數(shù)據(jù)。通過無線電通信，可以在短距離上把數(shù)據(jù)以高傳輸速率傳送到具有無線電接收和發(fā)射能力的設備上。這就使得這些設備就像局域網(wǎng)上的其它有線設備一樣。本節(jié)將討論WLAN的拓撲結構、工作原理和安全機制。,IEEE 802.11b(http:/

36、/groups/802/11/)是當前使用最為廣泛的、用于建立無線局域網(wǎng)的協(xié)議，通常稱為IEEE 802.11b 標準。802.11b標準對無線信號的使用頻率、帶寬、傳輸速率以及各無線端點之間的通信方式進行了定義。,802.11b信號工作在 2.40002.4835 GHz頻率范圍內。其理論上的、最大傳輸速率可以達到11 Mb/s，實際的傳輸速率大約為46 Mb/s，在信號質量更好的情況下，可以達到5.5 Mb/s。802.11b使用直擴序列無線信號(Direct Sequence Spread Spectrum，DSSS)，相對應的是頻率捷變擴譜(Freque

37、ncy Hopping Spread Spectrum)，這是最初802.11協(xié)議規(guī)范的一部分。DSSS允許更高的傳輸率，但是更容易受到無線信號的干擾。,有趣的是，很多基于DSSS的802.11產品可以同目前的802.11b網(wǎng)絡互操作，不過其傳輸速率只能是工作在802.11的2 Mb/s或者1 Mb/s。無線終端的覆蓋區(qū)域依賴于天線強度以及當時的工作環(huán)境，典型的辦公環(huán)境下為75150英尺(1英尺約等于30厘米)。,15.5.1 無線拓撲結構(Wireless Topologies) 最簡單的無線局域網(wǎng)只要利用兩臺帶有無線網(wǎng)卡的計算機就可以組成所謂的對等(peer-to-peer)網(wǎng)絡。復雜的無

38、線網(wǎng)絡可以包括成千上百臺計算機，它們之間的互相通信通過多路訪問點(Multiple Access Points)來實現(xiàn)，訪問點(AP)實現(xiàn)無線網(wǎng)絡內數(shù)據(jù)同有線以太局域網(wǎng)內數(shù)據(jù)的交換，我們稱這種拓撲結構為基礎模式(Infrastructure Mode)，見圖15-4。,前面一種情況我們稱之為特別(AD-Hoc)無線網(wǎng)絡，同Windows 系統(tǒng)中的對等網(wǎng)絡相類似。在一個AD-Hoc無線網(wǎng)絡中，參與通信的雙方的關聯(lián)(Association)是通過一個公共網(wǎng)絡標識符(Common Network Identifier)來實現(xiàn)的。關聯(lián)一旦成功，它們就可以共享文件和其它資源，就如同在有線環(huán)境下的對等網(wǎng)絡

39、一樣。,圖15-4 WLAN的拓撲結構,無線對等網(wǎng)的缺點同有線對等網(wǎng)的缺點是一樣的：難于管理和可伸縮性差。雖然建立網(wǎng)絡很方便，但是隨著網(wǎng)絡節(jié)點數(shù)目的增多，管理變得越來越難。我們建議AD-Hoc網(wǎng)絡只用于小型網(wǎng)絡。在這種網(wǎng)絡中，使用上的便利性占主導地位，而對安全性的要求不是很高。不過在某些臨時場合當中，大型的對等網(wǎng)也能發(fā)揮其方便、快捷的作用。事實上，在2001年秋季召開的因特爾開發(fā)者論壇(Intel Developer Forum)上，就看到了這種AD-Hoc網(wǎng)絡，它在幾十秒的短時間內使得500名與會代表的計算機都連到了同一個網(wǎng)絡當中。,15.5.2 基本和擴展服務集(Basic and Ext

40、ended Service Sets) 在大型可管理網(wǎng)絡拓撲結構中，多個802.11b 終端通過一個AP連接到有線網(wǎng)絡。最簡單的情形就是：一個AP同一個或者多個無線客戶形成關聯(lián)，并完成客戶同有線以太網(wǎng)絡的橋接功能。這種方式通常稱為基本服務集(Basic Service Set, BSS)，如圖15-5所示。,圖15-5 基本服務集,一個移動客戶離AP的距離越遠，它所接收到的無線信號強度就越小。正如前面所述，結果只能是系統(tǒng)傳輸速率下降。為了增加無線網(wǎng)絡的覆蓋范圍，我們可以采取增加AP站點密度這一策略。這種情況我們稱之為擴展服務集(Extended Service Set ，ESS)，其定義為兩個

41、或者多個AP分別同特定的有線以太網(wǎng)和它們各自關聯(lián)的無線客戶進行連接，如圖15-6所示。,圖15-6 擴展服務集,無線網(wǎng)絡實現(xiàn)的第一個階段是仔細評估目前的網(wǎng)絡狀態(tài)以及使用無線技術所要達到的目的。我們首先概要性地描述組網(wǎng)技術，更詳細的討論見后續(xù)幾個小節(jié)。 首先，必須規(guī)劃網(wǎng)絡所要使用的組，如所有的員工、銷售人員、顧客等等。另外，還要考慮每種用戶所能夠訪問的資源、總的訪問人數(shù)、同時訪問各個訪問點的人數(shù)、各自的帶寬需求，同樣還要考慮無線網(wǎng)絡的環(huán)境特性、用戶的移動性等。,對于數(shù)據(jù)敏感的應用環(huán)境，還需要確定所傳輸數(shù)據(jù)的安全等級，以及對使用無線網(wǎng)絡和網(wǎng)絡資源的客戶端用戶的認證方法。 另外，一個需要重點考慮的問

42、題是無線網(wǎng)絡的管理。許多企業(yè)的無線網(wǎng)絡產品支持基本的監(jiān)視功能(使用SNMP)，例如HP OpenView的網(wǎng)絡管理平臺。但仍然有許多任務，如組件更新，需要通過手工來完成。在策劃整個無線網(wǎng)絡時應確保為這些任務分配適當?shù)馁Y源。,在配置一個無線網(wǎng)絡之前，有必要制訂詳盡的計劃。無線網(wǎng)絡有可能對其它網(wǎng)絡基礎設施產生潛在的影響，所以對任何這種潛在的威脅都應當盡量避免并改進它們。例如，在一種網(wǎng)絡環(huán)境中，我們經常使用來自不同廠家的交換機和路由器，因而就必須確保所安裝的無線設備能夠在這種環(huán)境下正常工作。惟一的方法就是事先進行某些測試和評估。建議采用分階段的方法實施整個網(wǎng)絡組建過程，特別是在組建一個普遍適用的網(wǎng)絡

43、時。,我們可以從組建一個測試網(wǎng)絡開始，從而初步推算出整個工程的實現(xiàn)方法。這樣的一個測試網(wǎng)絡對于驗證新設備在當前工作環(huán)境下的運行情況是很關鍵的。 有了這些知識：用戶數(shù)目、預期帶寬和漫游頻率，我們就可以在無線網(wǎng)絡需求和物理實現(xiàn)之間尋求匹配。這是通過對實際網(wǎng)絡的調查來完成的，主要包括建筑物的布局和AP的最優(yōu)地理位置和密度，這些都必須以最大化客戶連接和帶寬為準則。,1建筑物的影響(Building Walkthrough) 為了確保測量的精確性，我們必須掌握網(wǎng)絡周圍各個建筑物的設計圖。許多無線銷售商在他們的硬件設備中都提供了測量工具。這些工具可以運行在安裝有無線網(wǎng)卡的筆記本電腦上，它們有助于測量整個網(wǎng)

44、絡環(huán)境的無線電傳播特性，可以顯示信號強度和質量以及數(shù)據(jù)包的丟失率，如圖15-7所示。,圖15-7 客戶端軟件顯示當前的信號質量,圖15-8 重疊覆蓋,下一步是確定所需要的AP數(shù)量以及最佳的安放位置。其中，一個重要的設計目標是保證在不同區(qū)域之間漫游的用戶有足夠的覆蓋范圍和帶寬，同時又不至于安裝太多的訪問點。同樣，對站點的調查可以幫助我們確定什么區(qū)域有最好的覆蓋質量或者什么地方的信號因為干擾有丟失現(xiàn)象。注意，應當確保各個覆蓋區(qū)域之間有輕微的重疊，不留任何連接上的縫隙，如圖15-8所示。,如果在同一個區(qū)域內有許多用戶，那么每個AP的11 Mb/s吞吐量將很快被用完。通過放置多個其覆蓋區(qū)域互相重疊的A

45、P，就可以給用戶提供超過11 Mb/s的累計吞吐量，如圖15-9所示。雖然多個客戶的總吞吐率可以超過11 Mb/s，但單個用戶的速度仍然無法超過11 Mb/s，這依賴于AP數(shù)目。,圖15-9 吞吐量的重疊,2障礙物對信號質量的影響(Obstructions That Affect Signal Quality) 正如前面所述，對網(wǎng)絡所在的站點位置進行調查和研究可以幫助我們識別那些導致信號強度降低的條件，如路徑損耗，多徑損耗或者來自其它無線發(fā)射機的干擾。,路徑損耗(Path Loss)出現(xiàn)在發(fā)射機和接收機，或AP和終端之間，表現(xiàn)為信號強度隨著距離的增加而減小。簡而言之，即離AP越遠，信號就越弱，

46、傳輸速率就越低。對路徑損耗有影響的物體包括天花板、墻壁或者臥室，特別是所使用的建筑材料。例如，無線信號在穿透干墻時其損耗適當，但對于鋼墻則完全不能通過。水能夠吸收許多無線信號，所以必須注意魚缸或其它含水的地質環(huán)境。其它不是很明顯的物體有植物的葉子和人體，這些都可以嚴重影響802.11b的性能。,如果在室外實現(xiàn)整個網(wǎng)絡，那么務必對周圍植被進行調查，否則一到春天，你將會發(fā)現(xiàn)信號強度嚴重下降。室外的干墻壁在下雨天變濕以后也會引起路徑損耗。另外一種情況就是彩色玻璃對信號強度的影響。根據(jù)北卡羅來納大學的Jim Gogan(/gogan/)研究顯示，彩色玻璃也會吸收無線電

47、波，它將有效地降低信號強度和帶寬。要克服這些環(huán)境因素導致的信號損耗，就必須增加這些區(qū)域的訪問點覆蓋范圍和密度。,多徑損耗(Multipath Loss)是由于信號從發(fā)射源傳播到目的地時經過了多條通路而引起的無序造成的，結果是多個信號的到達時間存在差異，使得RF等價于Moire模式。這將額外增加AP的計算負載，因為它必須重建信號。這也是802.11b協(xié)議規(guī)范的一部分。減小上述影響無線信號傳播的物體數(shù)量有助于減少路徑損耗和多徑損耗。,3天線選擇(Antenna Selection) 使用目前符合大多數(shù)無線網(wǎng)絡標準的分集接收天線可以幫助降低多徑損耗數(shù)值。基站的分集接收天線包含兩個天線單元。由于兩個天

48、線單元之間的距離很近，因此降低了多徑損耗的負面影響，這將大大提高信號強度。,另外一種有效的方法是使用高增益天線或者購買提供了BNC天線連接頭選項的AP。通過這個BNC連接頭，我們可以選擇最匹配網(wǎng)絡環(huán)境的天線類型，增強信號強度。 還有一種方法就是在差的覆蓋區(qū)域使用單向天線。例如，針對街對面的某幢辦公樓，我們可以使用單向天線來增加信號強度。單向天線可以在某個方向上獲得最大增益和功率。,4無線干擾(Radio Interference) 當其它設備也工作在802.11b的頻率范圍時，就可能出現(xiàn)無線信號干擾，引起網(wǎng)絡性能下降。2.4 GHz無繩電話、微波爐和藍牙聯(lián)網(wǎng)設備都工作在802.11b所規(guī)定的頻

49、率范圍內，如果它們和網(wǎng)絡設備同時運行，那么將由于發(fā)生數(shù)據(jù)包碰撞而導致數(shù)據(jù)重傳，網(wǎng)絡性能下降。AP的放置原則是盡量最小化來自相鄰發(fā)射機的干擾。在給定區(qū)域內，這主要通過減少AP之間的距離或者增加AP的數(shù)目來實現(xiàn)。,5CSMA/CA 即使沒有出現(xiàn)上述同時發(fā)送數(shù)據(jù)包的情形，網(wǎng)絡性能也會受到影響，這是因為802.11b設備必須等到沒有其它站點發(fā)送數(shù)據(jù)時才發(fā)送數(shù)據(jù)，以避免數(shù)據(jù)包丟失。有線以太網(wǎng)使用帶碰撞檢測的載波偵聽多路訪問技術(CSMA/CD)來分辨是否有兩個設備在同時發(fā)送數(shù)據(jù)包。如果有，則產生一個碰撞信號，并等待一個隨機時間間隔，然后重新準備發(fā)送。但是這只能工作在網(wǎng)絡設備能夠同時發(fā)送和偵聽線路的環(huán)境中

50、。,由于無線設備無法做到這一點，因此它們采用了一種稍微不同的方法，稱為帶碰撞避免的載波偵聽多路訪問技術(CSMA/CA)。CSMA/CA 使用四次握手過程來確定是否可以發(fā)送信號。首先，發(fā)起節(jié)點發(fā)送一個Request To Send (RTS) 包給目標節(jié)點。第二步，如果目標節(jié)點接收到這個包并準備好接收，那么就以一個Clear To Send (CTS)包進行應答。第三步，在接收到CTS包以后，發(fā)送節(jié)點發(fā)送數(shù)據(jù)給目標節(jié)點。最后，目標節(jié)點對每個接收到的包以一個ACKnowledgement (ACK) 包進行應答。,6多AP放置問題(More AP Placement Concerns) 開闊地具

51、有最高的覆蓋范圍，而有墻壁、家具、工廠、其它阻擋物且工作在802.11b帶寬范圍內的廣播設備的環(huán)境將降低AP的有效作用范圍和性能。 在這些區(qū)域的AP擺放位置應當遵循盡量使覆蓋范圍最大化的原則。一旦確定了AP的最佳位置，我們就應當對AP的無線覆蓋范圍和不同覆蓋地點的信號強度進行測試。如果存在無線覆蓋上的縫隙，那么就得增加額外的AP或者重新選定AP的位置。另外，AP的覆蓋應當考慮工作環(huán)境。如果覆蓋的是會議室，那么客戶由于漫游導致的AP切換可以考慮不計。,但是，如果客戶的工作環(huán)境是在一個倉庫或貨棧，那么高移動性將明顯增加AP之間的漫游，因而我們必須增加AP的密度以適應客戶在各種交通工具上的機動性，以

52、提供平滑的AP切換(再次關聯(lián))。 AP有一個配置參數(shù)，稱為無線信道(Radio Channel)，這個參數(shù)決定AP要使用802.11b頻譜的哪個頻段。缺省情況下，AP都被配置到一個特定的信道。相鄰的AP使用不同的信道，以減小AP之間的串擾(Crosstalk)。當來自相鄰AP的信號同本AP的頻段重疊時，就會出現(xiàn)互相串擾，降低AP的性能。,802.11b的2.4 GHz頻段的總帶寬為80 MHz，它被分隔成11個中心信道，每個中心信道覆蓋22 MHz帶寬。所以我們只能在11個信道當中使用三個非重疊信道。一種典型的非重疊信道排列是1、6和11，如圖15-10所示，這樣，相鄰AP就不會使用同一個信道

53、了。 在考慮相鄰AP的擺放時，務必記住你的網(wǎng)站是三維的，無線電波的傳播是球面的，所以，相鄰的AP很可能位于上下樓層內，如圖15-11所示。,圖15-10 三個信道布局,圖15-11 3D信道布局,圖15-12 協(xié)議棧,15.6 協(xié) 議 堆 棧,無線局域網(wǎng)的協(xié)議堆棧(如圖15-12所示)的設計原則是：盡可能小的改動就可以使現(xiàn)存的應用能使用這些協(xié)議。最高三層同其它的網(wǎng)絡相同。 802.11b的MAC/Data-link層規(guī)定了下列特征：, CRC 校驗和 分段 自動漫游 認證和關聯(lián) WEP(有線等效保密)協(xié)議 數(shù)據(jù)鏈路層這一級的加密主要是執(zhí)行有線等效保密，但是攻擊者已經證明這是錯誤的。后續(xù)章節(jié)將討

54、論WEP協(xié)議存在的漏洞。,15.7 無線局域網(wǎng)的安全機制,設計無線網(wǎng)絡時必須考慮其安全性。802.11b標準內置多種安全機制，但是這些機制只提供了基本的安全保護，對于企業(yè)級應用還不充分。,15.7.1 ESSID 第一個安全機制是擴展服務集ID(Extended Service Set ID，ESSID)，它是一個字母和數(shù)字的組合代碼，這些代碼被輸入到同一個無線網(wǎng)絡的所有AP和無線客戶中。這類似于微軟網(wǎng)絡的工作組(Workgroup)名字。每個銷售商的解決方案都提供了一個缺省ESSID值。Cisco使用的是tsunami，3COM用的是101，而Agere取名WaveLAN Network。建

55、議首先改變這個缺省ESSID值以提高網(wǎng)絡安全性。,AP在缺省情況下都會廣播這個網(wǎng)絡名，允許無線客戶獲悉當前所有可以使用的無線網(wǎng)絡。如果不廣播這個值，那么用戶要么事先知道這個網(wǎng)絡名，要么使用某種網(wǎng)絡數(shù)據(jù)捕獲軟件和工具來獲得這種信息。這個功能尤其重要，因為新發(fā)布的Windows XP系統(tǒng)集成了可以嗅探這種廣播包的無線客戶軟件，并且可以列出所有可以使用的網(wǎng)絡。因此，ESSID只能提供最低等級的安全性，不能作為加固網(wǎng)絡安全的惟一方法，更不能廣播ESSID，除非你想讓外人知道你的網(wǎng)絡。,15.7.2 訪問控制列表(Access Lists) 另一無線網(wǎng)絡安全機制就是訪問控制列表。訪問控制列表就是我們可以

56、通過限制無線網(wǎng)卡的MAC地址來控制計算機是否可與訪問點進行關聯(lián)操作。但是，訪問控制列表將帶來額外的管理上的問題。這是因為，我們必須在訪問控制列表當中為每個可以訪問的網(wǎng)卡輸入其MAC地址，如果要更新這個列表，也只能手工完成。即使這樣，MAC地址仍然很容易被竊聽，因為它是以明文方式傳送的。所以，攻擊者要獲得對網(wǎng)絡的訪問權限并不難。,15.7.3 認證(Authentication) 目前，標準所提供的認證還很有限?？蛻艋谟布恼J證可以是基于開放系統(tǒng)(Open System)的，或者是基于共享密鑰(Shared Key)的(詳見15.7.6節(jié))。短期內，共享密鑰可以提供基本的認證服務，但是要想獲得

57、更強壯的解決方案，就得采用802.1x標準建議。,如果你需要基于用戶的認證，那么必須使用一個RADIUS(Remote Authentication Dial-In User Service)服務器。RADIUS的優(yōu)勢在于集中管理，這對于大型應用場合尤為重要。另外一個優(yōu)點在于RADIUS可以用于VPN客戶認證以及無線客戶認證，這就允許我們從一個中心數(shù)據(jù)庫對多種服務進行認證，從而降低管理負擔。,15.7.4 WEP 一旦計算機可以訪問網(wǎng)絡資源，就有必要對傳輸?shù)臄?shù)據(jù)進行加密。明文傳輸?shù)臄?shù)據(jù)很容易被截獲。802.11b 提供了一種加密機制，稱為WEP，或稱有線等效保密(Wired-Equivalen

58、t Privacy)。WEP使用一個64比特或者一個128比特的加密密鑰，但是在缺省情況下，AP沒有打開該功能選項。雖然不使用WEP使得組網(wǎng)相對容易，但是利用網(wǎng)絡分析儀可以輕易捕獲網(wǎng)絡通信并潛在地訪問內部數(shù)據(jù)。,使用WEP協(xié)議的最大難點在于密鑰管理。WEP協(xié)議沒有為AP和客戶端之間如何統(tǒng)一管理密鑰以及無縫地分發(fā)密鑰提供任何機制，因此，任何密鑰的改動對于管理員來說都是一場噩夢。而事實上，管理員必須周期性地變換所有無線設備的密鑰。,15.7.5 使用VPN 保護內部LAN免遭公共互聯(lián)網(wǎng)攻擊所采用的常見技術就是VPN防火墻，如圖15-13所示。同樣，對于無線LAN，我們也可以采用該安全框架，即安裝兩

59、道防火墻：一個作為進入內聯(lián)網(wǎng)的網(wǎng)關，另一個則處于無線LAN和內聯(lián)網(wǎng)之間。無線防火墻只允許VPN通信流。同樣地，無線用戶可以向無線基礎設施認證自己。無線數(shù)據(jù)在VPN隧道中是被加密的。 實際上，把無線網(wǎng)絡和有線網(wǎng)絡隔離，以及只允許VPN通信經過，是利用了緩沖區(qū)的辦法來增強網(wǎng)絡安全性。此外，基于IPSec的VPN技術采用的IP層加密協(xié)議，可以防止通信被竊聽。,圖15-13 VPN 防火墻,自從1999年首個802.11b產品問世以來，無線安全問題逐漸得到了詳細研究。相應地，也發(fā)現(xiàn)了802.11無線協(xié)議的多處安全缺陷。,15.7.6 認證和關聯(lián)(Authentication & Association) 802.11標準定義了一種多階段方法來建立一條客戶端同訪問點之間的網(wǎng)絡連接。這個過程使用了一系列的廣播式和直接式的命令，使得無線端點可以識別、認證和關聯(lián)對方。把一個無線客戶端連接到網(wǎng)絡的整個過程是由客戶端在所有可用的802.11b無線頻率信道上發(fā)送廣播查詢包開始的。該查詢包的