第15章無線通信網(wǎng)的安全-課件

1、第15章 無線通信網(wǎng)的安全 15.1 無線和有線的區(qū)別 15.2 存在的威脅和漏洞 15.3 藍(lán)牙協(xié)議 15.4 無線應(yīng)用協(xié)議(Wireless Application Protocol) 15.5 無線局域網(wǎng)的安全 15.6 協(xié)議堆棧 15.7 無線局域網(wǎng)的安全機(jī)制 15.8 IEEE802.1x 15.9 受保護(hù)的EAP-漫游用戶的強(qiáng)身份認(rèn)證解決方案15.10 IEEE802.11i 15.11 WPA(WiFi Protected Access)規(guī)范 15.1 無線和有線的區(qū)別 雖然無線通信設(shè)備有其特殊的限制(見15.1.2節(jié))，但大都仍可采用標(biāo)準(zhǔn)的安全技術(shù)。例如無線領(lǐng)域中的認(rèn)證、授權(quán)和

2、審計(jì)原理與傳統(tǒng)的有線通信方式中的基本一致。前面各章節(jié)中有關(guān)安全的設(shè)計(jì)、配置原則(系統(tǒng)、網(wǎng)絡(luò)的監(jiān)視和管理)同樣也適用于無線通信環(huán)境，但是，無線通信在某些領(lǐng)域中還是有別于有線通信的。本節(jié)將逐一介紹這些區(qū)別并向讀者介紹與這些技術(shù)相關(guān)的安全本質(zhì)。 15.1.1 物理安全 在討論無線通信時(shí)，物理安全是非常重要的。從定義上來看，我們可以把那些可以使一個(gè)組織實(shí)現(xiàn)無線數(shù)據(jù)通信的所有類型的設(shè)備統(tǒng)稱為移動(dòng)設(shè)備(Mobile)。這就增加了失竊的風(fēng)險(xiǎn)，因?yàn)樵谝粋€(gè)安全組織的物理范圍之外也可以使用這些設(shè)備。雖然這些設(shè)備有一些保護(hù)措施，但是設(shè)計(jì)的保護(hù)措施總是基于最小信息保護(hù)需求的。例如：以前存儲(chǔ)在如蜂窩電話設(shè)備中的那些數(shù)據(jù)

3、都不能認(rèn)為達(dá)到敏感保密等級(jí)。 無線數(shù)據(jù)設(shè)備能存儲(chǔ)企業(yè)信息，如E-mail、數(shù)據(jù)庫瞬態(tài)圖和價(jià)格列表，也能存儲(chǔ)敏感的客戶數(shù)據(jù)，如病人的醫(yī)療記錄。如果包含企業(yè)或客戶機(jī)密信息的設(shè)備被盜，小偷就可以無限期地對(duì)設(shè)備擁有惟一的訪問權(quán)。這樣小偷就有可能系統(tǒng)地破壞設(shè)備的安全機(jī)制，從而獲得被保護(hù)的數(shù)據(jù)。 對(duì)一個(gè)企業(yè)而言，物理安全的重要性依賴于存儲(chǔ)在設(shè)備中的數(shù)據(jù)保密級(jí)別。如傳統(tǒng)的蜂窩電話或個(gè)人數(shù)字助理(PDA)可能會(huì)保存?zhèn)€人電話本或聯(lián)系地址數(shù)據(jù)庫，這就有可能直接把電話號(hào)碼、E-mail地址、特定人或特定合作伙伴的郵政編碼泄漏給攻擊者。這本身的威脅并不大，更大的風(fēng)險(xiǎn)在于金融應(yīng)用場合，例如在電話和無線PDA失效(掛失)

4、之前，可能已經(jīng)有大量的非授權(quán)電話呼叫。 更進(jìn)一步講，無線技術(shù)會(huì)增加存儲(chǔ)在設(shè)備上的數(shù)據(jù)容量，同時(shí)還會(huì)增加這些用于訪問企業(yè)網(wǎng)絡(luò)設(shè)備的訪問類型。蜂窩電話可以存儲(chǔ)E-mail、小型版本的數(shù)據(jù)庫甚至文檔。此外，你還能遠(yuǎn)程訪問企業(yè)網(wǎng)絡(luò)。通過使用無線局域網(wǎng)和無線調(diào)制解調(diào)器，使得筆記本不需要和網(wǎng)絡(luò)進(jìn)行物理連接，只要采用目前的無線通信協(xié)議就可訪問企業(yè)網(wǎng)絡(luò)。這些風(fēng)險(xiǎn)的存在并不意味著就不能用這些技術(shù)，而是說應(yīng)該考慮其需要獨(dú)特的物理安全。 筆記本鎖、現(xiàn)在的PDA鎖是降低設(shè)備被偷風(fēng)險(xiǎn)的基本物理安全需求。用戶認(rèn)證和對(duì)設(shè)備上數(shù)據(jù)進(jìn)行加密能在設(shè)備被偷的情況下嚴(yán)格限制對(duì)數(shù)據(jù)的訪問。我們必須認(rèn)識(shí)到，無線設(shè)備的物理層安全非常重要，

5、這可使我們本章討論的技術(shù)得到廣泛認(rèn)可和應(yīng)用。 15.1.2 設(shè)備局限性 目前，無線設(shè)備所存在的眾多限制，會(huì)對(duì)存儲(chǔ)在這些設(shè)備上的數(shù)據(jù)和設(shè)備間建立的通信鏈路安全產(chǎn)生潛在的影響。相比于個(gè)人計(jì)算機(jī)，無線設(shè)備，如個(gè)人數(shù)字助理(PDA)和移動(dòng)電話存在以下幾方面的限制： 電池壽命短； 顯示器??； 有限的/不同的輸入方法(觸摸屏與鍵盤)； 通信鏈路帶寬窄； 內(nèi)存容量??； CPU處理速度低。 上面所列各條是大致按它們對(duì)安全的影響從小到大的順序排列的。雖然小顯示器對(duì)運(yùn)行于設(shè)備上的應(yīng)用程序有所影響，但顯然這對(duì)安全連接的影響非常小。不可預(yù)知的執(zhí)行時(shí)間(等待時(shí)間：latency)以及不能保證數(shù)據(jù)包的收發(fā)順序等都會(huì)影響加

6、密方法。這些限制中，影響最大的是移動(dòng)設(shè)備的內(nèi)存容量小和CPU處理速度慢，這些因素使得我們通常不愿意選擇加密操作。15.2 存在的威脅和漏洞 在無線局域網(wǎng)環(huán)境中，我們需要研究與傳統(tǒng)有線LAN環(huán)境中存在的相同的安全問題。但是對(duì)于無線信道，還需要特別強(qiáng)調(diào)一些其特有的安全問題。以下是一些目前已知的主動(dòng)攻擊類型9： 社會(huì)工程(Social Engineering) 扮演(Impersonation) 漏洞利用(Exploits) 數(shù)據(jù)驅(qū)動(dòng)(Data Driven) 傳遞信任(Transitive Trust) 基礎(chǔ)結(jié)構(gòu)(Infrastructure) 拒絕服務(wù)(Denial of Service) 15

7、.2.1 竊聽 在無線電環(huán)境中竊聽非常容易。當(dāng)通過無線電通道發(fā)送消息時(shí)，任何人只要擁有合適的接收機(jī)并在傳輸?shù)姆秶鷥?nèi)就能竊聽消息，而且發(fā)送者和預(yù)期的接收者無法知道傳輸是否被竊聽，這種竊聽根本無法檢測。 無線通信所采用的頻段和收發(fā)設(shè)備的功率對(duì)傳輸?shù)姆秶泻艽笥绊憽．?dāng)采用2 MHz或5 MHz的無線電頻段，收發(fā)設(shè)備的功率達(dá)到1 W(這是目前無線LAN的標(biāo)準(zhǔn))，在沒有專門的電磁屏蔽情況下，無線LAN通信可在所運(yùn)行網(wǎng)絡(luò)的建筑物外被竊聽到，因此不能認(rèn)為網(wǎng)絡(luò)只運(yùn)行在本單位的辦公大樓里。 在無線LAN環(huán)境下竊聽很容易，這使得保證網(wǎng)絡(luò)流量的機(jī)密性是個(gè)非常昂貴的過程。所有的無線LAN標(biāo)準(zhǔn)都考慮了這個(gè)問題，并由MA

8、C實(shí)體通過某種鏈路級(jí)加密實(shí)現(xiàn)，但是利用這些算法獲得的安全性對(duì)許多應(yīng)用而言是不夠的。 15.2.2 傳遞信任 當(dāng)公司網(wǎng)絡(luò)包括一部分無線LAN時(shí)，就會(huì)為攻擊者提供一個(gè)不需要物理安裝的接口用于網(wǎng)絡(luò)入侵。在有線網(wǎng)絡(luò)中，我們總能通過物理線路從我們的計(jì)算機(jī)追蹤到下一網(wǎng)絡(luò)節(jié)點(diǎn),但在無線網(wǎng)絡(luò)環(huán)境下，通信雙方之間并沒有這么一條路徑。這使得有效的認(rèn)證機(jī)制對(duì)無線LAN安全顯得尤為關(guān)鍵。在所有的情況下，參與傳輸?shù)碾p方都應(yīng)該能相互認(rèn)證。 無線LAN可用來作為傳遞信任的跳板。如果攻擊者能欺騙一個(gè)無線LAN，讓它信任攻擊者所控制的移動(dòng)設(shè)備，則在企業(yè)網(wǎng)所有防火墻內(nèi)部就有了敵方的一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，并且從此以后很難阻止敵方的行動(dòng)。這

9、種攻擊可以通過使用與我們的網(wǎng)絡(luò)設(shè)備相兼容的標(biāo)準(zhǔn)無線LAN硬件來實(shí)現(xiàn)，而有效阻止這種攻擊的方法就是移動(dòng)設(shè)備訪問無線LAN的強(qiáng)認(rèn)證機(jī)制。要發(fā)現(xiàn)不成功的攻擊必須依賴于這些不成功攻擊企圖的日志，但即使發(fā)現(xiàn)這種攻擊企圖也很難確定是否存在真正的攻擊。因?yàn)樵谡２僮髑闆r下，無線電信道的高比特誤碼率(Bit Error Rate)以及來自其它無線LAN移動(dòng)設(shè)備的登錄都可能產(chǎn)生不成功登錄的日志。 另外一種傳遞信任攻擊是專門針對(duì)無線網(wǎng)絡(luò)的，這種攻擊是欺騙移動(dòng)設(shè)備，讓移動(dòng)設(shè)備相信攻擊者所控制的基站。當(dāng)移動(dòng)設(shè)備開機(jī)時(shí)，一般會(huì)首先登錄具有最強(qiáng)信號(hào)的網(wǎng)絡(luò)，如果登錄失敗，就按信號(hào)功率順序登錄其它網(wǎng)絡(luò)。如果攻擊者有一個(gè)大發(fā)射

10、功率的基站，他就能欺騙移動(dòng)設(shè)備首先登錄攻擊者所控制的網(wǎng)絡(luò)。這時(shí)存在兩種可能性：正常用戶成功登錄被攻擊者所控制的網(wǎng)絡(luò)，攻擊者從而找出密碼、秘密密鑰等；攻擊者僅僅拒絕用戶的登錄企圖但記錄登錄過程中所有的消息，并通過分析這些消息找出網(wǎng)絡(luò)中進(jìn)行認(rèn)證時(shí)的秘密密鑰或密碼。 在沒有有關(guān)網(wǎng)絡(luò)服務(wù)詳細(xì)信息的情況下，前一種攻擊很難實(shí)現(xiàn)并很容易被檢測到。后一種攻擊方式所需要的只是與我們的設(shè)備兼容的標(biāo)準(zhǔn)基站硬件(可能有專門的天線)。這種方式很難檢測到，這是因?yàn)橐苿?dòng)設(shè)備一般不向上層報(bào)告不成功的登錄企圖(即使在正常環(huán)境下也會(huì)存在大量的不成功登錄企圖)。針對(duì)這種攻擊的惟一保護(hù)措施是有效的認(rèn)證機(jī)制，它允許移動(dòng)設(shè)備在不泄漏登錄

11、網(wǎng)絡(luò)所使用的秘密密鑰或密碼的前提下認(rèn)證基站。 15.2.3 基礎(chǔ)結(jié)構(gòu) 基礎(chǔ)結(jié)構(gòu)攻擊是基于系統(tǒng)中存在的漏洞：軟件臭蟲(Bug)、錯(cuò)誤配置、硬件故障等。這種情況同樣也會(huì)出現(xiàn)在無線LAN中。但是針對(duì)這種攻擊進(jìn)行保護(hù)幾乎是不可能的除非發(fā)生了，否則你不可能知道有臭蟲的存在。所以能做的就是盡可能地降低破壞所造成的損失。 15.2.4 拒絕服務(wù) 無線電傳輸?shù)谋举|(zhì)使得無線LAN很容易受到拒絕服務(wù)攻擊。如果攻擊者擁有一個(gè)功率強(qiáng)大的收發(fā)設(shè)備，他就能很容易地產(chǎn)生一個(gè)無線電干擾信號(hào)，使得無線LAN不能利用無線電信道進(jìn)行通信。這種攻擊可在我們的站點(diǎn)外發(fā)起，如街道的停車場或下一街區(qū)的公寓。發(fā)起這種攻擊所需要的設(shè)備很容易以

12、可承受的價(jià)格從任何一家電子商店買到，并且任何一個(gè)短波無線電愛好者都會(huì)擁有搭建這種設(shè)備的能力。 針對(duì)這種攻擊的保護(hù)非常困難和昂貴。惟一完全的解決方法是把我們的無線網(wǎng)絡(luò)放在法拉第籠子里(只有在很少的情況下才會(huì)這么用)。官方可以很容易地對(duì)發(fā)射干擾的收發(fā)設(shè)備定位，因此在被發(fā)現(xiàn)之前攻擊者的時(shí)間是有限的。 另一方面，無線LAN相對(duì)有線LAN而言不容易受到其它類型的拒絕服務(wù)攻擊。例如，只要把線路剪斷就可把一個(gè)固定的LAN節(jié)點(diǎn)隔離開，這在無線環(huán)境中是不可能的。如果攻擊者切斷了整個(gè)站點(diǎn)的電源，則所有有線網(wǎng)絡(luò)就都沒用了，但用筆記本電腦或其它電池供電的計(jì)算機(jī)構(gòu)成的AD-Hoc無線網(wǎng)絡(luò)(各計(jì)算機(jī)之間直接進(jìn)行通信)仍可

13、正常使用。 15.3 藍(lán) 牙 協(xié) 議 藍(lán)牙是為個(gè)人區(qū)域網(wǎng)絡(luò)(Personal Area Networks，PAN)應(yīng)用和需要短距離通信的應(yīng)用設(shè)計(jì)的一種通信協(xié)議。藍(lán)牙規(guī)范最初定義的設(shè)備通信范圍為10米。這個(gè)協(xié)議主要用于擴(kuò)展遠(yuǎn)程通信能力并減少對(duì)電纜的依賴。它工作于網(wǎng)絡(luò)協(xié)議層次的物理層以及鏈路層，高層應(yīng)用支持由其它知名協(xié)議提供。這些協(xié)議包括無線應(yīng)用協(xié)議(WAP)、點(diǎn)對(duì)點(diǎn)協(xié)議(PPP)和IP(TCP/UDP)協(xié)議。 藍(lán)牙專業(yè)組為藍(lán)牙協(xié)議定義了大量的使用模型。這些使用模型不僅指明了協(xié)議潛在的應(yīng)用場合，而且還可以幫助我們理解協(xié)議所需的安全級(jí)別。已公布的使用模型包括： 互聯(lián)網(wǎng)網(wǎng)橋(Internet Brid

14、ge)：在這個(gè)模型中，一臺(tái)PC機(jī)使用移動(dòng)電話訪問互聯(lián)網(wǎng)。PC機(jī)使用藍(lán)牙協(xié)議與移動(dòng)設(shè)備通信；接下來移動(dòng)設(shè)備采用與連接PC機(jī)的有線調(diào)制解調(diào)器同樣的方式撥號(hào)上互聯(lián)網(wǎng)。這個(gè)應(yīng)用模型中的藍(lán)牙協(xié)議支持PPP，因而可以傳輸IP數(shù)據(jù)包。 同步(Synchronization)：這個(gè)使用模型的關(guān)鍵是建立一個(gè)PAN來對(duì)E-mail、日歷和聯(lián)系人數(shù)據(jù)進(jìn)行同步，這是典型的個(gè)人信息管理(PIM)應(yīng)用和設(shè)備。 3合1電話(Three-in-one Phone)：采用這種使用模型的設(shè)備一般作為：(a) 連接到公共交換電話網(wǎng)絡(luò)的無繩電話；(b) 設(shè)備和設(shè)備之間通信的內(nèi)部通信電話；(c) 連接到公共蜂窩基礎(chǔ)設(shè)施的蜂窩電話。 這

15、只是為藍(lán)牙協(xié)議開發(fā)的三種使用模型。實(shí)際的使用模型非常多，一般每一種使用模型都需要不同的信息安全方法。藍(lán)牙協(xié)議已經(jīng)制定了不同的安全需求。 15.3.1 藍(lán)牙安全 藍(lán)牙規(guī)范中提供了三種安全模式：無安全級(jí)、服務(wù)級(jí)和安全級(jí)。安全模式指明了需要實(shí)現(xiàn)的安全程度。在無安全模式下，設(shè)備沒有任何安全措施。這適合于少量不需要安全性的應(yīng)用模型。有安全的模式需要在任何鏈路連接建立之前實(shí)現(xiàn)安全。在藍(lán)牙設(shè)備的作用范圍內(nèi)，這在目前的大多數(shù)使用模型中已經(jīng)足夠。將來開發(fā)的設(shè)備將需要“always-on”安全模式。 藍(lán)牙設(shè)備最常用的配置是采用服務(wù)強(qiáng)制安全，即服務(wù)級(jí)(模式2)的安全。服務(wù)強(qiáng)制安全使得安全的需求建立在應(yīng)用的基礎(chǔ)上。這

16、種模式認(rèn)可了這樣一個(gè)事實(shí)：某個(gè)用戶的設(shè)備可能扮演不同的角色，實(shí)現(xiàn)不同的功能。如在使用vCard應(yīng)用/功能進(jìn)行名片交換時(shí)，強(qiáng)制設(shè)備實(shí)現(xiàn)安全是不合適的，而同樣的設(shè)備如果用在不可信環(huán)境下的電子商務(wù)中，就需要實(shí)現(xiàn)安全。下面將著重討論藍(lán)牙的模式2安全。 藍(lán)牙安全是在鏈路層實(shí)現(xiàn)的，是基于可信設(shè)備的概念。一個(gè)設(shè)備企圖和另一個(gè)設(shè)備建立鏈路，第二個(gè)設(shè)備要么對(duì)第一個(gè)設(shè)備是可信的，要么是不可信的。如果認(rèn)為是可信的，第二個(gè)設(shè)備就會(huì)自動(dòng)獲得對(duì)第一個(gè)設(shè)備的鏈路訪問；如果認(rèn)為是不可信的，就會(huì)調(diào)用粒度更小的、基于服務(wù)的認(rèn)證和授權(quán)機(jī)制。 此時(shí)，服務(wù)可以要求三種不同的安全級(jí)別：認(rèn)證和授權(quán)、認(rèn)證或不認(rèn)證。這種安全模型使得不同安全需

17、求的服務(wù)共存于同一設(shè)備上。例如，訪問vCard應(yīng)用時(shí)，交換聯(lián)系人信息可以定義為不需要認(rèn)證或授權(quán)的服務(wù)。同一設(shè)備還可支持文件傳輸或數(shù)據(jù)庫交易服務(wù)，這些服務(wù)很有可能需要認(rèn)證和授權(quán)。藍(lán)牙安全模型包括這樣一條規(guī)定：當(dāng)與不可信設(shè)備建立鏈路，并允許其訪問某一項(xiàng)服務(wù)時(shí)，不能自動(dòng)地允許其訪問任何其它服務(wù)，它也不能自動(dòng)改變外來設(shè)備的狀態(tài)(這個(gè)設(shè)備在以后建立鏈路時(shí)仍將認(rèn)為是不可信的)。 藍(lán)牙安全模型把移動(dòng)設(shè)備提供的功能定義為服務(wù)。當(dāng)實(shí)現(xiàn)模式2安全時(shí)，對(duì)設(shè)備的訪問控制是基于遠(yuǎn)程設(shè)備企圖訪問的服務(wù)的。如果遠(yuǎn)程設(shè)備是可信的，那么不需要任何訪問控制。在遠(yuǎn)程設(shè)備不可信或未知(藍(lán)牙認(rèn)為不可信)的情況下，設(shè)備需要不同級(jí)別的訪問

18、控制?；镜募?jí)別是授權(quán)。和有線網(wǎng)絡(luò)安全一樣，授權(quán)提供了訪問控制的基線(Baseline)。認(rèn)證可以確認(rèn)遠(yuǎn)程設(shè)備是否被允許訪問本地設(shè)備上運(yùn)行的服務(wù)。在更基礎(chǔ)的級(jí)別上，通過確定遠(yuǎn)程設(shè)備的身份，該模型中內(nèi)建的安全機(jī)制可以確定遠(yuǎn)程設(shè)備對(duì)本地設(shè)備上特定服務(wù)的訪問級(jí)別。這就是所謂的授權(quán)。因此，授權(quán)之前必須通過認(rèn)證。 在允許訪問服務(wù)前，可以實(shí)現(xiàn)的最后一個(gè)安全要素是加密。當(dāng)服務(wù)需要加密時(shí)，加密是在鏈路層、在本地設(shè)備允許對(duì)方訪問服務(wù)之前建立的。默認(rèn)情況下，對(duì)進(jìn)入連接需要認(rèn)證和授權(quán)，對(duì)外出連接需要認(rèn)證(證實(shí)運(yùn)行服務(wù)的設(shè)備的真實(shí)身份)。圖15-1給出了藍(lán)牙安全解決方案的流程。圖15-1 藍(lán)牙解決方案的安全流程 如前

19、所述，藍(lán)牙安全模型是信任設(shè)備而不是用戶。藍(lán)牙的認(rèn)證模型基于共享密鑰。兩個(gè)藍(lán)牙設(shè)備第一次進(jìn)行通信時(shí)，兩個(gè)設(shè)備都需要知道對(duì)方是否是可信的。信任的建立必須發(fā)生在初始連接時(shí)，這是因?yàn)樗{(lán)牙安全模型在隨后的連接請求中不允許用戶干涉(用戶名/口令的檢查)。從概念上講，這并不像現(xiàn)在許多無線設(shè)備實(shí)現(xiàn)的那樣：移動(dòng)電話在打電話時(shí)必須和網(wǎng)絡(luò)進(jìn)行認(rèn)證，但這是認(rèn)證設(shè)備，而不是用戶。雖然設(shè)備在允許訪問前用戶可以請求認(rèn)證，但訪問控制是為設(shè)備而不是網(wǎng)絡(luò)實(shí)現(xiàn)的。 當(dāng)網(wǎng)絡(luò)上只有一種服務(wù)時(shí)，這種安全模型是可以接受的。直到最近，移動(dòng)網(wǎng)絡(luò)也只提供一種服務(wù)：語音通信。將來，移動(dòng)設(shè)備會(huì)更多地使用同時(shí)支持聲音和數(shù)據(jù)的一個(gè)或多個(gè)網(wǎng)絡(luò)。目前，采用

20、不同技術(shù)(全球移動(dòng)通信系統(tǒng)GSM、數(shù)字蜂窩分組數(shù)據(jù)CDPD(Cellular Digital Packet Data)和碼分多址CDMA)的移動(dòng)網(wǎng)絡(luò)可以提供對(duì)聲音和不同數(shù)據(jù)服務(wù)的訪問。由于無線設(shè)備所增加的新的功能，使得在這個(gè)網(wǎng)絡(luò)上傳輸?shù)男畔⒏舾?，這些網(wǎng)絡(luò)需要采用新的安全模型。 過去，可以用掃描器竊聽蜂窩網(wǎng)絡(luò)的傳輸，在考慮到分組的敏感性后，CDPD網(wǎng)絡(luò)用基于會(huì)話的密鑰加密來防止通常的竊聽。藍(lán)牙安全提供了類似級(jí)別的加密，這可阻止一些偶然的攻擊。在這兩種情況下，物理和鏈路級(jí)的通信加密提供了基于設(shè)備的認(rèn)證、保密性和數(shù)據(jù)完整性。 15.3.2 保護(hù)藍(lán)牙 雖然藍(lán)牙安全可以防止一些偶然的攻擊，但這種技術(shù)仍

21、是有局限性的。藍(lán)牙安全實(shí)現(xiàn)的基本缺陷是信任設(shè)備，而不是用戶。 藍(lán)牙的設(shè)計(jì)并不是一個(gè)端到端(end-to-end)的安全解決方案，而只是在鏈路級(jí)提供安全。這個(gè)缺陷意味著：如果藍(lán)牙只用于提供鏈路層的連接，而且安全性要求也很高，那么就有必要由上層來提供安全性(一般由應(yīng)用層提供)。 藍(lán)牙協(xié)議的另外一個(gè)局限實(shí)際上是藍(lán)牙設(shè)備本身的局限。藍(lán)牙設(shè)備處理速度不夠、內(nèi)存有限，這使得它不可能對(duì)每個(gè)數(shù)據(jù)包進(jìn)行安全檢查。由于這個(gè)原因，只有在建立連接階段和對(duì)面向連接的通信流量才實(shí)施安全檢查。對(duì)于需要安全能力的無連接通信流量，連接建立之外的安全檢查需由上層應(yīng)用程序來額外實(shí)現(xiàn)。 在考慮藍(lán)牙所需的安全級(jí)別時(shí)需要考慮兩條額外的信

22、息： 第一、要保護(hù)的數(shù)據(jù)是什么；數(shù)據(jù)是公共的、私有的、機(jī)密的還是受限制的。如果藍(lán)牙保護(hù)的數(shù)據(jù)是公共的，那幾乎不需要花費(fèi)多少資源來保護(hù)它。 第二、上層應(yīng)用程序和協(xié)議對(duì)數(shù)據(jù)的保護(hù)程度；如果使用藍(lán)牙傳輸受限信息，上層協(xié)議和應(yīng)用程序采用的保護(hù)措施是什么(加密、不可抵賴或認(rèn)證)。在評(píng)估安全的整體強(qiáng)度時(shí)要檢查整個(gè)數(shù)據(jù)包，藍(lán)牙可以認(rèn)證設(shè)備但不能認(rèn)證使用設(shè)備的用戶，如果鏈路上傳輸?shù)臄?shù)據(jù)需要認(rèn)證用戶，藍(lán)牙安全需要和上層安全機(jī)制結(jié)合起來。 藍(lán)牙安全存在一些局限，但通過和其它安全措施相結(jié)合，藍(lán)牙可以為設(shè)備間的鏈路安全提供可靠的機(jī)制。15.4 無線應(yīng)用協(xié)議(Wireless Application Protocol)

23、 WAP是專門為移動(dòng)設(shè)備優(yōu)化的協(xié)議。這些優(yōu)化主要是針對(duì)于本章前面討論的種種限制的。WAP是一個(gè)開放的標(biāo)準(zhǔn)，它盡可能地利用了現(xiàn)有的標(biāo)準(zhǔn)。對(duì)現(xiàn)有標(biāo)準(zhǔn)的復(fù)用和修訂擴(kuò)展了無線通信標(biāo)準(zhǔn)，然而，我們有必要檢驗(yàn)這些修訂對(duì)安全所造成的影響。例如，現(xiàn)有的加密算法對(duì)無線通信優(yōu)化后，這些優(yōu)化是否會(huì)降低算法的強(qiáng)度。 WAP規(guī)范采用的主要概念是協(xié)議的分層。分層是指把整個(gè)通信過程分成幾個(gè)獨(dú)立的模塊，每一模塊完成某個(gè)特定的子功能。有線通信中的TCP/IP分層是按照OSI參考模型實(shí)施的。OSI模型各層要完成的功能包括：在電纜或光纖上物理傳輸信息(物理層)、提供全球 惟一的源和目的地址(網(wǎng)絡(luò)層)、為應(yīng)用程序格式化信息(表示層)

24、。分層方法的重要一面就是每一層都要為相鄰層提供標(biāo)準(zhǔn)的、知名的接口。這樣，即使某一層有所變化也不會(huì)影響其它層。 WAP規(guī)范定義了應(yīng)用層、會(huì)話層和傳輸層協(xié)議。應(yīng)用層說明了用戶使用的應(yīng)用程序和提高應(yīng)用程序功能的腳本。會(huì)話層管理用戶連接。傳輸層從不同類型的無線網(wǎng)絡(luò)中接收信息，使之安全并以格式化形式傳遞信息。 圖15-2是WAP協(xié)議體系結(jié)構(gòu)示意。協(xié)議棧的上層以Web協(xié)議HTTP1.1、腳本語言和標(biāo)記語言為模型；外部應(yīng)用程序可在協(xié)議棧傳輸層之上的任何位置介入；該協(xié)議體系結(jié)構(gòu)中有一層專門負(fù)責(zé)安全。本章稍后將詳細(xì)介紹該安全層。圖15-2 WAP協(xié)議結(jié)構(gòu) 無線設(shè)備用戶使用設(shè)備的方式與有線設(shè)備用戶不一樣。這不是安

25、全的原因，而是由于設(shè)備的局限性。小顯示器和網(wǎng)絡(luò)吞吐量的限制導(dǎo)致了無限設(shè)備不同的使用模式。無線用戶一般不會(huì)在服務(wù)供應(yīng)商網(wǎng)絡(luò)上沖浪。無線設(shè)備的使用模式更偏愛那些流水線方式(steamline)工作的程序，這些應(yīng)用程序所需的輸入很有限或可預(yù)知，專為小顯示器定制，只需要有限的帶寬即可。這就使得它本質(zhì)上更面向商務(wù)：文本電子郵件/短消息、股票交易和數(shù)據(jù)庫查詢與事務(wù)處理等。 從安全角度看，有線網(wǎng)絡(luò)中的策略和過程同樣適用于無線通信流，數(shù)據(jù)受保護(hù)的程度必須和有線連接的一樣。對(duì)熟悉已有數(shù)據(jù)安全標(biāo)準(zhǔn)的安全人員，理解無線標(biāo)準(zhǔn)和為無線協(xié)議制定的標(biāo)準(zhǔn)之間的區(qū)別非常重要。 支持WAP最好的設(shè)備是電話，但其它類型設(shè)備同樣支持

26、WAP。Palm VII、PocketPC甚至某些RIM(Research In Motion)平臺(tái)都有WAP瀏覽器。在討論WAP安全和保護(hù)基于WAP的通信之后，我們將描述一些可以用來保護(hù)無線通信的專用解決方案。 15.4.1 WAP安全 在無線應(yīng)用協(xié)議中，安全是可選的。在WAP體系結(jié)構(gòu)中，安全層協(xié)議由無線傳輸層安全層(WTLS)提供。無線傳輸層安全層直接工作在傳輸協(xié)議層之上，為WAP的上層協(xié)議提供安全服務(wù)傳輸接口。WTLS規(guī)范致力于解決以下幾個(gè)問題：存儲(chǔ)/內(nèi)存容量有限，低帶寬，處理能力低，延遲時(shí)間長或不可預(yù)測。WTLS的目的是通過使用證書和加密提供認(rèn)證、保密和數(shù)據(jù)完整性。雖然這個(gè)規(guī)范是基于I

27、ETF傳輸層安全(TLS)1.0規(guī)范的，但它針對(duì)前面討論的無線網(wǎng)絡(luò)局限性進(jìn)行了優(yōu)化。表15-1列出了WTLS所增加的一些功能特性27。表15-1 WTLS增加的功能特性WTLS功能作 用解 釋數(shù)據(jù)報(bào)支持 (UDP)握手的重傳機(jī)制過濾重復(fù)報(bào)文針對(duì)數(shù)據(jù)報(bào)的額外處理告警消息的擴(kuò)展錯(cuò)誤處理更清晰握手過程的優(yōu)化客戶/服務(wù)器認(rèn)證：支持三級(jí)認(rèn)證降低高時(shí)延網(wǎng)絡(luò)的往返時(shí)間新證書格式WTLS證書由于傳輸尺寸的問題，WTLS格式證書基本上都采用固定編碼的X509 v1證書，而不是更靈活的ASN1編碼支持客戶標(biāo)識(shí)符無需傳輸客戶證書只要客戶標(biāo)識(shí)符正確，設(shè)備就只需處理有關(guān)密鑰的操作。證書處理和其它PKI相關(guān)問題留待標(biāo)準(zhǔn)方

28、法解決。 此項(xiàng)可選額外的密碼組RC5、短哈希、ECC密鑰更新選項(xiàng)每隔n個(gè)消息自動(dòng)重新協(xié)商雙方對(duì)更新會(huì)話加密的機(jī)制必須一致讀和寫信道分開有利于處理重傳顯式共享秘密模式加密處理完全獨(dú)立允許顯式使用共享秘密，為將來使用密鑰交換新系統(tǒng)提供可能 目前，許多運(yùn)行在移動(dòng)設(shè)備上的應(yīng)用程序包含敏感數(shù)據(jù)。雖然許多移動(dòng)網(wǎng)絡(luò)操作員會(huì)對(duì)流量進(jìn)行加密，但這種加密是不一致的，而且也不能保證端到端的安全。WTLS在協(xié)議端點(diǎn)之間提供端到端的安全。在WAP的情況下，協(xié)議端點(diǎn)是移動(dòng)設(shè)備或WAP網(wǎng)關(guān)。如果協(xié)議端點(diǎn)是可信的，那么連接就是安全的。注意WAP本身并不能提供完全的端到端安全。和藍(lán)牙一樣，如果需要端到端的安全，就需要上層應(yīng)用或

29、協(xié)議來實(shí)現(xiàn)。 WTLS在和服務(wù)器的握手過程中建立安全參數(shù)。在握手過程中，客戶端和服務(wù)器就認(rèn)證和加密的需求、采用的加密方法、客戶端可接受的證書和其它一些非默認(rèn)的參數(shù)達(dá)成一致。這些參數(shù)首先由客戶端發(fā)送給服務(wù)器。服務(wù)器選擇可接受的參數(shù)并請求來自客戶端的認(rèn)證。 在許多情況下，由于移動(dòng)設(shè)備的局限性，客戶端只能采用少量的加密機(jī)制和接受某些類型的證書，而服務(wù)器由于其處理能力、存儲(chǔ)能力和內(nèi)存較大，從而可以包容從不同的客戶端傳遞過來的大量的不同參數(shù)。在握手過程中，客戶端和服務(wù)器任何一方都可以中斷連接。中斷連接可能是由于一方不能接受另一方傳遞過來的參數(shù)，也可能是由于不支持，或是由于不能滿足最小安全需求。 目前，W

30、TLS有三種模式的安全：匿名認(rèn)證、服務(wù)器認(rèn)證和雙向(客戶和服務(wù)器)認(rèn)證。 前面的章節(jié)提到過，認(rèn)證是通過證書來完成的。廣泛采用的證書有X.509v3、X9.68(X9.68作為WAP-261-WTLS規(guī)范仍在開發(fā)中)和WTLS證書。首先，客戶端發(fā)送“Hello”消息啟動(dòng)握手過程。服務(wù)器同樣用“Hello”消息來響應(yīng)，緊跟著發(fā)送服務(wù)器證書消息。證書包括以下內(nèi)容(列出的值是WAP-261-WTLS規(guī)范中定義的)： 證書版本：值=1。 簽名算法：用于對(duì)證書簽名的算法。 證書發(fā)布者：注意，這必須是客戶端信任的CA。 證書有效期的開始時(shí)間：UNIX 32比特格式。 證書有效期的結(jié)束時(shí)間：UNIX 32比特

31、格式。 主體(Subject)：公鑰擁有者。 公鑰類型：公鑰算法。 參數(shù)規(guī)范：與公鑰有關(guān)的任何參數(shù)。 公鑰。 為了優(yōu)化客戶端的網(wǎng)絡(luò)帶寬和處理能力，服務(wù)器可以只發(fā)送由CA私鑰簽名的證書。雖然在這種情況下需要客戶端信任CA，但這可以省去在鏈路上發(fā)送整個(gè)密鑰鏈的操作。客戶端認(rèn)證完服務(wù)器后，服務(wù)器可能要求認(rèn)證客戶端。這時(shí)，客戶端可能會(huì)用其證書(如果有)、空白證書(沒有證書的情況)或結(jié)束握手過程的告警消息來響應(yīng)。隨后，用來加密所有應(yīng)用流量的主秘密通過RSA或Diffile-Hellman或橢圓Diffie-Hellman算法進(jìn)行交換。 保密和數(shù)據(jù)完整性通過加密和消息認(rèn)證碼(MAC)來實(shí)施的。這些參數(shù)都是

32、在握手過程中協(xié)商的?？蛻舳税l(fā)送其支持的加密算法和MAC算法列表。列表的第一對(duì)組合是客戶端的第一選擇。服務(wù)器將在這些組合中進(jìn)行選擇，盡量使用客戶端和服務(wù)器同時(shí)支持的最好的組合。如果找不到可接受的組合，握手過程失敗。WAP依賴于現(xiàn)有的加密算法，如DES、3DES、RC5和IDEA，這些都是分組加密算法。數(shù)據(jù)完整性是由MAC完成的。MAC采用知名的算法，包括SHA和MD5。由于性能的原因，WAP標(biāo)準(zhǔn)可以使用SHA_XOR_40算法，這個(gè)算法是專門為處理能力有限的設(shè)備優(yōu)化的。 15.4.2 保護(hù)WAP 雖然由于性能原因，實(shí)現(xiàn)WTLS安全的協(xié)議是一種流水線(Streamline)方式，但它仍是一種可靠的

33、解決方案。許多與WAP相關(guān)的安全風(fēng)險(xiǎn)來自于這種體系結(jié)構(gòu)的不安全實(shí)現(xiàn)。使用無線應(yīng)用協(xié)議的應(yīng)用程序中存在的最大風(fēng)險(xiǎn)是所謂的“Gap in WAP”。這個(gè)問題出現(xiàn)在WAP網(wǎng)關(guān)上，這是由于WTLS中的加密和保密只存在協(xié)議端點(diǎn)之間，而不是應(yīng)用程序端點(diǎn)之間。 對(duì)于典型的WAP網(wǎng)關(guān)配置，在手持/無線設(shè)備和WAP網(wǎng)關(guān)之間才使用WTLS數(shù)據(jù)加密。在WAP網(wǎng)關(guān)，數(shù)據(jù)必須解密，然后再重新加密(典型的是采用SSL加密)。漏洞就在于在這個(gè)過程中，WAP網(wǎng)關(guān)內(nèi)存中的數(shù)據(jù)是未加密的。此外，WAP安全模型中的無線設(shè)備是通過數(shù)字證書認(rèn)證WAP網(wǎng)關(guān)的，而不是認(rèn)證終端應(yīng)用服務(wù)器的。 在這個(gè)技術(shù)的最初階段，無線運(yùn)營商在其網(wǎng)絡(luò)上提供W

34、AP網(wǎng)關(guān)。網(wǎng)關(guān)接收到通信流后，通過虛擬專用網(wǎng)(VPN)或采用SSL把通信流發(fā)送到企業(yè)/服務(wù)供應(yīng)商的網(wǎng)絡(luò)上。這個(gè)早期的模型依賴于服務(wù)供應(yīng)商實(shí)施的物理和邏輯的安全。服務(wù)提供商實(shí)施這些安全來保護(hù)數(shù)據(jù)，數(shù)據(jù)在轉(zhuǎn)發(fā)之前要進(jìn)行解密和重新加密。由于電子商務(wù)對(duì)于一個(gè)組織越來越至關(guān)重要，因而在無線鏈路上傳輸?shù)臄?shù)據(jù)也越來越敏感，所以該組織自身必須對(duì)無線通信擔(dān)當(dāng)端到端安全的責(zé)任。圖15-3給出了幾種通過無線廣域網(wǎng)實(shí)現(xiàn)移動(dòng)通信安全的解決方案。圖15-3 移動(dòng)應(yīng)用體系結(jié)構(gòu) 該圖在配置上有多種可能的變化。最初的配置是在中間的網(wǎng)關(guān)，如移動(dòng)網(wǎng)絡(luò)的WAP網(wǎng)關(guān)上終止安全連接。更安全一點(diǎn)的配置是把WAP網(wǎng)關(guān)放在組織可以控制的區(qū)域內(nèi)

35、。與WAP網(wǎng)關(guān)一起配置的還包括專用設(shè)備的實(shí)現(xiàn)，包括Palm、PocketPC和RIM。由于這些設(shè)備具有強(qiáng)大的處理能力和內(nèi)存/存儲(chǔ)容量，因而它們可以使用更強(qiáng)的認(rèn)證和加密方法。例如，PocketPC內(nèi)置就支持SSL；Palm設(shè)備可以使用大量的加密算法，包括ECC和DESX。因此，具體移動(dòng)設(shè)備不同，其可提供的安全解決方案也會(huì)不同。 在規(guī)劃一個(gè)基于WAP的體系結(jié)構(gòu)時(shí)，組織應(yīng)該把WAP網(wǎng)關(guān)放在一個(gè)可信的環(huán)境中。對(duì)大部分組織而言，這意味著把WAP網(wǎng)關(guān)放置在防火墻之內(nèi)要么在非軍事區(qū)(DMZ)/網(wǎng)絡(luò)邊界，要么在公司內(nèi)部網(wǎng)。在某些情況下，也可能把WAP網(wǎng)關(guān)直接放在Web服務(wù)器上。這將極大地降低WAP網(wǎng)關(guān)不安全性

36、帶來的風(fēng)險(xiǎn)。服務(wù)器所能保證的安全等級(jí)是組織內(nèi)無線通信數(shù)據(jù)的安全保密級(jí)別的關(guān)鍵因素。 WAP規(guī)范還有一些額外的安全措施來進(jìn)一步保護(hù)鏈路。大部分解決方案本質(zhì)上是專用的，用戶前臺(tái)(無線設(shè)備上的WAP瀏覽器)和后臺(tái)都是定制實(shí)現(xiàn)的。從這些實(shí)現(xiàn)中學(xué)到的教訓(xùn)和正在進(jìn)行的WAP標(biāo)準(zhǔn)化工作都將最終提高實(shí)現(xiàn)的安全性。15.5 無線局域網(wǎng)的安全 無線局域網(wǎng)(WLAN)是現(xiàn)有有線LAN的擴(kuò)展，它采用無線電波而不是銅電纜或光纖來傳輸數(shù)據(jù)。通過無線電通信，可以在短距離上把數(shù)據(jù)以高傳輸速率傳送到具有無線電接收和發(fā)射能力的設(shè)備上。這就使得這些設(shè)備就像局域網(wǎng)上的其它有線設(shè)備一樣。本節(jié)將討論WLAN的拓?fù)浣Y(jié)構(gòu)、工作原理和安全機(jī)制

37、。 IEEE 802.11b(/groups/802/11/)是當(dāng)前使用最為廣泛的、用于建立無線局域網(wǎng)的協(xié)議，通常稱為IEEE 802.11b 標(biāo)準(zhǔn)。802.11b標(biāo)準(zhǔn)對(duì)無線信號(hào)的使用頻率、帶寬、傳輸速率以及各無線端點(diǎn)之間的通信方式進(jìn)行了定義。 802.11b信號(hào)工作在 2.40002.4835 GHz頻率范圍內(nèi)。其理論上的、最大傳輸速率可以達(dá)到11 Mb/s，實(shí)際的傳輸速率大約為46 Mb/s，在信號(hào)質(zhì)量更好的情況下，可以達(dá)到5.5 Mb/s。802.11b使用直擴(kuò)序列無線信號(hào)(Direct Sequence Spread Spectrum，DSS

38、S)，相對(duì)應(yīng)的是頻率捷變擴(kuò)譜(Frequency Hopping Spread Spectrum)，這是最初802.11協(xié)議規(guī)范的一部分。DSSS允許更高的傳輸率，但是更容易受到無線信號(hào)的干擾。 有趣的是，很多基于DSSS的802.11產(chǎn)品可以同目前的802.11b網(wǎng)絡(luò)互操作，不過其傳輸速率只能是工作在802.11的2 Mb/s或者1 Mb/s。無線終端的覆蓋區(qū)域依賴于天線強(qiáng)度以及當(dāng)時(shí)的工作環(huán)境，典型的辦公環(huán)境下為75150英尺(1英尺約等于30厘米)。 15.5.1 無線拓?fù)浣Y(jié)構(gòu)(Wireless Topologies) 最簡單的無線局域網(wǎng)只要利用兩臺(tái)帶有無線網(wǎng)卡的計(jì)算機(jī)就可以組成所謂的對(duì)等

39、(peer-to-peer)網(wǎng)絡(luò)。復(fù)雜的無線網(wǎng)絡(luò)可以包括成千上百臺(tái)計(jì)算機(jī)，它們之間的互相通信通過多路訪問點(diǎn)(Multiple Access Points)來實(shí)現(xiàn)，訪問點(diǎn)(AP)實(shí)現(xiàn)無線網(wǎng)絡(luò)內(nèi)數(shù)據(jù)同有線以太局域網(wǎng)內(nèi)數(shù)據(jù)的交換，我們稱這種拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)模式(Infrastructure Mode)，見圖15-4。 前面一種情況我們稱之為特別(AD-Hoc)無線網(wǎng)絡(luò)，同Windows 系統(tǒng)中的對(duì)等網(wǎng)絡(luò)相類似。在一個(gè)AD-Hoc無線網(wǎng)絡(luò)中，參與通信的雙方的關(guān)聯(lián)(Association)是通過一個(gè)公共網(wǎng)絡(luò)標(biāo)識(shí)符(Common Network Identifier)來實(shí)現(xiàn)的。關(guān)聯(lián)一旦成功，它們就可以共享文

40、件和其它資源，就如同在有線環(huán)境下的對(duì)等網(wǎng)絡(luò)一樣。圖15-4 WLAN的拓?fù)浣Y(jié)構(gòu) 無線對(duì)等網(wǎng)的缺點(diǎn)同有線對(duì)等網(wǎng)的缺點(diǎn)是一樣的：難于管理和可伸縮性差。雖然建立網(wǎng)絡(luò)很方便，但是隨著網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)目的增多，管理變得越來越難。我們建議AD-Hoc網(wǎng)絡(luò)只用于小型網(wǎng)絡(luò)。在這種網(wǎng)絡(luò)中，使用上的便利性占主導(dǎo)地位，而對(duì)安全性的要求不是很高。不過在某些臨時(shí)場合當(dāng)中，大型的對(duì)等網(wǎng)也能發(fā)揮其方便、快捷的作用。事實(shí)上，在2001年秋季召開的因特爾開發(fā)者論壇(Intel Developer Forum)上，就看到了這種AD-Hoc網(wǎng)絡(luò)，它在幾十秒的短時(shí)間內(nèi)使得500名與會(huì)代表的計(jì)算機(jī)都連到了同一個(gè)網(wǎng)絡(luò)當(dāng)中。 15.5.2 基本

41、和擴(kuò)展服務(wù)集(Basic and Extended Service Sets) 在大型可管理網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)中，多個(gè)802.11b 終端通過一個(gè)AP連接到有線網(wǎng)絡(luò)。最簡單的情形就是：一個(gè)AP同一個(gè)或者多個(gè)無線客戶形成關(guān)聯(lián)，并完成客戶同有線以太網(wǎng)絡(luò)的橋接功能。這種方式通常稱為基本服務(wù)集(Basic Service Set, BSS)，如圖15-5所示。圖15-5 基本服務(wù)集 一個(gè)移動(dòng)客戶離AP的距離越遠(yuǎn)，它所接收到的無線信號(hào)強(qiáng)度就越小。正如前面所述，結(jié)果只能是系統(tǒng)傳輸速率下降。為了增加無線網(wǎng)絡(luò)的覆蓋范圍，我們可以采取增加AP站點(diǎn)密度這一策略。這種情況我們稱之為擴(kuò)展服務(wù)集(Extended Servi

42、ce Set ，ESS)，其定義為兩個(gè)或者多個(gè)AP分別同特定的有線以太網(wǎng)和它們各自關(guān)聯(lián)的無線客戶進(jìn)行連接，如圖15-6所示。圖15-6 擴(kuò)展服務(wù)集 無線網(wǎng)絡(luò)實(shí)現(xiàn)的第一個(gè)階段是仔細(xì)評(píng)估目前的網(wǎng)絡(luò)狀態(tài)以及使用無線技術(shù)所要達(dá)到的目的。我們首先概要性地描述組網(wǎng)技術(shù)，更詳細(xì)的討論見后續(xù)幾個(gè)小節(jié)。 首先，必須規(guī)劃網(wǎng)絡(luò)所要使用的組，如所有的員工、銷售人員、顧客等等。另外，還要考慮每種用戶所能夠訪問的資源、總的訪問人數(shù)、同時(shí)訪問各個(gè)訪問點(diǎn)的人數(shù)、各自的帶寬需求，同樣還要考慮無線網(wǎng)絡(luò)的環(huán)境特性、用戶的移動(dòng)性等。 對(duì)于數(shù)據(jù)敏感的應(yīng)用環(huán)境，還需要確定所傳輸數(shù)據(jù)的安全等級(jí)，以及對(duì)使用無線網(wǎng)絡(luò)和網(wǎng)絡(luò)資源的客戶端用戶的認(rèn)

43、證方法。 另外，一個(gè)需要重點(diǎn)考慮的問題是無線網(wǎng)絡(luò)的管理。許多企業(yè)的無線網(wǎng)絡(luò)產(chǎn)品支持基本的監(jiān)視功能(使用SNMP)，例如HP OpenView的網(wǎng)絡(luò)管理平臺(tái)。但仍然有許多任務(wù)，如組件更新，需要通過手工來完成。在策劃整個(gè)無線網(wǎng)絡(luò)時(shí)應(yīng)確保為這些任務(wù)分配適當(dāng)?shù)馁Y源。 在配置一個(gè)無線網(wǎng)絡(luò)之前，有必要制訂詳盡的計(jì)劃。無線網(wǎng)絡(luò)有可能對(duì)其它網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)生潛在的影響，所以對(duì)任何這種潛在的威脅都應(yīng)當(dāng)盡量避免并改進(jìn)它們。例如，在一種網(wǎng)絡(luò)環(huán)境中，我們經(jīng)常使用來自不同廠家的交換機(jī)和路由器，因而就必須確保所安裝的無線設(shè)備能夠在這種環(huán)境下正常工作。惟一的方法就是事先進(jìn)行某些測試和評(píng)估。建議采用分階段的方法實(shí)施整個(gè)網(wǎng)絡(luò)組建

44、過程，特別是在組建一個(gè)普遍適用的網(wǎng)絡(luò)時(shí)。 我們可以從組建一個(gè)測試網(wǎng)絡(luò)開始，從而初步推算出整個(gè)工程的實(shí)現(xiàn)方法。這樣的一個(gè)測試網(wǎng)絡(luò)對(duì)于驗(yàn)證新設(shè)備在當(dāng)前工作環(huán)境下的運(yùn)行情況是很關(guān)鍵的。 有了這些知識(shí)：用戶數(shù)目、預(yù)期帶寬和漫游頻率，我們就可以在無線網(wǎng)絡(luò)需求和物理實(shí)現(xiàn)之間尋求匹配。這是通過對(duì)實(shí)際網(wǎng)絡(luò)的調(diào)查來完成的，主要包括建筑物的布局和AP的最優(yōu)地理位置和密度，這些都必須以最大化客戶連接和帶寬為準(zhǔn)則。 1建筑物的影響(Building Walkthrough) 為了確保測量的精確性，我們必須掌握網(wǎng)絡(luò)周圍各個(gè)建筑物的設(shè)計(jì)圖。許多無線銷售商在他們的硬件設(shè)備中都提供了測量工具。這些工具可以運(yùn)行在安裝有無線網(wǎng)卡

45、的筆記本電腦上，它們有助于測量整個(gè)網(wǎng)絡(luò)環(huán)境的無線電傳播特性，可以顯示信號(hào)強(qiáng)度和質(zhì)量以及數(shù)據(jù)包的丟失率，如圖15-7所示。 圖15-7 客戶端軟件顯示當(dāng)前的信號(hào)質(zhì)量 圖15-8 重疊覆蓋 下一步是確定所需要的AP數(shù)量以及最佳的安放位置。其中，一個(gè)重要的設(shè)計(jì)目標(biāo)是保證在不同區(qū)域之間漫游的用戶有足夠的覆蓋范圍和帶寬，同時(shí)又不至于安裝太多的訪問點(diǎn)。同樣，對(duì)站點(diǎn)的調(diào)查可以幫助我們確定什么區(qū)域有最好的覆蓋質(zhì)量或者什么地方的信號(hào)因?yàn)楦蓴_有丟失現(xiàn)象。注意，應(yīng)當(dāng)確保各個(gè)覆蓋區(qū)域之間有輕微的重疊，不留任何連接上的縫隙，如圖15-8所示。 如果在同一個(gè)區(qū)域內(nèi)有許多用戶，那么每個(gè)AP的11 Mb/s吞吐量將很快被用完

46、。通過放置多個(gè)其覆蓋區(qū)域互相重疊的AP，就可以給用戶提供超過11 Mb/s的累計(jì)吞吐量，如圖15-9所示。雖然多個(gè)客戶的總吞吐率可以超過11 Mb/s，但單個(gè)用戶的速度仍然無法超過11 Mb/s，這依賴于AP數(shù)目。圖15-9 吞吐量的重疊 2障礙物對(duì)信號(hào)質(zhì)量的影響(Obstructions That Affect Signal Quality) 正如前面所述，對(duì)網(wǎng)絡(luò)所在的站點(diǎn)位置進(jìn)行調(diào)查和研究可以幫助我們識(shí)別那些導(dǎo)致信號(hào)強(qiáng)度降低的條件，如路徑損耗，多徑損耗或者來自其它無線發(fā)射機(jī)的干擾。 路徑損耗(Path Loss)出現(xiàn)在發(fā)射機(jī)和接收機(jī)，或AP和終端之間，表現(xiàn)為信號(hào)強(qiáng)度隨著距離的增加而減小。簡

47、而言之，即離AP越遠(yuǎn)，信號(hào)就越弱，傳輸速率就越低。對(duì)路徑損耗有影響的物體包括天花板、墻壁或者臥室，特別是所使用的建筑材料。例如，無線信號(hào)在穿透干墻時(shí)其損耗適當(dāng)，但對(duì)于鋼墻則完全不能通過。水能夠吸收許多無線信號(hào)，所以必須注意魚缸或其它含水的地質(zhì)環(huán)境。其它不是很明顯的物體有植物的葉子和人體，這些都可以嚴(yán)重影響802.11b的性能。 如果在室外實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)，那么務(wù)必對(duì)周圍植被進(jìn)行調(diào)查，否則一到春天，你將會(huì)發(fā)現(xiàn)信號(hào)強(qiáng)度嚴(yán)重下降。室外的干墻壁在下雨天變濕以后也會(huì)引起路徑損耗。另外一種情況就是彩色玻璃對(duì)信號(hào)強(qiáng)度的影響。根據(jù)北卡羅來納大學(xué)的Jim Gogan(/gogan/

48、)研究顯示，彩色玻璃也會(huì)吸收無線電波，它將有效地降低信號(hào)強(qiáng)度和帶寬。要克服這些環(huán)境因素導(dǎo)致的信號(hào)損耗，就必須增加這些區(qū)域的訪問點(diǎn)覆蓋范圍和密度。 多徑損耗(Multipath Loss)是由于信號(hào)從發(fā)射源傳播到目的地時(shí)經(jīng)過了多條通路而引起的無序造成的，結(jié)果是多個(gè)信號(hào)的到達(dá)時(shí)間存在差異，使得RF等價(jià)于Moire模式。這將額外增加AP的計(jì)算負(fù)載，因?yàn)樗仨氈亟ㄐ盘?hào)。這也是802.11b協(xié)議規(guī)范的一部分。減小上述影響無線信號(hào)傳播的物體數(shù)量有助于減少路徑損耗和多徑損耗。 3天線選擇(Antenna Selection) 使用目前符合大多數(shù)無線網(wǎng)絡(luò)標(biāo)準(zhǔn)的分集接收天線可以幫助降低多徑損耗數(shù)值。基站的分集接

49、收天線包含兩個(gè)天線單元。由于兩個(gè)天線單元之間的距離很近，因此降低了多徑損耗的負(fù)面影響，這將大大提高信號(hào)強(qiáng)度。 另外一種有效的方法是使用高增益天線或者購買提供了BNC天線連接頭選項(xiàng)的AP。通過這個(gè)BNC連接頭，我們可以選擇最匹配網(wǎng)絡(luò)環(huán)境的天線類型，增強(qiáng)信號(hào)強(qiáng)度。 還有一種方法就是在差的覆蓋區(qū)域使用單向天線。例如，針對(duì)街對(duì)面的某幢辦公樓，我們可以使用單向天線來增加信號(hào)強(qiáng)度。單向天線可以在某個(gè)方向上獲得最大增益和功率。 4無線干擾(Radio Interference) 當(dāng)其它設(shè)備也工作在802.11b的頻率范圍時(shí)，就可能出現(xiàn)無線信號(hào)干擾，引起網(wǎng)絡(luò)性能下降。2.4 GHz無繩電話、微波爐和藍(lán)牙聯(lián)網(wǎng)設(shè)

50、備都工作在802.11b所規(guī)定的頻率范圍內(nèi)，如果它們和網(wǎng)絡(luò)設(shè)備同時(shí)運(yùn)行，那么將由于發(fā)生數(shù)據(jù)包碰撞而導(dǎo)致數(shù)據(jù)重傳，網(wǎng)絡(luò)性能下降。AP的放置原則是盡量最小化來自相鄰發(fā)射機(jī)的干擾。在給定區(qū)域內(nèi)，這主要通過減少AP之間的距離或者增加AP的數(shù)目來實(shí)現(xiàn)。 5CSMA/CA 即使沒有出現(xiàn)上述同時(shí)發(fā)送數(shù)據(jù)包的情形，網(wǎng)絡(luò)性能也會(huì)受到影響，這是因?yàn)?02.11b設(shè)備必須等到?jīng)]有其它站點(diǎn)發(fā)送數(shù)據(jù)時(shí)才發(fā)送數(shù)據(jù)，以避免數(shù)據(jù)包丟失。有線以太網(wǎng)使用帶碰撞檢測的載波偵聽多路訪問技術(shù)(CSMA/CD)來分辨是否有兩個(gè)設(shè)備在同時(shí)發(fā)送數(shù)據(jù)包。如果有，則產(chǎn)生一個(gè)碰撞信號(hào)，并等待一個(gè)隨機(jī)時(shí)間間隔，然后重新準(zhǔn)備發(fā)送。但是這只能工作在網(wǎng)絡(luò)

51、設(shè)備能夠同時(shí)發(fā)送和偵聽線路的環(huán)境中。 由于無線設(shè)備無法做到這一點(diǎn)，因此它們采用了一種稍微不同的方法，稱為帶碰撞避免的載波偵聽多路訪問技術(shù)(CSMA/CA)。CSMA/CA 使用四次握手過程來確定是否可以發(fā)送信號(hào)。首先，發(fā)起節(jié)點(diǎn)發(fā)送一個(gè)Request To Send (RTS) 包給目標(biāo)節(jié)點(diǎn)。第二步，如果目標(biāo)節(jié)點(diǎn)接收到這個(gè)包并準(zhǔn)備好接收，那么就以一個(gè)Clear To Send (CTS)包進(jìn)行應(yīng)答。第三步，在接收到CTS包以后，發(fā)送節(jié)點(diǎn)發(fā)送數(shù)據(jù)給目標(biāo)節(jié)點(diǎn)。最后，目標(biāo)節(jié)點(diǎn)對(duì)每個(gè)接收到的包以一個(gè)ACKnowledgement (ACK) 包進(jìn)行應(yīng)答。 6多AP放置問題(More AP Placeme

52、nt Concerns) 開闊地具有最高的覆蓋范圍，而有墻壁、家具、工廠、其它阻擋物且工作在802.11b帶寬范圍內(nèi)的廣播設(shè)備的環(huán)境將降低AP的有效作用范圍和性能。 在這些區(qū)域的AP擺放位置應(yīng)當(dāng)遵循盡量使覆蓋范圍最大化的原則。一旦確定了AP的最佳位置，我們就應(yīng)當(dāng)對(duì)AP的無線覆蓋范圍和不同覆蓋地點(diǎn)的信號(hào)強(qiáng)度進(jìn)行測試。如果存在無線覆蓋上的縫隙，那么就得增加額外的AP或者重新選定AP的位置。另外，AP的覆蓋應(yīng)當(dāng)考慮工作環(huán)境。如果覆蓋的是會(huì)議室，那么客戶由于漫游導(dǎo)致的AP切換可以考慮不計(jì)。 但是，如果客戶的工作環(huán)境是在一個(gè)倉庫或貨棧，那么高移動(dòng)性將明顯增加AP之間的漫游，因而我們必須增加AP的密度以適

53、應(yīng)客戶在各種交通工具上的機(jī)動(dòng)性，以提供平滑的AP切換(再次關(guān)聯(lián))。 AP有一個(gè)配置參數(shù)，稱為無線信道(Radio Channel)，這個(gè)參數(shù)決定AP要使用802.11b頻譜的哪個(gè)頻段。缺省情況下，AP都被配置到一個(gè)特定的信道。相鄰的AP使用不同的信道，以減小AP之間的串?dāng)_(Crosstalk)。當(dāng)來自相鄰AP的信號(hào)同本AP的頻段重疊時(shí)，就會(huì)出現(xiàn)互相串?dāng)_，降低AP的性能。 802.11b的2.4 GHz頻段的總帶寬為80 MHz，它被分隔成11個(gè)中心信道，每個(gè)中心信道覆蓋22 MHz帶寬。所以我們只能在11個(gè)信道當(dāng)中使用三個(gè)非重疊信道。一種典型的非重疊信道排列是1、6和11，如圖15-10所示，

54、這樣，相鄰AP就不會(huì)使用同一個(gè)信道了。 在考慮相鄰AP的擺放時(shí)，務(wù)必記住你的網(wǎng)站是三維的，無線電波的傳播是球面的，所以，相鄰的AP很可能位于上下樓層內(nèi)，如圖15-11所示。圖15-10 三個(gè)信道布局 圖15-11 3D信道布局 圖15-12 協(xié)議棧 15.6 協(xié) 議 堆 棧 無線局域網(wǎng)的協(xié)議堆棧(如圖15-12所示)的設(shè)計(jì)原則是：盡可能小的改動(dòng)就可以使現(xiàn)存的應(yīng)用能使用這些協(xié)議。最高三層同其它的網(wǎng)絡(luò)相同。 802.11b的MAC/Data-link層規(guī)定了下列特征： CRC 校驗(yàn)和 分段 自動(dòng)漫游 認(rèn)證和關(guān)聯(lián) WEP(有線等效保密)協(xié)議 數(shù)據(jù)鏈路層這一級(jí)的加密主要是執(zhí)行有線等效保密，但是攻擊者已

55、經(jīng)證明這是錯(cuò)誤的。后續(xù)章節(jié)將討論WEP協(xié)議存在的漏洞。15.7 無線局域網(wǎng)的安全機(jī)制 設(shè)計(jì)無線網(wǎng)絡(luò)時(shí)必須考慮其安全性。802.11b標(biāo)準(zhǔn)內(nèi)置多種安全機(jī)制，但是這些機(jī)制只提供了基本的安全保護(hù)，對(duì)于企業(yè)級(jí)應(yīng)用還不充分。 15.7.1 ESSID 第一個(gè)安全機(jī)制是擴(kuò)展服務(wù)集ID(Extended Service Set ID，ESSID)，它是一個(gè)字母和數(shù)字的組合代碼，這些代碼被輸入到同一個(gè)無線網(wǎng)絡(luò)的所有AP和無線客戶中。這類似于微軟網(wǎng)絡(luò)的工作組(Workgroup)名字。每個(gè)銷售商的解決方案都提供了一個(gè)缺省ESSID值。Cisco使用的是tsunami，3COM用的是101，而Agere取名Wav

56、eLAN Network。建議首先改變這個(gè)缺省ESSID值以提高網(wǎng)絡(luò)安全性。 AP在缺省情況下都會(huì)廣播這個(gè)網(wǎng)絡(luò)名，允許無線客戶獲悉當(dāng)前所有可以使用的無線網(wǎng)絡(luò)。如果不廣播這個(gè)值，那么用戶要么事先知道這個(gè)網(wǎng)絡(luò)名，要么使用某種網(wǎng)絡(luò)數(shù)據(jù)捕獲軟件和工具來獲得這種信息。這個(gè)功能尤其重要，因?yàn)樾掳l(fā)布的Windows XP系統(tǒng)集成了可以嗅探這種廣播包的無線客戶軟件，并且可以列出所有可以使用的網(wǎng)絡(luò)。因此，ESSID只能提供最低等級(jí)的安全性，不能作為加固網(wǎng)絡(luò)安全的惟一方法，更不能廣播ESSID，除非你想讓外人知道你的網(wǎng)絡(luò)。 15.7.2 訪問控制列表(Access Lists) 另一無線網(wǎng)絡(luò)安全機(jī)制就是訪問控制列

57、表。訪問控制列表就是我們可以通過限制無線網(wǎng)卡的MAC地址來控制計(jì)算機(jī)是否可與訪問點(diǎn)進(jìn)行關(guān)聯(lián)操作。但是，訪問控制列表將帶來額外的管理上的問題。這是因?yàn)?，我們必須在訪問控制列表當(dāng)中為每個(gè)可以訪問的網(wǎng)卡輸入其MAC地址，如果要更新這個(gè)列表，也只能手工完成。即使這樣，MAC地址仍然很容易被竊聽，因?yàn)樗且悦魑姆绞絺魉偷?。所以，攻擊者要獲得對(duì)網(wǎng)絡(luò)的訪問權(quán)限并不難。 15.7.3 認(rèn)證(Authentication) 目前，標(biāo)準(zhǔn)所提供的認(rèn)證還很有限?？蛻艋谟布恼J(rèn)證可以是基于開放系統(tǒng)(Open System)的，或者是基于共享密鑰(Shared Key)的(詳見15.7.6節(jié))。短期內(nèi)，共享密鑰可以提供

58、基本的認(rèn)證服務(wù)，但是要想獲得更強(qiáng)壯的解決方案，就得采用802.1x標(biāo)準(zhǔn)建議。 如果你需要基于用戶的認(rèn)證，那么必須使用一個(gè)RADIUS(Remote Authentication Dial-In User Service)服務(wù)器。RADIUS的優(yōu)勢在于集中管理，這對(duì)于大型應(yīng)用場合尤為重要。另外一個(gè)優(yōu)點(diǎn)在于RADIUS可以用于VPN客戶認(rèn)證以及無線客戶認(rèn)證，這就允許我們從一個(gè)中心數(shù)據(jù)庫對(duì)多種服務(wù)進(jìn)行認(rèn)證，從而降低管理負(fù)擔(dān)。 15.7.4 WEP 一旦計(jì)算機(jī)可以訪問網(wǎng)絡(luò)資源，就有必要對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密。明文傳輸?shù)臄?shù)據(jù)很容易被截獲。802.11b 提供了一種加密機(jī)制，稱為WEP，或稱有線等效保密(W

59、ired-Equivalent Privacy)。WEP使用一個(gè)64比特或者一個(gè)128比特的加密密鑰，但是在缺省情況下，AP沒有打開該功能選項(xiàng)。雖然不使用WEP使得組網(wǎng)相對(duì)容易，但是利用網(wǎng)絡(luò)分析儀可以輕易捕獲網(wǎng)絡(luò)通信并潛在地訪問內(nèi)部數(shù)據(jù)。 使用WEP協(xié)議的最大難點(diǎn)在于密鑰管理。WEP協(xié)議沒有為AP和客戶端之間如何統(tǒng)一管理密鑰以及無縫地分發(fā)密鑰提供任何機(jī)制，因此，任何密鑰的改動(dòng)對(duì)于管理員來說都是一場噩夢。而事實(shí)上，管理員必須周期性地變換所有無線設(shè)備的密鑰。 15.7.5 使用VPN 保護(hù)內(nèi)部LAN免遭公共互聯(lián)網(wǎng)攻擊所采用的常見技術(shù)就是VPN防火墻，如圖15-13所示。同樣，對(duì)于無線LAN，我們也

60、可以采用該安全框架，即安裝兩道防火墻：一個(gè)作為進(jìn)入內(nèi)聯(lián)網(wǎng)的網(wǎng)關(guān)，另一個(gè)則處于無線LAN和內(nèi)聯(lián)網(wǎng)之間。無線防火墻只允許VPN通信流。同樣地，無線用戶可以向無線基礎(chǔ)設(shè)施認(rèn)證自己。無線數(shù)據(jù)在VPN隧道中是被加密的。 實(shí)際上，把無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)隔離，以及只允許VPN通信經(jīng)過，是利用了緩沖區(qū)的辦法來增強(qiáng)網(wǎng)絡(luò)安全性。此外，基于IPSec的VPN技術(shù)采用的IP層加密協(xié)議，可以防止通信被竊聽。 圖15-13 VPN 防火墻 自從1999年首個(gè)802.11b產(chǎn)品問世以來，無線安全問題逐漸得到了詳細(xì)研究。相應(yīng)地，也發(fā)現(xiàn)了802.11無線協(xié)議的多處安全缺陷。 15.7.6 認(rèn)證和關(guān)聯(lián)(Authentication