无线网络安全.ppt

《无线网络安全.ppt》由会员分享，可在线阅读，更多相关《无线网络安全.ppt（67页珍藏版）》请在咨信网上搜索。

1、无线网络安全无线局域网安全技术概述无线局域网安全技术概述n无线局域网的安全需要做好以下四方面的工无线局域网的安全需要做好以下四方面的工作。作。1强化无线节点的管理密码强化无线节点的管理密码2禁止使用点对点工作模式禁止使用点对点工作模式3拒绝广播无线网络标识符拒绝广播无线网络标识符4采用加密法保护无线信号采用加密法保护无线信号nWLAN的安全技术的安全技术(1)物理地址物理地址(MAC)过滤过滤(2)服务区标识符服务区标识符(SSID)匹配匹配(3)有线对等保密有线对等保密(WEP)(4)端口访问控制技术端口访问控制技术(IEEE802.1x)(5)WPA(Wi-Fi接入保护接入保护)(6)IE

2、EE802.11i标准标准(7)WAPInWLAN安全策略的应用安全策略的应用安全安全级别典型典型场合合使用技使用技术初初级安全安全小型企业家庭用户WPA-PSK+隐藏SSID+MAC地址绑定中中级安全安全仓库物流医院学校餐饮娱乐IEEE802.1x认证+TKIP加密专业级安全安全各类公共场合网络运营商大中型企业金融机构用户隔离技术IEEE802.11iRadius认证和计费+PORTAL页面推送nWLAN的安全威胁根源的安全威胁根源由于无线局域网信道开放的特点，使得攻击者能由于无线局域网信道开放的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安够很容易的进行窃听，恶意修改并转发，

3、因此安全性成为阻碍无线局域网发展的最重要因素。虽全性成为阻碍无线局域网发展的最重要因素。虽然对无线局域网的需求不断增长，但同时也让许然对无线局域网的需求不断增长，但同时也让许多潜在的用户因为不能够得到可靠的安全保护而多潜在的用户因为不能够得到可靠的安全保护而对最终是否采用无线局域网系统而犹豫不决。对最终是否采用无线局域网系统而犹豫不决。nWLAN安全威胁种类安全威胁种类未经授权的接入未经授权的接入指的是在开放式的指的是在开放式的WLAN系统中，非指定用户也可以接入系统中，非指定用户也可以接入AP，导致合法，导致合法用户可用的带宽减少，并对合法用户的安全产生威胁。用户可用的带宽减少，并对合法用户

4、的安全产生威胁。MAC地址欺骗地址欺骗对于使用了对于使用了MAC地址过滤的地址过滤的AP,也可以通过抓取无线包，来获取合法用也可以通过抓取无线包，来获取合法用户的户的MAC地址，从而通过地址，从而通过AP的验证，来非法获取资源。的验证，来非法获取资源。无线窃听无线窃听对于对于WLAN来说，所有的数据都是可以监听到的，无线窃听不仅可以窃来说，所有的数据都是可以监听到的，无线窃听不仅可以窃听到听到AP和和STA的的MAC，而且可以在网络间伪装一个，而且可以在网络间伪装一个AP，来获取，来获取STA的的身份验证信息。身份验证信息。企业级入侵企业级入侵相比传统的有线网络，相比传统的有线网络，WLAN更

5、容易成为入侵内网的入口。大多数企业更容易成为入侵内网的入口。大多数企业的防火墙都在的防火墙都在WLAN系统前方，如果黑客成功的攻破了系统前方，如果黑客成功的攻破了WLAN系统，则系统，则基本认为成功地进入了企业的内网，而有线网络黑客往往找不到合适的基本认为成功地进入了企业的内网，而有线网络黑客往往找不到合适的接入点，只有从外网进行入侵。接入点，只有从外网进行入侵。nWLAN安全的技术标准安全的技术标准机密性机密性这是安全系统的最基本要求，它可以为数据、语音、这是安全系统的最基本要求，它可以为数据、语音、地址等提供保密性能，不同的用户，不同的业务和数地址等提供保密性能，不同的用户，不同的业务和数

6、据，有不同的安全级别要求。据，有不同的安全级别要求。合法性合法性只有被确定合法并给予授权的用户才能得到相应的服只有被确定合法并给予授权的用户才能得到相应的服务。这需要用户身份和身份验证。务。这需要用户身份和身份验证。数据完整性数据完整性协议应保证用户数据的完整并鉴定数据来源。协议应保证用户数据的完整并鉴定数据来源。nWLAN安全的技术标准安全的技术标准不可否认性不可否认性数据的发送方不能否认它发送过的信息，否则认为不合法；数据的发送方不能否认它发送过的信息，否则认为不合法；访问控制：访问控制：应在接入端对应在接入端对STA的的IP、MAC等进行维护，控制其接入。等进行维护，控制其接入。可用性可

7、用性WLAN应该具有一些对用户接入、流量控制等一系列措施，使所应该具有一些对用户接入、流量控制等一系列措施，使所有合法接入者得到较好的用户体验。有合法接入者得到较好的用户体验。健壮性健壮性一个一个WLAN系统应该不容易崩溃系统应该不容易崩溃,具有较好的容错性及恢复机制具有较好的容错性及恢复机制。9.1 9.1 无线网络技术概述无线网络技术概述9.29.2无线网络的安全问题无线网络的安全问题9.39.3无线网络的无线网络的WEPWEP机制机制9.49.4无线无线VPNVPN技术技术9.5 9.5 蓝牙安全蓝牙安全9.1无线网络技术概述无线网络技术概述9.1.1无线局域网的优势无线局域网的优势9.

8、1.2无线局域网规格标准无线局域网规格标准9.1.3无线网络设备无线网络设备9.1 无线网络技术概述n所谓的无线网络所谓的无线网络(WirelessLAN/WLAN)，是指用户以电，是指用户以电脑透过区域空间的无线网卡脑透过区域空间的无线网卡(WirelessCard/PCMCIA卡卡)结合存取桥接器结合存取桥接器(AccessPoint)进行区域无线网络连结，再进行区域无线网络连结，再加上一组无线上网拨接账号即可上网进行网络资源的利用。加上一组无线上网拨接账号即可上网进行网络资源的利用。n简单地说，无线局域网与一般传统的以太网络简单地说，无线局域网与一般传统的以太网络（Ethernet）的概

9、念并没有多大的差异，只是无线局域网）的概念并没有多大的差异，只是无线局域网将用户端接取网络的线路传输部分转变成无线传输之形式，将用户端接取网络的线路传输部分转变成无线传输之形式，但是却具备有线网络缺乏的行动性，然而之所以称其是局域但是却具备有线网络缺乏的行动性，然而之所以称其是局域网，则是因为会受到桥接器与电脑之间距离的远近限制而影网，则是因为会受到桥接器与电脑之间距离的远近限制而影响传输范围，所以必须要在区域范围内才可以连上网络。响传输范围，所以必须要在区域范围内才可以连上网络。9.1.1无线局域网的优势无线局域网的优势1.无线局域网不须要受限于网络可连线端点数之多寡，就可轻松地在无线局域网

10、中无线局域网不须要受限于网络可连线端点数之多寡，就可轻松地在无线局域网中增加新的使用者数目；增加新的使用者数目；2.使用无线局域网时不必受限于网络线的长短与插槽，节省有线网络布线的人力与使用无线局域网时不必受限于网络线的长短与插槽，节省有线网络布线的人力与物力成本，从此摆脱被网络线纠缠的梦魇；物力成本，从此摆脱被网络线纠缠的梦魇；3.相较于时下流行的相较于时下流行的GPRS手机与手机与CDMA手机，无线局域网具有高速宽频上网的特手机，无线局域网具有高速宽频上网的特性，它可提供性，它可提供11Mbps，约，约200倍于一般调制解调器（倍于一般调制解调器（Modem56Kbps）的传）的传输速度，

11、可满足使用者对大量的图像、影音传输的需求；输速度，可满足使用者对大量的图像、影音传输的需求；4.对于上班族与经常需要离开办公座位开会的主管人员来说，使用无线局域网就可对于上班族与经常需要离开办公座位开会的主管人员来说，使用无线局域网就可不用再担心找不到上网的插座。此外，透过无线局域网，使用者可以在信号涵盖不用再担心找不到上网的插座。此外，透过无线局域网，使用者可以在信号涵盖的范围内自由的笔记本电脑等设备，随时随地的与网络保持连结；的范围内自由的笔记本电脑等设备，随时随地的与网络保持连结；5.除了除了“无线无线”可以免去实体网络线布线的困扰之外，另外，在网络发生错误的时可以免去实体网络线布线的困

12、扰之外，另外，在网络发生错误的时候，也不用慢慢寻找出损坏的线路，只要检查讯号发送与接收端的讯号是否正常候，也不用慢慢寻找出损坏的线路，只要检查讯号发送与接收端的讯号是否正常即可。即可。9.1.2 无线局域网规格标准规格规格3.HyperLAN规格4.蓝牙(Bluetooth)技术9.1.3无线网络设备无线网络设备n1.无线APn2.无线路由器n3.无线网卡9.2无线网络的安全问题9.2.1无线网络标准的安全性无线网络标准的安全性9.2.2无线网络安全性的影响因素无线网络安全性的影响因素9.2.3无线网络常见的攻击无线网络常见的攻击9.2.4无线网络安全对策无线网络安全对策9.2.1 无线网络标

13、准的安全性nIEEE802.11b标准定准定义了两种方法了两种方法实现无无线局域网的接入控制和加密：系局域网的接入控制和加密：系统ID(SSID)和有线对等加密和有线对等加密(WEP)。n1.认证图9-6共享密钥认证2.WEPWEP的目标是：接入控制：防止未授权用户接入网络，他们没有正确的WEP密钥。加密：通过加密和只允许有正确WEP密钥的用户解密来保护数据流。IEEE 802.11b标准提供了两种用于无线局域网的WEP加密方案。第一种方案可提供四个缺省密钥以供所有的终端共享包括一个子系统内的所有接入点和客户适配器。当用户得到缺省密钥以后，就可以与子系统内所有用户安全地通信。缺省密钥存在的问题

14、是当它被广泛分配时可能会危及安全。第二种方案中是在每一个客户适配器建立一个与其他用户联系的密钥表。该方案比第一种方案更加安全，但随着终端数量的增加给每一个终端分配密钥很困难。9.2.2 无线网络安全性的影响因素n1.硬件设备硬件设备n2.虚假接入点n3.其他安全问题认证的全部过程 9.2.3 无线网络常见的攻击1.WEP中存在的弱点（1）整体设计：在无线环境中，不使用保密措施是具有很大风险的，）整体设计：在无线环境中，不使用保密措施是具有很大风险的，但但WEP协议只是协议只是802.11设备实现的一个可选项。设备实现的一个可选项。（2）加密算法：加密算法：WEP中的中的IV（Initializ

15、ationVector，初始化向，初始化向量）由于位数太短和初始化复位设计，容易出现重用现象，从而被人破量）由于位数太短和初始化复位设计，容易出现重用现象，从而被人破解密钥。而对用于进行流加密的解密钥。而对用于进行流加密的RC4算法，在其头算法，在其头256个字节数据中的个字节数据中的密钥存在弱点，目前还没有任何一种实现方案修正了这个缺陷。此外用密钥存在弱点，目前还没有任何一种实现方案修正了这个缺陷。此外用于对明文进行完整性校验的于对明文进行完整性校验的CRC（CyclicRedundancvCheck，循环，循环冗余校验）只能确保数据正确传输，并不能保证其未被修改，冈而并不冗余校验）只能确保

16、数据正确传输，并不能保证其未被修改，冈而并不是安全的校验码。是安全的校验码。（3）密钥管理：）密钥管理：802.11标准指出，标准指出，WEP使用的密钥需要接受一个使用的密钥需要接受一个外部密钥管理系统的控制。通过外部控制。可以减少外部密钥管理系统的控制。通过外部控制。可以减少Iv的冲突数量，使的冲突数量，使得无线网络难以攻破。但问题在于这个过程形式非常复杂，并且需要手得无线网络难以攻破。但问题在于这个过程形式非常复杂，并且需要手工操作。因而很多网络的部署者更倾向于使用缺省的工操作。因而很多网络的部署者更倾向于使用缺省的WEP密钥，这使黑密钥，这使黑客为破解密钥所作的工作量大大减少了。另一些高

17、级的解决方案需要使客为破解密钥所作的工作量大大减少了。另一些高级的解决方案需要使用额外资源，如用额外资源，如RADIUS和和Cisco的的LEAP，其花费是很昂贵的。，其花费是很昂贵的。（4）用户行为：许多用户都不会改变缺省的配置选项，这令黑客很）用户行为：许多用户都不会改变缺省的配置选项，这令黑客很容易推断出或猜出密钥。容易推断出或猜出密钥。n2.执行搜索nNetStumbler是第一个被广泛用来发现无线是第一个被广泛用来发现无线网络的软件。据统计，有超过网络的软件。据统计，有超过50的无线网的无线网络是不使用加密功能的。通常即使加密功能络是不使用加密功能的。通常即使加密功能处于活动状态，处

18、于活动状态，AP（wirelessAccessPoint，无线基站）广播信息中仍然包括许多，无线基站）广播信息中仍然包括许多可以用来推断出可以用来推断出WEP密钥的明文信息，如网密钥的明文信息，如网络名称、络名称、SSID（SecureSetIdentife，安，安全集标识符）等。全集标识符）等。3.窃听、截取和监听n窃听是指偷听流经网络的计算机通信的电子形式。窃听是指偷听流经网络的计算机通信的电子形式。它是以被动和无法觉察的方式人侵检测设备的。即它是以被动和无法觉察的方式人侵检测设备的。即使网络不对外广播网络信息，只要能够发现任何明使网络不对外广播网络信息，只要能够发现任何明文信息，攻击者仍

19、然可以使用一些网络工具，如文信息，攻击者仍然可以使用一些网络工具，如Ethreal和和TCPDump来监听和分析通信量，从而来监听和分析通信量，从而识别出可以破坏的信息。使用虚拟专用网、识别出可以破坏的信息。使用虚拟专用网、SSL（SecureSocketsLave安全套接字层）和安全套接字层）和SSH（SecureShel1）有助于防止无线拦截。）有助于防止无线拦截。4.欺骗和非授权访问n因为因为TCP/IP协议的设计原因，几乎无法防止协议的设计原因，几乎无法防止MACIP地址地址欺骗。只有通过静态定义欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻地址表才能防止这种类型的攻击。但是，

20、因为巨大的管理负担，这种方案很少被采用。只击。但是，因为巨大的管理负担，这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。当试图连接到网络上的时候，简单地通过让另外一个节骗。当试图连接到网络上的时候，简单地通过让另外一个节点重新向点重新向AP提交身份验证请求就可以很容易地欺骗无线网提交身份验证请求就可以很容易地欺骗无线网身份验证。许多无线设备提供商允许终端用户通过使用设备身份验证。许多无线设备提供商允许终端用户通过使用设备附带的配置工具，重新定义网卡的附带的配置工具，重新定义网卡的MAC地址。使用外部双地址。使用外

21、部双因子身份验证，如因子身份验证，如RADIUS或或SecurID，可以防止非授权用，可以防止非授权用户访问无线网及其连接的资源，并且在实现的时候，应该对户访问无线网及其连接的资源，并且在实现的时候，应该对需要经过强验证才能访问资源的访问进行严格的限制。需要经过强验证才能访问资源的访问进行严格的限制。5.网络接管与篡改网络接管与篡改n同样因为同样因为TCP/IP协议设计的原因，某些技术可供协议设计的原因，某些技术可供攻击者接管与其他资源建立的网络连接。如果攻击攻击者接管与其他资源建立的网络连接。如果攻击者接管了某个者接管了某个AP，则所有来自无线网的通信量都会，则所有来自无线网的通信量都会传到

22、攻击者的机器上，包括其他用户试图访问合法传到攻击者的机器上，包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。欺诈网络主机时需要使用的密码和其他信息。欺诈AP可可以让攻击者从有线网或无线网进行远程访问，而且以让攻击者从有线网或无线网进行远程访问，而且这种攻击通常不会引起用户的重视，用户通常是在这种攻击通常不会引起用户的重视，用户通常是在毫无防范的情况下输人自己的身份验证信息，甚至毫无防范的情况下输人自己的身份验证信息，甚至在接到许多在接到许多SSL错误或其他密钥错误的通知之后，错误或其他密钥错误的通知之后，仍像是看待自己机器上的错误一样看待它们，这让仍像是看待自己机器上的错误一样看待

23、它们，这让攻击者可以继续接管连接，而不必担心被别人发现。攻击者可以继续接管连接，而不必担心被别人发现。6.拒绝服务攻击n无线信号传输的特性和专门使用扩频技术，使得无线网络特无线信号传输的特性和专门使用扩频技术，使得无线网络特别容易受到别容易受到DoS（DenialofService，拒绝服务）攻击的，拒绝服务）攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源，使得合法用户无法获得这些资源。要造成这类的攻击，资源，使得合法用户无法获得这些资源。要造成这类的攻击，最简单的办法是通过让不同的设备使用相同的频率，从而造最简单的办法是通过

24、让不同的设备使用相同的频率，从而造成无线频谱内出现冲突。另一个可能的攻击手段是发送大量成无线频谱内出现冲突。另一个可能的攻击手段是发送大量非法（或合法）的身份验证请求。第三种手段，如果攻击者非法（或合法）的身份验证请求。第三种手段，如果攻击者接管接管AP，并且不把通信量传递到恰当的目的地，则所有的，并且不把通信量传递到恰当的目的地，则所有的网络用户都将无法使用网络。为了防止网络用户都将无法使用网络。为了防止DoS攻击，可以做的攻击，可以做的事情很少。无线攻击者可以利用高性能的方向性天线，从很事情很少。无线攻击者可以利用高性能的方向性天线，从很远的地方攻击无线网。已经获得有线网访问权的攻击者，可

25、远的地方攻击无线网。已经获得有线网访问权的攻击者，可以通过发送多达无线以通过发送多达无线AP无法处理的通信量来攻击它。此外无法处理的通信量来攻击它。此外为了获得与用户的网络配置发生冲突的网络，只要利用为了获得与用户的网络配置发生冲突的网络，只要利用NetStumbler就可以做到。就可以做到。7.恶意软件凭借技巧定制的应用程序，攻击者可以直接到终端用户上查找凭借技巧定制的应用程序，攻击者可以直接到终端用户上查找访问信息，例如访问用户系统的注册表或其他存储位置，以便获访问信息，例如访问用户系统的注册表或其他存储位置，以便获取取WEP密钥并把它发送回到攻击者的机器上。注意让软件保持更密钥并把它发送

26、回到攻击者的机器上。注意让软件保持更新，并且遏制攻击的可能来源（新，并且遏制攻击的可能来源（Web浏览器、电子邮件、运行不浏览器、电子邮件、运行不当的服务器服务等），这是唯一可以获得的保护措施。当的服务器服务等），这是唯一可以获得的保护措施。8.偷窃用户设备只要得到了一块无线网网卡，攻击者就可以拥有一个无线网使只要得到了一块无线网网卡，攻击者就可以拥有一个无线网使用的合法用的合法MAC地址。也就是说，如果终端用户的笔记本电脑被盗，地址。也就是说，如果终端用户的笔记本电脑被盗，他丢失的不仅仅是电脑本身，还包括设备上的身份验证信息，如他丢失的不仅仅是电脑本身，还包括设备上的身份验证信息，如网络的网

27、络的SSID及密钥。而对于别有用心的攻击者而言，这些往往及密钥。而对于别有用心的攻击者而言，这些往往比电脑本身更有价值。比电脑本身更有价值。9.2.4 无线网络安全对策1.分析威胁2.设计和部署安全网络3.实现WEP4.过滤MAC5.过滤协议6.使用封闭系统和网络7.分配IP8.使用VPN9.3无线网络的无线网络的WEP机制机制9.3.1WEP机制简介机制简介9.3.2WEP在无线路由器上的应用在无线路由器上的应用9.3.1 WEP机制简介1.什么是WEPWEP（WiredEquivalentPrivacy）无线等效保密）无线等效保密协议是由协议是由802.11标准定义的，是最基本的无线安标准

28、定义的，是最基本的无线安全加密措施，用于在无线局域网中保护链路层数据，全加密措施，用于在无线局域网中保护链路层数据，其主要用途是：其主要用途是：（1）提供接入控制，防止未授权用户访问网络；）提供接入控制，防止未授权用户访问网络；（2）WEP加密算法对数据进行加密，防止数据被攻加密算法对数据进行加密，防止数据被攻击者窃听；击者窃听；（3）防止数据被攻击者中途恶意篡改或伪造。）防止数据被攻击者中途恶意篡改或伪造。2.WEP的原理nWEP加密的算加密的算法如图所示，过法如图所示，过程如下：程如下：3.WEP的缺陷（1）缺少密钥管理）缺少密钥管理用户的加密密钥必须与用户的加密密钥必须与AP的密钥相同，

29、并且一个服务区内的所有用户都共享同一把密的密钥相同，并且一个服务区内的所有用户都共享同一把密钥。钥。WEP标准中并没有规定共享密钥的管理方案，通常是手工进行配置与维护。由于同时标准中并没有规定共享密钥的管理方案，通常是手工进行配置与维护。由于同时更换密钥的费时与困难，所以密钥通常长时间使用而很少更换，倘若一个用户丢失密钥，更换密钥的费时与困难，所以密钥通常长时间使用而很少更换，倘若一个用户丢失密钥，则将殃及到整个网络。则将殃及到整个网络。（2）ICV算法不合适算法不合适WEPICV是一种基于是一种基于CRC-32的用于检测传输噪音和普通错误的算法。的用于检测传输噪音和普通错误的算法。CRC-3

30、2是信是信息的线性函数，这意味着攻击者可以篡改加密信息，并很容易地修改息的线性函数，这意味着攻击者可以篡改加密信息，并很容易地修改ICV，使信息表面上，使信息表面上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。（3）RC4算法存在弱点算法存在弱点在在RC4中，人们发现了弱密钥。所谓弱密钥，就是密钥与输出之间存在超出一个好密中，人们发现了弱密钥。所谓弱密钥，就是密钥与输出之间存在超出一个好密码所应具有的相关性。在码所应具有的相关性。在24位的位的IV值中，有值中，有9000多个弱密钥。攻击者收集到足

31、够的使用多个弱密钥。攻击者收集到足够的使用弱密钥的包后，就可以对它们进行分析，只须尝试很少的密钥就可以接入到网络中。弱密钥的包后，就可以对它们进行分析，只须尝试很少的密钥就可以接入到网络中。9.3.2 WEP在无线路由器上的应用n1.无线路由器配置n单独密钥的使用单独密钥的使用nMAC地址过滤功能开启显示地址过滤功能开启显示nIPconfig/all命令执行结果命令执行结果网卡网卡TL-WN620G的配置的配置用户配置文件管理高级选项用户配置文件管理安全选项设置共享密钥网卡和无线路由器建立连接界面网卡和无线路由器建立连接界面9.4无线VPN技术9.4.1无线无线VPN技术技术9.4.2Win2

32、003的的VPN服务器搭建服务器搭建9.4.1无线无线VPN技术技术1.什么是VPN？虚拟专用网（虚拟专用网（VPN，VirtualPrivateNetwork）是一种利用公共网络来构建的私人专用）是一种利用公共网络来构建的私人专用网络技术，不是真的专用网络，但却能够实现专用网络技术，不是真的专用网络，但却能够实现专用网络的功能。虚拟专用网指的是依靠网络的功能。虚拟专用网指的是依靠ISP（Internet服务提供商）和其他服务提供商）和其他NSP（网络服（网络服务提供商），在公用网络中建立专用的数据通信网务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的络

33、的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。是利用某种公众网的资源动态组成的。2.VPN的安全性（1）隧道技术）隧道技术（2）加解密技术）加解密技术（3）密钥管理技术）密钥管理技术（4）使用者与设备身份认证技术）使用者与设备身份认证技术3.VPN网络的可用性n通过通过VPN，企业可以以更低的成本连接远程办事机构、出差，企业可以以更低的成本连接远程办事机构、出差人员以及业务合作伙伴关键业务。虚拟网组成之后，远程用人员以及业务合作伙伴关键业务。虚拟网组成之后，远程用户只需拥有本地

34、户只需拥有本地ISP的上网权限，就可以访问企业内部资源，的上网权限，就可以访问企业内部资源，这对于流动性大、分布广泛的企业来说很有意义，特别是当这对于流动性大、分布广泛的企业来说很有意义，特别是当企业将企业将VPN服务延伸到合作伙伴方时，便能极大地降低网络服务延伸到合作伙伴方时，便能极大地降低网络的复杂性和维护费用。的复杂性和维护费用。nVPN技术的出现及成熟为企业实施技术的出现及成熟为企业实施ERP、财务软件、移动办、财务软件、移动办公提供了最佳的解决方案。公提供了最佳的解决方案。n一方面，一方面，VPN利用现有互联网，在互联网上开拓隧道，充分利用现有互联网，在互联网上开拓隧道，充分利用企业

35、现有的上网条件，无需申请昂贵的利用企业现有的上网条件，无需申请昂贵的DDN专线，运营专线，运营成本低。另一方面，成本低。另一方面，VPN利用利用IPSEC等加密技术，使在通道等加密技术，使在通道内传输的数据，有着高达内传输的数据，有着高达168位的加密措施，充分保证了数位的加密措施，充分保证了数据在据在VPN通道内传输的安全性。通道内传输的安全性。4.VPN网络的可管理性n随着技术的进步，各种随着技术的进步，各种VPN软硬件解决方案都包含了路由、软硬件解决方案都包含了路由、防火墙、防火墙、VPN网关等三方面的功能，企业或政府通过购买网关等三方面的功能，企业或政府通过购买VPN设备，达到一物多用

36、的功效，既满足了远程互联的要求，设备，达到一物多用的功效，既满足了远程互联的要求，而且还能在相当程度上防止黑客的攻击、并能根据时间、而且还能在相当程度上防止黑客的攻击、并能根据时间、IP、内容、内容、Mac地址、服务内容、访问内容等多种服务来限制企地址、服务内容、访问内容等多种服务来限制企业公司内部员工上网时的行为，一举多得。业公司内部员工上网时的行为，一举多得。nVPN设备的安装调试、管理、维护都极为简单，而且都支持设备的安装调试、管理、维护都极为简单，而且都支持远程管理，大多数远程管理，大多数VPN硬件设备甚至可通过中央管理器进行硬件设备甚至可通过中央管理器进行集中式的管理维护。出差人员也

37、可以通过客户端软件与中心集中式的管理维护。出差人员也可以通过客户端软件与中心的的VPN设备建立设备建立VPN通道，从而达到访问中心数据等资源的通道，从而达到访问中心数据等资源的目的。让互联无处不在，极大地方便了企业及政府的数据、目的。让互联无处不在，极大地方便了企业及政府的数据、语音、视频等方面的应用。语音、视频等方面的应用。9.4.2 Win2003的VPN服务器搭建n无线无线VPN拓扑结构图拓扑结构图1.系统前期准备工作2.开启开启VPN和和NAT服务服务3.配置NAT服务 VPN网关（网关（PPTP）编辑服务设置）编辑服务设置 4.根据需要设置根据需要设置VPN服务服务WAN端口属性端口

38、属性 本地服务器IP设置 5.5.设置远程访问策略，允设置远程访问策略，允设置远程访问策略，允设置远程访问策略，允许指定用户拨入许指定用户拨入许指定用户拨入许指定用户拨入IP地址范围设置地址范围设置“计算机管理”对话框 添加用户对话框添加用户对话框 添加组对话框 6.设置动态域名n我们把动态域名放在这里来说。因为一般企业接入我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定互联网应该有固定IP，这样客户机便可随时随地对，这样客户机便可随时随地对服务端进行访问；而如果你是家庭用户采用的服务端进行访问；而如果你是家庭用户采用的ADSL宽带接入的话，那一般都是每次上网地址都宽带接入的话，那

39、一般都是每次上网地址都不一样的动态不一样的动态IP，所以需在，所以需在VPN服务器上安装动态服务器上安装动态域名解析软件，才能让客户端在网络中找到服务端域名解析软件，才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为：并随时可以拨入。笔者常用的动态域名解析软件为：花生壳，可以在下载，其安装及注意事项请参阅相花生壳，可以在下载，其安装及注意事项请参阅相关资料关资料.7.VPN客户端配置新建连接向导对话框新建连接向导对话框 选择连接类型对话框选择连接类型对话框 选择连接选择连接“虚拟专用网络连接虚拟专用网络连接”对话框对话框 连接名称设置对话框连接名称设置对话框VPN连接窗

40、口连接窗口VPN服务器选择 9.5 蓝牙安全蓝牙应用协议栈（1）射频协议（）射频协议（RF/RadioProtocol）：定义了蓝牙发送器和接收器的各个参数，）：定义了蓝牙发送器和接收器的各个参数，包括发送器的调制特性，接收器的灵敏度、抗干扰性能、互调特性和接收信号强包括发送器的调制特性，接收器的灵敏度、抗干扰性能、互调特性和接收信号强度指示等。度指示等。（2）基带）基带/链路控制协议（链路控制协议（Baseband/LCProtocol）：定义了基带部分协议和其）：定义了基带部分协议和其他低层链路功能，是蓝牙技术的核心。他低层链路功能，是蓝牙技术的核心。（3）链路管理协议（）链路管理协议（L

41、MP）：用于链路的建立、安全和控制，为此定义了）：用于链路的建立、安全和控制，为此定义了许多过程来完成不同的功能。许多过程来完成不同的功能。（4）主机控制器接口（）主机控制器接口（HCI：HostControllerInterface）协议：描述了主机控）协议：描述了主机控制接口功能上的标准，提供了一个基带控制器和链路管理器（制接口功能上的标准，提供了一个基带控制器和链路管理器（LM）得知硬件状）得知硬件状态和控制寄存器命令的接口，在蓝牙中起着中间层的作用：向下给链路控制器协态和控制寄存器命令的接口，在蓝牙中起着中间层的作用：向下给链路控制器协议和链路管理协议提供接口，提供一个访问蓝牙基带的统

42、一方法。是在硬议和链路管理协议提供接口，提供一个访问蓝牙基带的统一方法。是在硬件和软件都包含的部分。件和软件都包含的部分。n（5）逻辑链路控制和适配协议（）逻辑链路控制和适配协议（L2CAP：LogicalLinkControlandAdaptationProtocol）：支持高层协议复用、帧的组装和拆分、传送）：支持高层协议复用、帧的组装和拆分、传送QoS信息。信息。L2CAP提供面各连接和非连接两种业务，允许高层最多达提供面各连接和非连接两种业务，允许高层最多达64kbit/s的数据，以的数据，以一种有限状态机（一种有限状态机（FSM）的方式来进行控制，目前只支持异步无连接链路）的方式来进

43、行控制，目前只支持异步无连接链路（ACL）。）。n（6）服务发现协议（）服务发现协议（SDP：ServiceDiscoverProtocol）：如何发现蓝牙设）：如何发现蓝牙设备所提供服务的协议，使高层应用能够得知可提供的服务。在两个蓝牙设备第一备所提供服务的协议，使高层应用能够得知可提供的服务。在两个蓝牙设备第一次通信时，需要通过次通信时，需要通过SDP来了解对方能够提供何种服务，并将自己可提供的服来了解对方能够提供何种服务，并将自己可提供的服务通知对方。务通知对方。n（7）高层协议：包括串口通信协议（）高层协议：包括串口通信协议（RFCOMM）、电话控制协议（）、电话控制协议（TCS）、）

44、、对象交换协议（对象交换协议（OBEX）、控制命令（）、控制命令（AT-Command）、电子商务标准协议）、电子商务标准协议（vCard和和vCalender）和）和PPP，IP，TCP，UDP等相关的等相关的Internet协议以及协议以及WAP协议。其中，串口通信协议是协议。其中，串口通信协议是ETSITS07.10标准的子集，并且加入了蓝标准的子集，并且加入了蓝牙特有的部分；电话控制协议使用了一个以比特为基础的协议，定义了在蓝牙设牙特有的部分；电话控制协议使用了一个以比特为基础的协议，定义了在蓝牙设备之间建立语音和数据呼叫的控制信令，对象交换协议提供了与备之间建立语音和数据呼叫的控制信

45、令，对象交换协议提供了与IrDA协议系列协议系列相同的特性，并且使各种应用可以在相同的特性，并且使各种应用可以在IrDA协议栈和蓝牙协议栈上使用。协议栈和蓝牙协议栈上使用。蓝牙系统安全性要求n（1）蓝牙设备地址（）蓝牙设备地址（BD_ADDR）：是一个对每个蓝牙单）：是一个对每个蓝牙单元唯一的元唯一的48位位IEEE地址。地址。n（2）个人确认码（）个人确认码（PIN：PersonalIdentificationNumber）：是由蓝牙单元提供的）：是由蓝牙单元提供的1-16位（八进制）数字，位（八进制）数字，可以固定或者由用户选择。一般来讲，这个可以固定或者由用户选择。一般来讲，这个PIN码

46、是随单元码是随单元一起提供的一个固定数字。但当该单元有人机接口时，用户一起提供的一个固定数字。但当该单元有人机接口时，用户可以任意选择可以任意选择PIN的值，从而进入通信单元。蓝牙基带标准的值，从而进入通信单元。蓝牙基带标准中要求中要求PIN的值是可以改变的。的值是可以改变的。n（3）鉴权字：是长度为）鉴权字：是长度为128位的数字，用于系统的鉴权。位的数字，用于系统的鉴权。n（4）加密字：长度）加密字：长度8-128位，可以改变。这是因为不同的位，可以改变。这是因为不同的国家有许多不同的对加密算法的要求，同时也是各种不同应国家有许多不同的对加密算法的要求，同时也是各种不同应用的需要，还有利于

47、算法和加密硬件系统的升级。用的需要，还有利于算法和加密硬件系统的升级。9.5.2蓝牙安全机制蓝牙安全机制1.字管理机制 2.链接字的产生 3.蓝牙单元鉴权 4.加密 9.5.3 如何保护蓝牙n（1）不使用就不启用）不使用就不启用n如果希望保护蓝牙的安全，一个首要的原则是在不需要使用如果希望保护蓝牙的安全，一个首要的原则是在不需要使用蓝牙的时候将其关闭。对于移动电话来说可以在蓝牙设置页蓝牙的时候将其关闭。对于移动电话来说可以在蓝牙设置页面中将蓝牙关闭，而对于计算机上的蓝牙适配器可以通过附面中将蓝牙关闭，而对于计算机上的蓝牙适配器可以通过附带的工具软件或操作系统本身的蓝牙软件将其设置为不可连带的工

48、具软件或操作系统本身的蓝牙软件将其设置为不可连接状态。接状态。n（2）使用安全设置）使用安全设置n在蓝牙规范中定义了三种安全模式，没有任何保护的无安全在蓝牙规范中定义了三种安全模式，没有任何保护的无安全模式、通过验证码保护的服务级安全、可以应用加密的设备模式、通过验证码保护的服务级安全、可以应用加密的设备级安全，在适用的情况下尽可能应用较高的安全模式。对便级安全，在适用的情况下尽可能应用较高的安全模式。对便利性要求不是特别高的环境不要将蓝牙设置为可见状态，这利性要求不是特别高的环境不要将蓝牙设置为可见状态，这通常不会对验证受到信任的设备造成麻烦。通常不会对验证受到信任的设备造成麻烦。（3）选择

49、强壮的）选择强壮的PIN码码正常的蓝牙设备连接会使用正常的蓝牙设备连接会使用PIN码进行验证，相当于计算码进行验证，相当于计算机的访问密码。通常在设备出厂时这个机的访问密码。通常在设备出厂时这个PIN码不会被设置或者码不会被设置或者被设置为一个特定的四位数字，这样的被设置为一个特定的四位数字，这样的PIN码设置仍然很容易码设置仍然很容易受到攻击。根据我的经验每一百部蓝牙手机中会有接近百分之受到攻击。根据我的经验每一百部蓝牙手机中会有接近百分之十到百分之二十使用十到百分之二十使用1111或或1234这样简单的密码，设置一个这样简单的密码，设置一个尽量复杂的尽量复杂的PIN码非常的重要。码非常的重

50、要。（4）保持对安全更新的跟踪）保持对安全更新的跟踪通常存在安全漏洞的手机都可以通过厂商提供的更新进行通常存在安全漏洞的手机都可以通过厂商提供的更新进行解决，所以应该了解自己的设备是否有安全漏洞并及时从厂商解决，所以应该了解自己的设备是否有安全漏洞并及时从厂商处获取更新。另外更多的了解蓝牙安全方面的知识并应用一些处获取更新。另外更多的了解蓝牙安全方面的知识并应用一些免费的蓝牙安全工具也可以有效的减少受攻击的可能。免费的蓝牙安全工具也可以有效的减少受攻击的可能。（5）足够的警惕性）足够的警惕性恶意攻击并不总是隐密的进行，在攻击过程中蓝牙连接的恶意攻击并不总是隐密的进行，在攻击过程中蓝牙连接的状态