第15章无线通信网的安全.ppt

第15章 无线通信网的安全,15.1 无线和有线的区别 15.2 存在的威胁和漏洞 15.3 蓝牙协议 15.4 无线应用协议(Wireless Application Protocol) 15.5 无线局域网的安全,15.6 协议堆栈 15.7 无线局域网的安全机制 15.8 IEEE802.1x 15.9 受保护的EAP-漫游用户的强身份认证解决方案 15.10 IEEE802.11i 15.11 WPA(WiFi Protected Access)规范,15.1 无线和有线的区别,虽然无线通信设备有其特殊的限制(见15.1.2节)，但大都仍可采用标准的安全技术。例如无线领域中的认证、授权和审计原理与传统的有线通信方式中的基本一致。前面各章节中有关安全的设计、配置原则(系统、网络的监视和管理)同样也适用于无线通信环境，但是，无线通信在某些领域中还是有别于有线通信的。本节将逐一介绍这些区别并向读者介绍与这些技术相关的安全本质。,15.1.1 物理安全 在讨论无线通信时，物理安全是非常重要的。从定义上来看，我们可以把那些可以使一个组织实现无线数据通信的所有类型的设备统称为移动设备(Mobile)。这就增加了失窃的风险，因为在一个安全组织的物理范围之外也可以使用这些设备。虽然这些设备有一些保护措施，但是设计的保护措施总是基于最小信息保护需求的。例如：以前存储在如蜂窝电话设备中的那些数据都不能认为达到敏感保密等级。,无线数据设备能存储企业信息，如E-mail、数据库瞬态图和价格列表，也能存储敏感的客户数据，如病人的医疗记录。如果包含企业或客户机密信息的设备被盗，小偷就可以无限期地对设备拥有惟一的访问权。这样小偷就有可能系统地破坏设备的安全机制，从而获得被保护的数据。,对一个企业而言，物理安全的重要性依赖于存储在设备中的数据保密级别。如传统的蜂窝电话或个人数字助理(PDA)可能会保存个人电话本或联系地址数据库，这就有可能直接把电话号码、E-mail地址、特定人或特定合作伙伴的邮政编码泄漏给攻击者。这本身的威胁并不大，更大的风险在于金融应用场合，例如在电话和无线PDA失效(挂失)之前，可能已经有大量的非授权电话呼叫。,更进一步讲，无线技术会增加存储在设备上的数据容量，同时还会增加这些用于访问企业网络设备的访问类型。蜂窝电话可以存储E-mail、小型版本的数据库甚至文档。此外，你还能远程访问企业网络。通过使用无线局域网和无线调制解调器，使得笔记本不需要和网络进行物理连接，只要采用目前的无线通信协议就可访问企业网络。这些风险的存在并不意味着就不能用这些技术，而是说应该考虑其需要独特的物理安全。,笔记本锁、现在的PDA锁是降低设备被偷风险的基本物理安全需求。用户认证和对设备上数据进行加密能在设备被偷的情况下严格限制对数据的访问。我们必须认识到，无线设备的物理层安全非常重要，这可使我们本章讨论的技术得到广泛认可和应用。,15.1.2 设备局限性 目前，无线设备所存在的众多限制，会对存储在这些设备上的数据和设备间建立的通信链路安全产生潜在的影响。相比于个人计算机，无线设备，如个人数字助理(PDA)和移动电话存在以下几方面的限制：, 电池寿命短； 显示器小； 有限的/不同的输入方法(触摸屏与键盘)； 通信链路带宽窄； 内存容量小； CPU处理速度低。,上面所列各条是大致按它们对安全的影响从小到大的顺序排列的。虽然小显示器对运行于设备上的应用程序有所影响，但显然这对安全连接的影响非常小。不可预知的执行时间(等待时间：latency)以及不能保证数据包的收发顺序等都会影响加密方法。这些限制中，影响最大的是移动设备的内存容量小和CPU处理速度慢，这些因素使得我们通常不愿意选择加密操作。,15.2 存在的威胁和漏洞,在无线局域网环境中，我们需要研究与传统有线LAN环境中存在的相同的安全问题。但是对于无线信道，还需要特别强调一些其特有的安全问题。以下是一些目前已知的主动攻击类型9：, 社会工程(Social Engineering) 扮演(Impersonation) 漏洞利用(Exploits) 数据驱动(Data Driven) 传递信任(Transitive Trust) 基础结构(Infrastructure) 拒绝服务(Denial of Service),15.2.1 窃听 在无线电环境中窃听非常容易。当通过无线电通道发送消息时，任何人只要拥有合适的接收机并在传输的范围内就能窃听消息，而且发送者和预期的接收者无法知道传输是否被窃听，这种窃听根本无法检测。 无线通信所采用的频段和收发设备的功率对传输的范围有很大影响。当采用2 MHz或5 MHz的无线电频段，收发设备的功率达到1 W(这是目前无线LAN的标准)，在没有专门的电磁屏蔽情况下，无线LAN通信可在所运行网络的建筑物外被窃听到，因此不能认为网络只运行在本单位的办公大楼里。,在无线LAN环境下窃听很容易，这使得保证网络流量的机密性是个非常昂贵的过程。所有的无线LAN标准都考虑了这个问题，并由MAC实体通过某种链路级加密实现，但是利用这些算法获得的安全性对许多应用而言是不够的。,15.2.2 传递信任 当公司网络包括一部分无线LAN时，就会为攻击者提供一个不需要物理安装的接口用于网络入侵。在有线网络中，我们总能通过物理线路从我们的计算机追踪到下一网络节点,但在无线网络环境下，通信双方之间并没有这么一条路径。这使得有效的认证机制对无线LAN安全显得尤为关键。在所有的情况下，参与传输的双方都应该能相互认证。,无线LAN可用来作为传递信任的跳板。如果攻击者能欺骗一个无线LAN，让它信任攻击者所控制的移动设备，则在企业网所有防火墙内部就有了敌方的一个网络节点，并且从此以后很难阻止敌方的行动。这种攻击可以通过使用与我们的网络设备相兼容的标准无线LAN硬件来实现，而有效阻止这种攻击的方法就是移动设备访问无线LAN的强认证机制。要发现不成功的攻击必须依赖于这些不成功攻击企图的日志，但即使发现这种攻击企图也很难确定是否存在真正的攻击。因为在正常操作情况下，无线电信道的高比特误码率(Bit Error Rate)以及来自其它无线LAN移动设备的登录都可能产生不成功登录的日志。,另外一种传递信任攻击是专门针对无线网络的，这种攻击是欺骗移动设备，让移动设备相信攻击者所控制的基站。当移动设备开机时，一般会首先登录具有最强信号的网络，如果登录失败，就按信号功率顺序登录其它网络。如果攻击者有一个大发射功率的基站，他就能欺骗移动设备首先登录攻击者所控制的网络。这时存在两种可能性：正常用户成功登录被攻击者所控制的网络，攻击者从而找出密码、秘密密钥等；攻击者仅仅拒绝用户的登录企图但记录登录过程中所有的消息，并通过分析这些消息找出网络中进行认证时的秘密密钥或密码。,在没有有关网络服务详细信息的情况下，前一种攻击很难实现并很容易被检测到。后一种攻击方式所需要的只是与我们的设备兼容的标准基站硬件(可能有专门的天线)。这种方式很难检测到，这是因为移动设备一般不向上层报告不成功的登录企图(即使在正常环境下也会存在大量的不成功登录企图)。针对这种攻击的惟一保护措施是有效的认证机制，它允许移动设备在不泄漏登录网络所使用的秘密密钥或密码的前提下认证基站。,15.2.3 基础结构 基础结构攻击是基于系统中存在的漏洞：软件臭虫(Bug)、错误配置、硬件故障等。这种情况同样也会出现在无线LAN中。但是针对这种攻击进行保护几乎是不可能的除非发生了，否则你不可能知道有臭虫的存在。所以能做的就是尽可能地降低破坏所造成的损失。,15.2.4 拒绝服务 无线电传输的本质使得无线LAN很容易受到拒绝服务攻击。如果攻击者拥有一个功率强大的收发设备，他就能很容易地产生一个无线电干扰信号，使得无线LAN不能利用无线电信道进行通信。这种攻击可在我们的站点外发起，如街道的停车场或下一街区的公寓。发起这种攻击所需要的设备很容易以可承受的价格从任何一家电子商店买到，并且任何一个短波无线电爱好者都会拥有搭建这种设备的能力。,针对这种攻击的保护非常困难和昂贵。惟一完全的解决方法是把我们的无线网络放在法拉第笼子里(只有在很少的情况下才会这么用)。官方可以很容易地对发射干扰的收发设备定位，因此在被发现之前攻击者的时间是有限的。 另一方面，无线LAN相对有线LAN而言不容易受到其它类型的拒绝服务攻击。例如，只要把线路剪断就可把一个固定的LAN节点隔离开，这在无线环境中是不可能的。如果攻击者切断了整个站点的电源，则所有有线网络就都没用了，但用笔记本电脑或其它电池供电的计算机构成的AD-Hoc无线网络(各计算机之间直接进行通信)仍可正常使用。,15.3 蓝 牙 协 议,蓝牙是为个人区域网络(Personal Area Networks，PAN)应用和需要短距离通信的应用设计的一种通信协议。蓝牙规范最初定义的设备通信范围为10米。这个协议主要用于扩展远程通信能力并减少对电缆的依赖。它工作于网络协议层次的物理层以及链路层，高层应用支持由其它知名协议提供。这些协议包括无线应用协议(WAP)、点对点协议(PPP)和IP(TCP/UDP)协议。,蓝牙专业组为蓝牙协议定义了大量的使用模型。这些使用模型不仅指明了协议潜在的应用场合，而且还可以帮助我们理解协议所需的安全级别。已公布的使用模型包括： 互联网网桥(Internet Bridge)：在这个模型中，一台PC机使用移动电话访问互联网。PC机使用蓝牙协议与移动设备通信；接下来移动设备采用与连接PC机的有线调制解调器同样的方式拨号上互联网。这个应用模型中的蓝牙协议支持PPP，因而可以传输IP数据包。, 同步(Synchronization)：这个使用模型的关键是建立一个PAN来对E-mail、日历和联系人数据进行同步，这是典型的个人信息管理(PIM)应用和设备。 3合1电话(Three-in-one Phone)：采用这种使用模型的设备一般作为：(a) 连接到公共交换电话网络的无绳电话；(b) 设备和设备之间通信的内部通信电话；(c) 连接到公共蜂窝基础设施的蜂窝电话。 这只是为蓝牙协议开发的三种使用模型。实际的使用模型非常多，一般每一种使用模型都需要不同的信息安全方法。蓝牙协议已经制定了不同的安全需求。,15.3.1 蓝牙安全 蓝牙规范中提供了三种安全模式：无安全级、服务级和安全级。安全模式指明了需要实现的安全程度。在无安全模式下，设备没有任何安全措施。这适合于少量不需要安全性的应用模型。有安全的模式需要在任何链路连接建立之前实现安全。在蓝牙设备的作用范围内，这在目前的大多数使用模型中已经足够。将来开发的设备将需要“always-on”安全模式。,蓝牙设备最常用的配置是采用服务强制安全，即服务级(模式2)的安全。服务强制安全使得安全的需求建立在应用的基础上。这种模式认可了这样一个事实：某个用户的设备可能扮演不同的角色，实现不同的功能。如在使用vCard应用/功能进行名片交换时，强制设备实现安全是不合适的，而同样的设备如果用在不可信环境下的电子商务中，就需要实现安全。下面将着重讨论蓝牙的模式2安全。,蓝牙安全是在链路层实现的，是基于可信设备的概念。一个设备企图和另一个设备建立链路，第二个设备要么对第一个设备是可信的，要么是不可信的。如果认为是可信的，第二个设备就会自动获得对第一个设备的链路访问；如果认为是不可信的，就会调用粒度更小的、基于服务的认证和授权机制。,此时，服务可以要求三种不同的安全级别：认证和授权、认证或不认证。这种安全模型使得不同安全需求的服务共存于同一设备上。例如，访问vCard应用时，交换联系人信息可以定义为不需要认证或授权的服务。同一设备还可支持文件传输或数据库交易服务，这些服务很有可能需要认证和授权。蓝牙安全模型包括这样一条规定：当与不可信设备建立链路，并允许其访问某一项服务时，不能自动地允许其访问任何其它服务，它也不能自动改变外来设备的状态(这个设备在以后建立链路时仍将认为是不可信的)。,蓝牙安全模型把移动设备提供的功能定义为服务。当实现模式2安全时，对设备的访问控制是基于远程设备企图访问的服务的。如果远程设备是可信的，那么不需要任何访问控制。在远程设备不可信或未知(蓝牙认为不可信)的情况下，设备需要不同级别的访问控制。基本的级别是授权。和有线网络安全一样，授权提供了访问控制的基线(Baseline)。认证可以确认远程设备是否被允许访问本地设备上运行的服务。在更基础的级别上，通过确定远程设备的身份，该模型中内建的安全机制可以确定远程设备对本地设备上特定服务的访问级别。这就是所谓的授权。因此，授权之前必须通过认证。,在允许访问服务前，可以实现的最后一个安全要素是加密。当服务需要加密时，加密是在链路层、在本地设备允许对方访问服务之前建立的。默认情况下，对进入连接需要认证和授权，对外出连接需要认证(证实运行服务的设备的真实身份)。图15-1给出了蓝牙安全解决方案的流程。,图15-1 蓝牙解决方案的安全流程,如前所述，蓝牙安全模型是信任设备而不是用户。蓝牙的认证模型基于共享密钥。两个蓝牙设备第一次进行通信时，两个设备都需要知道对方是否是可信的。信任的建立必须发生在初始连接时，这是因为蓝牙安全模型在随后的连接请求中不允许用户干涉(用户名/口令的检查)。从概念上讲，这并不像现在许多无线设备实现的那样：移动电话在打电话时必须和网络进行认证，但这是认证设备，而不是用户。虽然设备在允许访问前用户可以请求认证，但访问控制是为设备而不是网络实现的。,当网络上只有一种服务时，这种安全模型是可以接受的。直到最近，移动网络也只提供一种服务：语音通信。将来，移动设备会更多地使用同时支持声音和数据的一个或多个网络。目前，采用不同技术(全球移动通信系统GSM、数字蜂窝分组数据CDPD(Cellular Digital Packet Data)和码分多址CDMA)的移动网络可以提供对声音和不同数据服务的访问。由于无线设备所增加的新的功能，使得在这个网络上传输的信息更敏感，这些网络需要采用新的安全模型。,过去，可以用扫描器窃听蜂窝网络的传输，在考虑到分组的敏感性后，CDPD网络用基于会话的密钥加密来防止通常的窃听。蓝牙安全提供了类似级别的加密，这可阻止一些偶然的攻击。在这两种情况下，物理和链路级的通信加密提供了基于设备的认证、保密性和数据完整性。,15.3.2 保护蓝牙 虽然蓝牙安全可以防止一些偶然的攻击，但这种技术仍是有局限性的。蓝牙安全实现的基本缺陷是信任设备，而不是用户。 蓝牙的设计并不是一个端到端(end-to-end)的安全解决方案，而只是在链路级提供安全。这个缺陷意味着：如果蓝牙只用于提供链路层的连接，而且安全性要求也很高，那么就有必要由上层来提供安全性(一般由应用层提供)。,蓝牙协议的另外一个局限实际上是蓝牙设备本身的局限。蓝牙设备处理速度不够、内存有限，这使得它不可能对每个数据包进行安全检查。由于这个原因，只有在建立连接阶段和对面向连接的通信流量才实施安全检查。对于需要安全能力的无连接通信流量，连接建立之外的安全检查需由上层应用程序来额外实现。,在考虑蓝牙所需的安全级别时需要考虑两条额外的信息： 第一、要保护的数据是什么；数据是公共的、私有的、机密的还是受限制的。如果蓝牙保护的数据是公共的，那几乎不需要花费多少资源来保护它。,第二、上层应用程序和协议对数据的保护程度；如果使用蓝牙传输受限信息，上层协议和应用程序采用的保护措施是什么(加密、不可抵赖或认证)。在评估安全的整体强度时要检查整个数据包，蓝牙可以认证设备但不能认证使用设备的用户，如果链路上传输的数据需要认证用户，蓝牙安全需要和上层安全机制结合起来。 蓝牙安全存在一些局限，但通过和其它安全措施相结合，蓝牙可以为设备间的链路安全提供可靠的机制。,15.4 无线应用协议 (Wireless Application Protocol),WAP是专门为移动设备优化的协议。这些优化主要是针对于本章前面讨论的种种限制的。WAP是一个开放的标准，它尽可能地利用了现有的标准。对现有标准的复用和修订扩展了无线通信标准，然而，我们有必要检验这些修订对安全所造成的影响。例如，现有的加密算法对无线通信优化后，这些优化是否会降低算法的强度。,WAP规范采用的主要概念是协议的分层。分层是指把整个通信过程分成几个独立的模块，每一模块完成某个特定的子功能。有线通信中的TCP/IP分层是按照OSI参考模型实施的。OSI模型各层要完成的功能包括：在电缆或光纤上物理传输信息(物理层)、提供全球 惟一的源和目的地址(网络层)、为应用程序格式化信息(表示层)。分层方法的重要一面就是每一层都要为相邻层提供标准的、知名的接口。这样，即使某一层有所变化也不会影响其它层。,WAP规范定义了应用层、会话层和传输层协议。应用层说明了用户使用的应用程序和提高应用程序功能的脚本。会话层管理用户连接。传输层从不同类型的无线网络中接收信息，使之安全并以格式化形式传递信息。 图15-2是WAP协议体系结构示意。协议栈的上层以Web协议HTTP1.1、脚本语言和标记语言为模型；外部应用程序可在协议栈传输层之上的任何位置介入；该协议体系结构中有一层专门负责安全。本章稍后将详细介绍该安全层。,图15-2 WAP协议结构,无线设备用户使用设备的方式与有线设备用户不一样。这不是安全的原因，而是由于设备的局限性。小显示器和网络吞吐量的限制导致了无限设备不同的使用模式。无线用户一般不会在服务供应商网络上冲浪。无线设备的使用模式更偏爱那些流水线方式(steamline)工作的程序，这些应用程序所需的输入很有限或可预知，专为小显示器定制，只需要有限的带宽即可。这就使得它本质上更面向商务：文本电子邮件/短消息、股票交易和数据库查询与事务处理等。,从安全角度看，有线网络中的策略和过程同样适用于无线通信流，数据受保护的程度必须和有线连接的一样。对熟悉已有数据安全标准的安全人员，理解无线标准和为无线协议制定的标准之间的区别非常重要。 支持WAP最好的设备是电话，但其它类型设备同样支持WAP。Palm VII、PocketPC甚至某些RIM(Research In Motion)平台都有WAP浏览器。在讨论WAP安全和保护基于WAP的通信之后，我们将描述一些可以用来保护无线通信的专用解决方案。,15.4.1 WAP安全 在无线应用协议中，安全是可选的。在WAP体系结构中，安全层协议由无线传输层安全层(WTLS)提供。无线传输层安全层直接工作在传输协议层之上，为WAP的上层协议提供安全服务传输接口。WTLS规范致力于解决以下几个问题：存储/内存容量有限，低带宽，处理能力低，延迟时间长或不可预测。WTLS的目的是通过使用证书和加密提供认证、保密和数据完整性。虽然这个规范是基于IETF传输层安全(TLS)1.0规范的，但它针对前面讨论的无线网络局限性进行了优化。表15-1列出了WTLS所增加的一些功能特性27。,表15-1 WTLS增加的功能特性,目前，许多运行在移动设备上的应用程序包含敏感数据。虽然许多移动网络操作员会对流量进行加密，但这种加密是不一致的，而且也不能保证端到端的安全。WTLS在协议端点之间提供端到端的安全。在WAP的情况下，协议端点是移动设备或WAP网关。如果协议端点是可信的，那么连接就是安全的。注意WAP本身并不能提供完全的端到端安全。和蓝牙一样，如果需要端到端的安全，就需要上层应用或协议来实现。,WTLS在和服务器的握手过程中建立安全参数。在握手过程中，客户端和服务器就认证和加密的需求、采用的加密方法、客户端可接受的证书和其它一些非默认的参数达成一致。这些参数首先由客户端发送给服务器。服务器选择可接受的参数并请求来自客户端的认证。,在许多情况下，由于移动设备的局限性，客户端只能采用少量的加密机制和接受某些类型的证书，而服务器由于其处理能力、存储能力和内存较大，从而可以包容从不同的客户端传递过来的大量的不同参数。在握手过程中，客户端和服务器任何一方都可以中断连接。中断连接可能是由于一方不能接受另一方传递过来的参数，也可能是由于不支持，或是由于不能满足最小安全需求。 目前，WTLS有三种模式的安全：匿名认证、服务器认证和双向(客户和服务器)认证。,前面的章节提到过，认证是通过证书来完成的。广泛采用的证书有X.509v3、X9.68(X9.68作为WAP-261-WTLS规范仍在开发中)和WTLS证书。首先，客户端发送“Hello”消息启动握手过程。服务器同样用“Hello”消息来响应，紧跟着发送服务器证书消息。证书包括以下内容(列出的值是WAP-261-WTLS规范中定义的)：, 证书版本：值=1。 签名算法：用于对证书签名的算法。 证书发布者：注意，这必须是客户端信任的CA。 证书有效期的开始时间：UNIX 32比特格式。 证书有效期的结束时间：UNIX 32比特格式。 主体(Subject)：公钥拥有者。 公钥类型：公钥算法。 参数规范：与公钥有关的任何参数。 公钥。,为了优化客户端的网络带宽和处理能力，服务器可以只发送由CA私钥签名的证书。虽然在这种情况下需要客户端信任CA，但这可以省去在链路上发送整个密钥链的操作。客户端认证完服务器后，服务器可能要求认证客户端。这时，客户端可能会用其证书(如果有)、空白证书(没有证书的情况)或结束握手过程的告警消息来响应。随后，用来加密所有应用流量的主秘密通过RSA或Diffile-Hellman或椭圆Diffie-Hellman算法进行交换。,保密和数据完整性通过加密和消息认证码(MAC)来实施的。这些参数都是在握手过程中协商的。客户端发送其支持的加密算法和MAC算法列表。列表的第一对组合是客户端的第一选择。服务器将在这些组合中进行选择，尽量使用客户端和服务器同时支持的最好的组合。如果找不到可接受的组合，握手过程失败。WAP依赖于现有的加密算法，如DES、3DES、RC5和IDEA，这些都是分组加密算法。数据完整性是由MAC完成的。MAC采用知名的算法，包括SHA和MD5。由于性能的原因，WAP标准可以使用SHA_XOR_40算法，这个算法是专门为处理能力有限的设备优化的。,15.4.2 保护WAP 虽然由于性能原因，实现WTLS安全的协议是一种流水线(Streamline)方式，但它仍是一种可靠的解决方案。许多与WAP相关的安全风险来自于这种体系结构的不安全实现。使用无线应用协议的应用程序中存在的最大风险是所谓的“Gap in WAP”。这个问题出现在WAP网关上，这是由于WTLS中的加密和保密只存在协议端点之间，而不是应用程序端点之间。,对于典型的WAP网关配置，在手持/无线设备和WAP网关之间才使用WTLS数据加密。在WAP网关，数据必须解密，然后再重新加密(典型的是采用SSL加密)。漏洞就在于在这个过程中，WAP网关内存中的数据是未加密的。此外，WAP安全模型中的无线设备是通过数字证书认证WAP网关的，而不是认证终端应用服务器的。,在这个技术的最初阶段，无线运营商在其网络上提供WAP网关。网关接收到通信流后，通过虚拟专用网(VPN)或采用SSL把通信流发送到企业/服务供应商的网络上。这个早期的模型依赖于服务供应商实施的物理和逻辑的安全。服务提供商实施这些安全来保护数据，数据在转发之前要进行解密和重新加密。由于电子商务对于一个组织越来越至关重要，因而在无线链路上传输的数据也越来越敏感，所以该组织自身必须对无线通信担当端到端安全的责任。图15-3给出了几种通过无线广域网实现移动通信安全的解决方案。,图15-3 移动应用体系结构,该图在配置上有多种可能的变化。最初的配置是在中间的网关，如移动网络的WAP网关上终止安全连接。更安全一点的配置是把WAP网关放在组织可以控制的区域内。与WAP网关一起配置的还包括专用设备的实现，包括Palm、PocketPC和RIM。由于这些设备具有强大的处理能力和内存/存储容量，因而它们可以使用更强的认证和加密方法。例如，PocketPC内置就支持SSL；Palm设备可以使用大量的加密算法，包括ECC和DESX。因此，具体移动设备不同，其可提供的安全解决方案也会不同。,在规划一个基于WAP的体系结构时，组织应该把WAP网关放在一个可信的环境中。对大部分组织而言，这意味着把WAP网关放置在防火墙之内要么在非军事区(DMZ)/网络边界，要么在公司内部网。在某些情况下，也可能把WAP网关直接放在Web服务器上。这将极大地降低WAP网关不安全性带来的风险。服务器所能保证的安全等级是组织内无线通信数据的安全保密级别的关键因素。,WAP规范还有一些额外的安全措施来进一步保护链路。大部分解决方案本质上是专用的，用户前台(无线设备上的WAP浏览器)和后台都是定制实现的。从这些实现中学到的教训和正在进行的WAP标准化工作都将最终提高实现的安全性。,15.5 无线局域网的安全,无线局域网(WLAN)是现有有线LAN的扩展，它采用无线电波而不是铜电缆或光纤来传输数据。通过无线电通信，可以在短距离上把数据以高传输速率传送到具有无线电接收和发射能力的设备上。这就使得这些设备就像局域网上的其它有线设备一样。本节将讨论WLAN的拓扑结构、工作原理和安全机制。,IEEE 802.11b(http:/grouper.ieee.org/groups/802/11/)是当前使用最为广泛的、用于建立无线局域网的协议，通常称为IEEE 802.11b 标准。802.11b标准对无线信号的使用频率、带宽、传输速率以及各无线端点之间的通信方式进行了定义。,802.11b信号工作在 2.40002.4835 GHz频率范围内。其理论上的、最大传输速率可以达到11 Mb/s，实际的传输速率大约为46 Mb/s，在信号质量更好的情况下，可以达到5.5 Mb/s。802.11b使用直扩序列无线信号(Direct Sequence Spread Spectrum，DSSS)，相对应的是频率捷变扩谱(Frequency Hopping Spread Spectrum)，这是最初802.11协议规范的一部分。DSSS允许更高的传输率，但是更容易受到无线信号的干扰。,有趣的是，很多基于DSSS的802.11产品可以同目前的802.11b网络互操作，不过其传输速率只能是工作在802.11的2 Mb/s或者1 Mb/s。无线终端的覆盖区域依赖于天线强度以及当时的工作环境，典型的办公环境下为75150英尺(1英尺约等于30厘米)。,15.5.1 无线拓扑结构(Wireless Topologies) 最简单的无线局域网只要利用两台带有无线网卡的计算机就可以组成所谓的对等(peer-to-peer)网络。复杂的无线网络可以包括成千上百台计算机，它们之间的互相通信通过多路访问点(Multiple Access Points)来实现，访问点(AP)实现无线网络内数据同有线以太局域网内数据的交换，我们称这种拓扑结构为基础模式(Infrastructure Mode)，见图15-4。,前面一种情况我们称之为特别(AD-Hoc)无线网络，同Windows 系统中的对等网络相类似。在一个AD-Hoc无线网络中，参与通信的双方的关联(Association)是通过一个公共网络标识符(Common Network Identifier)来实现的。关联一旦成功，它们就可以共享文件和其它资源，就如同在有线环境下的对等网络一样。,图15-4 WLAN的拓扑结构,无线对等网的缺点同有线对等网的缺点是一样的：难于管理和可伸缩性差。虽然建立网络很方便，但是随着网络节点数目的增多，管理变得越来越难。我们建议AD-Hoc网络只用于小型网络。在这种网络中，使用上的便利性占主导地位，而对安全性的要求不是很高。不过在某些临时场合当中，大型的对等网也能发挥其方便、快捷的作用。事实上，在2001年秋季召开的因特尔开发者论坛(Intel Developer Forum)上，就看到了这种AD-Hoc网络，它在几十秒的短时间内使得500名与会代表的计算机都连到了同一个网络当中。,15.5.2 基本和扩展服务集(Basic and Extended Service Sets) 在大型可管理网络拓扑结构中，多个802.11b 终端通过一个AP连接到有线网络。最简单的情形就是：一个AP同一个或者多个无线客户形成关联，并完成客户同有线以太网络的桥接功能。这种方式通常称为基本服务集(Basic Service Set, BSS)，如图15-5所示。,图15-5 基本服务集,一个移动客户离AP的距离越远，它所接收到的无线信号强度就越小。正如前面所述，结果只能是系统传输速率下降。为了增加无线网络的覆盖范围，我们可以采取增加AP站点密度这一策略。这种情况我们称之为扩展服务集(Extended Service Set ，ESS)，其定义为两个或者多个AP分别同特定的有线以太网和它们各自关联的无线客户进行连接，如图15-6所示。,图15-6 扩展服务集,无线网络实现的第一个阶段是仔细评估目前的网络状态以及使用无线技术所要达到的目的。我们首先概要性地描述组网技术，更详细的讨论见后续几个小节。 首先，必须规划网络所要使用的组，如所有的员工、销售人员、顾客等等。另外，还要考虑每种用户所能够访问的资源、总的访问人数、同时访问各个访问点的人数、各自的带宽需求，同样还要考虑无线网络的环境特性、用户的移动性等。,对于数据敏感的应用环境，还需要确定所传输数据的安全等级，以及对使用无线网络和网络资源的客户端用户的认证方法。 另外，一个需要重点考虑的问题是无线网络的管理。许多企业的无线网络产品支持基本的监视功能(使用SNMP)，例如HP OpenView的网络管理平台。但仍然有许多任务，如组件更新，需要通过手工来完成。在策划整个无线网络时应确保为这些任务分配适当的资源。,在配置一个无线网络之前，有必要制订详尽的计划。无线网络有可能对其它网络基础设施产生潜在的影响，所以对任何这种潜在的威胁都应当尽量避免并改进它们。例如，在一种网络环境中，我们经常使用来自不同厂家的交换机和路由器，因而就必须确保所安装的无线设备能够在这种环境下正常工作。惟一的方法就是事先进行某些测试和评估。建议采用分阶段的方法实施整个网络组建过程，特别是在组建一个普遍适用的网络时。,我们可以从组建一个测试网络开始，从而初步推算出整个工程的实现方法。这样的一个测试网络对于验证新设备在当前工作环境下的运行情况是很关键的。 有了这些知识：用户数目、预期带宽和漫游频率，我们就可以在无线网络需求和物理实现之间寻求匹配。这是通过对实际网络的调查来完成的，主要包括建筑物的布局和AP的最优地理位置和密度，这些都必须以最大化客户连接和带宽为准则。,1建筑物的影响(Building Walkthrough) 为了确保测量的精确性，我们必须掌握网络周围各个建筑物的设计图。许多无线销售商在他们的硬件设备中都提供了测量工具。这些工具可以运行在安装有无线网卡的笔记本电脑上，它们有助于测量整个网络环境的无线电传播特性，可以显示信号强度和质量以及数据包的丢失率，如图15-7所示。,图15-7 客户端软件显示当前的信号质量,图15-8 重叠覆盖,下一步是确定所需要的AP数量以及最佳的安放位置。其中，一个重要的设计目标是保证在不同区域之间漫游的用户有足够的覆盖范围和带宽，同时又不至于安装太多的访问点。同样，对站点的调查可以帮助我们确定什么区域有最好的覆盖质量或者什么地方的信号因为干扰有丢失现象。注意，应当确保各个覆盖区域之间有轻微的重叠，不留任何连接上的缝隙，如图15-8所示。,如果在同一个区域内有许多用户，那么每个AP的11 Mb/s吞吐量将很快被用完。通过放置多个其覆盖区域互相重叠的AP，就可以给用户提供超过11 Mb/s的累计吞吐量，如图15-9所示。虽然多个客户的总吞吐率可以超过11 Mb/s，但单个用户的速度仍然无法超过11 Mb/s，这依赖于AP数目。,图15-9 吞吐量的重叠,2障碍物对信号质量的影响(Obstructions That Affect Signal Quality) 正如前面所述，对网络所在的站点位置进行调查和研究可以帮助我们识别那些导致信号强度降低的条件，如路径损耗，多径损耗或者来自其它无线发射机的干扰。,路径损耗(Path Loss)出现在发射机和接收机，或AP和终端之间，表现为信号强度随着距离的增加而减小。简而言之，即离AP越远，信号就越弱，传输速率就越低。对路径损耗有影响的物体包括天花板、墙壁或者卧室，特别是所使用的建筑材料。例如，无线信号在穿透干墙时其损耗适当，但对于钢墙则完全不能通过。水能够吸收许多无线信号，所以必须注意鱼缸或其它含水的地质环境。其它不是很明显的物体有植物的叶子和人体，这些都可以严重影响802.11b的性能。,如果在室外实现整个网络，那么务必对周围植被进行调查，否则一到春天，你将会发现信号强度严重下降。室外的干墙壁在下雨天变湿以后也会引起路径损耗。另外一种情况就是彩色玻璃对信号强度的影响。根据北卡罗来纳大学的Jim Gogan(http:/www.unc.edu/gogan/)研究显示，彩色玻璃也会吸收无线电波，它将有效地降低信号强度和带宽。要克服这些环境因素导致的信号损耗，就必须增加这些区域的访问点覆盖范围和密度。,多径损耗(Multipath Loss)是由于信号从发射源传播到目的地时经过了多条通路而引起的无序造成的，结果是多个信号的到达时间存在差异，使得RF等价于Moire模式。这将额外增加AP的计算负载，因为它必须重建信号。这也是802.11b协议规范的一部分。减小上述影响无线信号传播的物体数量有助于减少路径损耗和多径损耗。,3天线选择(Antenna Selection) 使用目前符合大多数无线网络标准的分集接收天线可以帮助降低多径损耗数值。基站的分集接收天线包含两个天线单元。由于两个天线单元之间的距离很近，因此降低了多径损耗的负面影响，这将大大提高信号强度。,另外一种有效的方法是使用高增益天线或者购买提供了BNC天线连接头选项的AP。通过这个BNC连接头，我们可以选择最匹配网络环境的天线类型，增强信号强度。 还有一种方法就是在差的覆盖区域使用单向天线。例如，针对街对面的某幢办公楼，我们可以使用单向天线来增加信号强度。单向天线可以在某个方向上获得最大增益和功率。,4无线干扰(Radio Interference) 当其它设备也工作在802.11b的频率范围时，就可能出现无线信号干扰，引起网络性能下降。2.4 GHz无绳电话、微波炉和蓝牙联网设备都工作在802.11b所规定的频率范围内，如果它们和网络设备同时运行，那么将由于发生数据包碰撞而导致数据重传，网络性能下降。AP的放置原则是尽量最小化来自相邻发射机的干扰。在给定区域内，这主要通过减少AP之间的距离或者增加AP的数目来实现。,5CSMA/CA 即使没有出现上述同时发送数据包的情形，网络性能也会受到影响，这是因为802.11b设备必须等到没有其它站点发送数据时才发送数据，以避免数据包丢失。有线以太网使用带碰撞检测的载波侦听多路访问技术(CSMA/CD)来分辨是否有两个设备在同时发送数据包。如果有，则产生一个碰撞信号，并等待一个随机时间间隔，然后重新准备发送。但是这只能工作在网络设备能够同时发送和侦听线路的环境中。,由于无线设备无法做到这一点，因此它们采用了一种稍微不同的方法，称为带碰撞避免的载波侦听多路访问技术(CSMA/CA)。CSMA/CA 使用四次握手过程来确定是否可以发送信号。首先，发起节点发送一个Request To Send (RTS) 包给目标节点。第二步，如果目标节点接收到这个包并准备好接收，那么就以一个Clear To Send (CTS)包进行应答。第三步，在接收到CTS包以后，发送节点发送数据给目标节点。最后，目标节点对每个接