1、第9章 無(wú)線網(wǎng)絡(luò)安全,9.1 無(wú)線網(wǎng)絡(luò)技術(shù)概述 9.2無(wú)線網(wǎng)絡(luò)的安全問(wèn)題 9.3無(wú)線網(wǎng)絡(luò)的WEP機(jī)制 9.4無(wú)線VPN技術(shù) 9.5 藍(lán)牙安全,9.1 無(wú)線網(wǎng)絡(luò)技術(shù)概述 9.1.1 無(wú)線局域網(wǎng)的優(yōu)勢(shì) 9.1.2 無(wú)線局域網(wǎng)規(guī)格標(biāo)準(zhǔn) 9.1.3 無(wú)線網(wǎng)絡(luò)設(shè)備,9.1 無(wú)線網(wǎng)絡(luò)技術(shù)概述,所謂的無(wú)線網(wǎng)絡(luò)(Wireless LAN / WLAN)，是指用戶以電腦透過(guò)區(qū)域空間的無(wú)線網(wǎng)卡(Wireless Card / PCMCIA卡)結(jié)合存取橋接器(Access Point)進(jìn)行區(qū)域無(wú)線網(wǎng)絡(luò)連結(jié)，再加上一組無(wú)線上網(wǎng)撥接賬號(hào)即可上網(wǎng)進(jìn)行網(wǎng)絡(luò)資源的利用。 簡(jiǎn)單地說(shuō)，無(wú)線局域網(wǎng)與一般傳統(tǒng)的以太網(wǎng)絡(luò)（Ethern

2、et）的概念并沒(méi)有多大的差異，只是無(wú)線局域網(wǎng)將用戶端接取網(wǎng)絡(luò)的線路傳輸部分轉(zhuǎn)變成無(wú)線傳輸之形式，但是卻具備有線網(wǎng)絡(luò)缺乏的行動(dòng)性，然而之所以稱其是局域網(wǎng)，則是因?yàn)闀?huì)受到橋接器與電腦之間距離的遠(yuǎn)近限制而影響傳輸范圍，所以必須要在區(qū)域范圍內(nèi)才可以連上網(wǎng)絡(luò)。,9.1.1 無(wú)線局域網(wǎng)的優(yōu)勢(shì),1.無(wú)線局域網(wǎng)不須要受限于網(wǎng)絡(luò)可連線端點(diǎn)數(shù)之多寡，就可輕松地在無(wú)線局域網(wǎng)中增加新的使用者數(shù)目； 2.使用無(wú)線局域網(wǎng)時(shí)不必受限于網(wǎng)絡(luò)線的長(zhǎng)短與插槽，節(jié)省有線網(wǎng)絡(luò)布線的人力與物力成本，從此擺脫被網(wǎng)絡(luò)線糾纏的夢(mèng)魘； 3.相較于時(shí)下流行的GPRS手機(jī)與CDMA手機(jī)，無(wú)線局域網(wǎng)具有高速寬頻上網(wǎng)的特性，它可提供11 Mbps，約

3、200倍于一般調(diào)制解調(diào)器（Modem 56Kbps）的傳輸速度，可滿足使用者對(duì)大量的圖像、影音傳輸?shù)男枨螅?4.對(duì)于上班族與經(jīng)常需要離開辦公座位開會(huì)的主管人員來(lái)說(shuō)，使用無(wú)線局域網(wǎng)就可不用再擔(dān)心找不到上網(wǎng)的插座。此外，透過(guò)無(wú)線局域網(wǎng)，使用者可以在信號(hào)涵蓋的范圍內(nèi)自由的筆記本電腦等設(shè)備，隨時(shí)隨地的與網(wǎng)絡(luò)保持連結(jié)； 5.除了“無(wú)線”可以免去實(shí)體網(wǎng)絡(luò)線布線的困擾之外，另外，在網(wǎng)絡(luò)發(fā)生錯(cuò)誤的時(shí)候，也不用慢慢尋找出損壞的線路，只要檢查訊號(hào)發(fā)送與接收端的訊號(hào)是否正常即可。,9.1.2 無(wú)線局域網(wǎng)規(guī)格標(biāo)準(zhǔn),1.802.11b規(guī)格 2.802.11a規(guī)格 3.HyperLAN規(guī)格 4.藍(lán)牙(Bluetooth)

4、技術(shù),9.1.3 無(wú)線網(wǎng)絡(luò)設(shè)備,1.無(wú)線AP,2.無(wú)線路由器,3.無(wú)線網(wǎng)卡,9.2無(wú)線網(wǎng)絡(luò)的安全問(wèn)題,9.2.1 無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)的安全性 9.2.2 無(wú)線網(wǎng)絡(luò)安全性的影響因素 9.2.3 無(wú)線網(wǎng)絡(luò)常見的攻擊 9.2.4 無(wú)線網(wǎng)絡(luò)安全對(duì)策,9.2.1 無(wú)線網(wǎng)絡(luò)標(biāo)準(zhǔn)的安全性,IEEE 802.11b標(biāo)準(zhǔn)定義了兩種方法實(shí)現(xiàn)無(wú)線局域網(wǎng)的接入控制和加密：系統(tǒng)ID(SSID)和有線對(duì)等加密(WEP)。 1.認(rèn)證,圖9-6共享密鑰認(rèn)證,2.WEP WEP的目標(biāo)是： 接入控制：防止未授權(quán)用戶接入網(wǎng)絡(luò)，他們沒(méi)有正確的WEP密鑰。 加密：通過(guò)加密和只允許有正確WEP密鑰的用戶解密來(lái)保護(hù)數(shù)據(jù)流。 IEEE 802.1

5、1b標(biāo)準(zhǔn)提供了兩種用于無(wú)線局域網(wǎng)的WEP加密方案。 第一種方案可提供四個(gè)缺省密鑰以供所有的終端共享包括一個(gè)子系統(tǒng)內(nèi)的所有接入點(diǎn)和客戶適配器。當(dāng)用戶得到缺省密鑰以后，就可以與子系統(tǒng)內(nèi)所有用戶安全地通信。缺省密鑰存在的問(wèn)題是當(dāng)它被廣泛分配時(shí)可能會(huì)危及安全。 第二種方案中是在每一個(gè)客戶適配器建立一個(gè)與其他用戶聯(lián)系的密鑰表。該方案比第一種方案更加安全，但隨著終端數(shù)量的增加給每一個(gè)終端分配密鑰很困難。,9.2.2 無(wú)線網(wǎng)絡(luò)安全性的影響因素,1.硬件設(shè)備 2.虛假接入點(diǎn) 3.其他安全問(wèn)題,認(rèn)證的全部過(guò)程,9.2.3 無(wú)線網(wǎng)絡(luò)常見的攻擊,1.WEP中存在的弱點(diǎn) （1）整體設(shè)計(jì)：在無(wú)線環(huán)境中，不使用保密措施是

6、具有很大風(fēng)險(xiǎn)的，但WEP協(xié)議只是802.11設(shè)備實(shí)現(xiàn)的一個(gè)可選項(xiàng)。 （2） 加密算法：WEP中的IV（Initialization Vector，初始化向量）由于位數(shù)太短和初始化復(fù)位設(shè)計(jì)，容易出現(xiàn)重用現(xiàn)象，從而被人破解密鑰。而對(duì)用于進(jìn)行流加密的RC4算法，在其頭256個(gè)字節(jié)數(shù)據(jù)中的密鑰存在弱點(diǎn)，目前還沒(méi)有任何一種實(shí)現(xiàn)方案修正了這個(gè)缺陷。此外用于對(duì)明文進(jìn)行完整性校驗(yàn)的CRC（Cyclic Redundancv Check，循環(huán)冗余校驗(yàn)）只能確保數(shù)據(jù)正確傳輸，并不能保證其未被修改，岡而并不是安全的校驗(yàn)碼。 （3）密鑰管理：802.11標(biāo)準(zhǔn)指出， WEP使用的密鑰需要接受一個(gè)外部密鑰管理系統(tǒng)的控制。

7、通過(guò)外部控制?？梢詼p少Iv的沖突數(shù)量，使得無(wú)線網(wǎng)絡(luò)難以攻破。但問(wèn)題在于這個(gè)過(guò)程形式非常復(fù)雜，并且需要手工操作。因而很多網(wǎng)絡(luò)的部署者更傾向于使用缺省的WEP密鑰，這使黑客為破解密鑰所作的工作量大大減少了。另一些高級(jí)的解決方案需要使用額外資源，如RADIUS和Cisco的LEAP，其花費(fèi)是很昂貴的。 （4）用戶行為：許多用戶都不會(huì)改變?nèi)笔〉呐渲眠x項(xiàng)，這令黑客很容易推斷出或猜出密鑰。,2.執(zhí)行搜索 NetStumbler 是第一個(gè)被廣泛用來(lái)發(fā)現(xiàn)無(wú)線網(wǎng)絡(luò)的軟件。據(jù)統(tǒng)計(jì)，有超過(guò)50的無(wú)線網(wǎng)絡(luò)是不使用加密功能的。通常即使加密功能處于活動(dòng)狀態(tài)，AP（wireless Access Point，無(wú)線基站）廣播

8、信息中仍然包括許多可以用來(lái)推斷出WEP密鑰的明文信息，如網(wǎng)絡(luò)名稱、SSID（Secure Set Identife ，安全集標(biāo)識(shí)符）等。,3.竊聽、截取和監(jiān)聽,竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式。它是以被動(dòng)和無(wú)法覺(jué)察的方式人侵檢測(cè)設(shè)備的。即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網(wǎng)絡(luò)工具，如Eth real 和TCPDump來(lái)監(jiān)聽和分析通信量，從而識(shí)別出可以破壞的信息。使用虛擬專用網(wǎng)、SSL（Secure Sockets Lave 安全套接字層）和SSH（Secure Shel1）有助于防止無(wú)線攔截。,4.欺騙和非授權(quán)訪問(wèn),因?yàn)門CP/IP協(xié)議的設(shè)計(jì)原

9、因，幾乎無(wú)法防止MACIP地址欺騙。只有通過(guò)靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是，因?yàn)榫薮蟮墓芾碡?fù)擔(dān)，這種方案很少被采用。只有通過(guò)智能事件記錄和監(jiān)控日志才可以對(duì)付已經(jīng)出現(xiàn)過(guò)的欺騙。當(dāng)試圖連接到網(wǎng)絡(luò)上的時(shí)候，簡(jiǎn)單地通過(guò)讓另外一個(gè)節(jié)點(diǎn)重新向AP提交身份驗(yàn)證請(qǐng)求就可以很容易地欺騙無(wú)線網(wǎng)身份驗(yàn)證。許多無(wú)線設(shè)備提供商允許終端用戶通過(guò)使用設(shè)備附帶的配置工具，重新定義網(wǎng)卡的 MAC地址。使用外部雙因子身份驗(yàn)證，如RADIUS或SecurID，可以防止非授權(quán)用戶訪問(wèn)無(wú)線網(wǎng)及其連接的資源，并且在實(shí)現(xiàn)的時(shí)候，應(yīng)該對(duì)需要經(jīng)過(guò)強(qiáng)驗(yàn)證才能訪問(wèn)資源的訪問(wèn)進(jìn)行嚴(yán)格的限制。,5.網(wǎng)絡(luò)接管與篡改,同樣因?yàn)門CP/I

10、P協(xié)議設(shè)計(jì)的原因，某些技術(shù)可供攻擊者接管與其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個(gè)AP，那么所有來(lái)自無(wú)線網(wǎng)的通信量都會(huì)傳到攻擊者的機(jī)器上，包括其他用戶試圖訪問(wèn)合法網(wǎng)絡(luò)主機(jī)時(shí)需要使用的密碼和其他信息。欺詐AP可以讓攻擊者從有線網(wǎng)或無(wú)線網(wǎng)進(jìn)行遠(yuǎn)程訪問(wèn)，而且這種攻擊通常不會(huì)引起用戶的重視，用戶通常是在毫無(wú)防范的情況下輸人自己的身份驗(yàn)證信息，甚至在接到許多SSL錯(cuò)誤或其他密鑰錯(cuò)誤的通知之后，仍像是看待自己機(jī)器上的錯(cuò)誤一樣看待它們，這讓攻擊者可以繼續(xù)接管連接，而不必?fù)?dān)心被別人發(fā)現(xiàn)。,6.拒絕服務(wù)攻擊,無(wú)線信號(hào)傳輸?shù)奶匦院蛯ｉT使用擴(kuò)頻技術(shù)，使得無(wú)線網(wǎng)絡(luò)特別容易受到DoS（Denial of Servi

11、ce，拒絕服務(wù)）攻擊的威脅。拒絕服務(wù)是指攻擊者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源，使得合法用戶無(wú)法獲得這些資源。要造成這類的攻擊，最簡(jiǎn)單的辦法是通過(guò)讓不同的設(shè)備使用相同的頻率，從而造成無(wú)線頻譜內(nèi)出現(xiàn)沖突。另一個(gè)可能的攻擊手段是發(fā)送大量非法（或合法）的身份驗(yàn)證請(qǐng)求。第三種手段，如果攻擊者接管AP，并且不把通信量傳遞到恰當(dāng)?shù)哪康牡?，那么所有的網(wǎng)絡(luò)用戶都將無(wú)法使用網(wǎng)絡(luò)。為了防止DoS攻擊，可以做的事情很少。無(wú)線攻擊者可以利用高性能的方向性天線，從很遠(yuǎn)的地方攻擊無(wú)線網(wǎng)。已經(jīng)獲得有線網(wǎng)訪問(wèn)權(quán)的攻擊者，可以通過(guò)發(fā)送多達(dá)無(wú)線AP無(wú)法處理的通信量來(lái)攻擊它。此外為了獲得與用戶的網(wǎng)絡(luò)配置發(fā)生沖突的網(wǎng)絡(luò)，只要利用Ne

12、tStumbler就可以做到。,7.惡意軟件 憑借技巧定制的應(yīng)用程序，攻擊者可以直接到終端用戶上查找訪問(wèn)信息，例如訪問(wèn)用戶系統(tǒng)的注冊(cè)表或其他存儲(chǔ)位置，以便獲取WEP密鑰并把它發(fā)送回到攻擊者的機(jī)器上。注意讓軟件保持更新，并且遏制攻擊的可能來(lái)源（Web瀏覽器、電子郵件、運(yùn)行不當(dāng)?shù)姆?wù)器服務(wù)等），這是唯一可以獲得的保護(hù)措施。 8.偷竊用戶設(shè)備 只要得到了一塊無(wú)線網(wǎng)網(wǎng)卡，攻擊者就可以擁有一個(gè)無(wú)線網(wǎng)使用的合法MAC地址。也就是說(shuō)，如果終端用戶的筆記本電腦被盜，他丟失的不僅僅是電腦本身，還包括設(shè)備上的身份驗(yàn)證信息，如網(wǎng)絡(luò)的SSID 及密鑰。而對(duì)于別有用心的攻擊者而言，這些往往比電腦本身更有價(jià)值。,9.2.

13、4 無(wú)線網(wǎng)絡(luò)安全對(duì)策,1.分析威脅 2.設(shè)計(jì)和部署安全網(wǎng)絡(luò) 3.實(shí)現(xiàn)WEP 4.過(guò)濾MAC 5.過(guò)濾協(xié)議 6.使用封閉系統(tǒng)和網(wǎng)絡(luò) 7.分配IP 8.使用VPN,9.3無(wú)線網(wǎng)絡(luò)的WEP機(jī)制,9.3.1 WEP機(jī)制簡(jiǎn)介 9.3.2 WEP在無(wú)線路由器上的應(yīng)用,9.3.1 WEP機(jī)制簡(jiǎn)介,1.什么是WEP WEP（Wired Equivalent Privacy）無(wú)線等效保密協(xié)議是由802.11 標(biāo)準(zhǔn)定義的，是最基本的無(wú)線安全加密措施，用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)，其主要用途是： （1）提供接入控制，防止未授權(quán)用戶訪問(wèn)網(wǎng)絡(luò)； （2）WEP 加密算法對(duì)數(shù)據(jù)進(jìn)行加密，防止數(shù)據(jù)被攻擊者竊聽； （3）防

14、止數(shù)據(jù)被攻擊者中途惡意篡改或偽造。,2.WEP的原理,WEP加密的算法如圖所示，過(guò)程如下：,3.WEP的缺陷,（1）缺少密鑰管理 用戶的加密密鑰必須與AP的密鑰相同，并且一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一把密鑰。WEP標(biāo)準(zhǔn)中并沒(méi)有規(guī)定共享密鑰的管理方案，通常是手工進(jìn)行配置與維護(hù)。由于同時(shí)更換密鑰的費(fèi)時(shí)與困難，所以密鑰通常長(zhǎng)時(shí)間使用而很少更換，倘若一個(gè)用戶丟失密鑰，則將殃及到整個(gè)網(wǎng)絡(luò)。 （2）ICV算法不合適 WEP ICV是一種基于CRC-32 的用于檢測(cè)傳輸噪音和普通錯(cuò)誤的算法。CRC-32 是信息的線性函數(shù)，這意味著攻擊者可以篡改加密信息，并很容易地修改ICV，使信息表面上看起來(lái)是可信的。能

15、夠篡改即加密數(shù)據(jù)包使各種各樣的非常簡(jiǎn)單的攻擊成為可能。 （3）RC4算法存在弱點(diǎn) 在RC4中，人們發(fā)現(xiàn)了弱密鑰。所謂弱密鑰，就是密鑰與輸出之間存在超出一個(gè)好密碼所應(yīng)具有的相關(guān)性。在24位的IV 值中，有9000多個(gè)弱密鑰。攻擊者收集到足夠的使用弱密鑰的包后，就可以對(duì)它們進(jìn)行分析，只須嘗試很少的密鑰就可以接入到網(wǎng)絡(luò)中。,9.3.2 WEP在無(wú)線路由器上的應(yīng)用,1.無(wú)線路由器配置,單獨(dú)密鑰的使用,MAC地址過(guò)濾功能開啟顯示,IPconfig/all命令執(zhí)行結(jié)果,網(wǎng)卡TL-WN620G的配置,用戶配置文件管理高級(jí)選項(xiàng),用戶配置文件管理安全選項(xiàng),設(shè)置共享密鑰,網(wǎng)卡和無(wú)線路由器建立連接界面,9.4無(wú)線V

16、PN技術(shù),9.4.1 無(wú)線VPN技術(shù) 9.4.2 Win2003的VPN服務(wù)器搭建,9.4.1 無(wú)線VPN技術(shù),1.什么是VPN？ 虛擬專用網(wǎng)（VPN，Virtual Private Network）是一種利用公共網(wǎng)絡(luò)來(lái)構(gòu)建的私人專用網(wǎng)絡(luò)技術(shù)，不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。,2.VPN的安全性,（1）隧道技術(shù) （2）加解密技術(shù) （3）密鑰管

17、理技術(shù) （4）使用者與設(shè)備身份認(rèn)證技術(shù),3.VPN網(wǎng)絡(luò)的可用性,通過(guò)VPN，企業(yè)可以以更低的成本連接遠(yuǎn)程辦事機(jī)構(gòu)、出差人員以及業(yè)務(wù)合作伙伴關(guān)鍵業(yè)務(wù)。虛擬網(wǎng)組成之后，遠(yuǎn)程用戶只需擁有本地ISP的上網(wǎng)權(quán)限，就可以訪問(wèn)企業(yè)內(nèi)部資源，這對(duì)于流動(dòng)性大、分布廣泛的企業(yè)來(lái)說(shuō)很有意義，特別是當(dāng)企業(yè)將VPN服務(wù)延伸到合作伙伴方時(shí)，便能極大地降低網(wǎng)絡(luò)的復(fù)雜性和維護(hù)費(fèi)用。 VPN技術(shù)的出現(xiàn)及成熟為企業(yè)實(shí)施ERP、財(cái)務(wù)軟件、移動(dòng)辦公提供了最佳的解決方案。 一方面，VPN利用現(xiàn)有互聯(lián)網(wǎng)，在互聯(lián)網(wǎng)上開拓隧道，充分利用企業(yè)現(xiàn)有的上網(wǎng)條件，無(wú)需申請(qǐng)昂貴的DDN專線，運(yùn)營(yíng)成本低。另一方面，VPN利用IPSEC等加密技術(shù)，使在通

18、道內(nèi)傳輸?shù)臄?shù)據(jù)，有著高達(dá)168位的加密措施，充分保證了數(shù)據(jù)在VPN通道內(nèi)傳輸?shù)陌踩浴?4.VPN網(wǎng)絡(luò)的可管理性,隨著技術(shù)的進(jìn)步，各種VPN軟硬件解決方案都包含了路由、防火墻、VPN網(wǎng)關(guān)等三方面的功能，企業(yè)或政府通過(guò)購(gòu)買VPN設(shè)備，達(dá)到一物多用的功效，既滿足了遠(yuǎn)程互聯(lián)的要求，而且還能在相當(dāng)程度上防止黑客的攻擊、并能根據(jù)時(shí)間、IP、內(nèi)容、Mac地址、服務(wù)內(nèi)容、訪問(wèn)內(nèi)容等多種服務(wù)來(lái)限制企業(yè)公司內(nèi)部員工上網(wǎng)時(shí)的行為，一舉多得。 VPN設(shè)備的安裝調(diào)試、管理、維護(hù)都極為簡(jiǎn)單，而且都支持遠(yuǎn)程管理，大多數(shù)VPN硬件設(shè)備甚至可通過(guò)中央管理器進(jìn)行集中式的管理維護(hù)。出差人員也可以通過(guò)客戶端軟件與中心的VPN設(shè)備建

19、立VPN通道，從而達(dá)到訪問(wèn)中心數(shù)據(jù)等資源的目的。讓互聯(lián)無(wú)處不在，極大地方便了企業(yè)及政府的數(shù)據(jù)、語(yǔ)音、視頻等方面的應(yīng)用。,9.4.2 Win2003的VPN服務(wù)器搭建,無(wú)線VPN拓?fù)浣Y(jié)構(gòu)圖,1.系統(tǒng)前期準(zhǔn)備工作,2.開啟VPN和NAT服務(wù),3.配置NAT服務(wù),VPN網(wǎng)關(guān)（PPTP）編輯服務(wù)設(shè)置,4.根據(jù)需要設(shè)置VPN服務(wù),WAN端口屬性,本地服務(wù)器IP設(shè)置,5.設(shè)置遠(yuǎn)程訪問(wèn)策略，允許指定用戶撥入,IP地址范圍設(shè)置,“計(jì)算機(jī)管理”對(duì)話框,添加用戶對(duì)話框,添加組對(duì)話框,6.設(shè)置動(dòng)態(tài)域名,我們把動(dòng)態(tài)域名放在這里來(lái)說(shuō)。因?yàn)橐话闫髽I(yè)接入互聯(lián)網(wǎng)應(yīng)該有固定IP，這樣客戶機(jī)便可隨時(shí)隨地對(duì)服務(wù)端進(jìn)行訪問(wèn)；而如果你

20、是家庭用戶采用的 ADSL寬帶接入的話，那一般都是每次上網(wǎng)地址都不一樣的動(dòng)態(tài)IP，所以需在VPN服務(wù)器上安裝動(dòng)態(tài)域名解析軟件，才能讓客戶端在網(wǎng)絡(luò)中找到服務(wù)端并隨時(shí)可以撥入。筆者常用的動(dòng)態(tài)域名解析軟件為：花生殼，可以在下載，其安裝及注意事項(xiàng)請(qǐng)參閱相關(guān)資料.,7.VPN客戶端配置,新建連接向?qū)?duì)話框,選擇連接類型對(duì)話框,選擇連接“虛擬專用網(wǎng)絡(luò)連接”對(duì)話框,連接名稱設(shè)置對(duì)話框,VPN連接窗口,VPN服務(wù)器選擇,9.5 藍(lán)牙安全,9.5.1藍(lán)牙應(yīng)用協(xié)議棧 （1）射頻協(xié)議（RF/Radio Protocol）：定義了藍(lán)牙發(fā)送器和接收器的各個(gè)參數(shù)，包括發(fā)送器的調(diào)制特性，接收器的靈敏度、抗干擾性能、互調(diào)特性

21、和接收信號(hào)強(qiáng)度指示等。 （2）基帶/鏈路控制協(xié)議（Baseband/LC Protocol）：定義了基帶部分協(xié)議和其他低層鏈路功能，是藍(lán)牙技術(shù)的核心。 （3）鏈路管理協(xié)議（LMP）：用于鏈路的建立、安全和控制，為此定義了許多過(guò)程來(lái)完成不同的功能。 （4）主機(jī)控制器接口（HCI：Host Controller Interface）協(xié)議：描述了主機(jī)控制接口功能上的標(biāo)準(zhǔn)，提供了一個(gè)基帶控制器和鏈路管理器（LM）得知硬件狀態(tài)和控制寄存器命令的接口，在藍(lán)牙中起著中間層的作用：向下給鏈路控制器協(xié)議和鏈路管理協(xié)議提供接口，提供一個(gè)訪問(wèn)藍(lán)牙基帶的統(tǒng)一方法。是在硬件和軟件都包含的部分。,（5）邏輯鏈路控制和適配

22、協(xié)議（L2CAP：Logical Link Control and Adaptation Protocol）：支持高層協(xié)議復(fù)用、幀的組裝和拆分、傳送QoS信息。L2CAP提供面各連接和非連接兩種業(yè)務(wù)，允許高層最多達(dá)64kbit/s的數(shù)據(jù)，以一種有限狀態(tài)機(jī)（FSM）的方式來(lái)進(jìn)行控制，目前只支持異步無(wú)連接鏈路（ACL）。 （6）服務(wù)發(fā)現(xiàn)協(xié)議（SDP：Service Discover Protocol）：如何發(fā)現(xiàn)藍(lán)牙設(shè)備所提供服務(wù)的協(xié)議，使高層應(yīng)用能夠得知可提供的服務(wù)。在兩個(gè)藍(lán)牙設(shè)備第一次通信時(shí)，需要通過(guò)SDP來(lái)了解對(duì)方能夠提供何種服務(wù)，并將自己可提供的服務(wù)通知對(duì)方。 （7）高層協(xié)議：包括串口通信協(xié)

23、議（RFCOMM）、電話控制協(xié)議（TCS）、對(duì)象交換協(xié)議（OBEX）、控制命令（AT-Command）、電子商務(wù)標(biāo)準(zhǔn)協(xié)議（vCard和vCalender）和PPP，IP，TCP，UDP等相關(guān)的Internet協(xié)議以及WAP協(xié)議。其中，串口通信協(xié)議是ETSI TS07.10標(biāo)準(zhǔn)的子集，并且加入了藍(lán)牙特有的部分；電話控制協(xié)議使用了一個(gè)以比特為基礎(chǔ)的協(xié)議，定義了在藍(lán)牙設(shè)備之間建立語(yǔ)音和數(shù)據(jù)呼叫的控制信令，對(duì)象交換協(xié)議提供了與IrDA協(xié)議系列相同的特性，并且使各種應(yīng)用可以在IrDA協(xié)議棧和藍(lán)牙協(xié)議棧上使用。,9.5.2藍(lán)牙系統(tǒng)安全性要求,（1）藍(lán)牙設(shè)備地址（BD_ADDR）：是一個(gè)對(duì)每個(gè)藍(lán)牙單元唯一的48位IEEE地址。 （2）個(gè)人確認(rèn)碼（PIN：Personal IdentificationNumber）：是由藍(lán)牙單元提供的1-16位（八進(jìn)制）數(shù)字，可以固定或者由用戶選擇。一般來(lái)講，這個(gè)PIN碼是隨單元一起提供的一個(gè)固定數(shù)字。但當(dāng)該單元有人機(jī)接口時(shí)，用戶可以任意選擇PIN的值，從而進(jìn)入通信單元。藍(lán)牙基帶標(biāo)準(zhǔn)中要求PIN的值是可以改變的。 （3）鑒權(quán)字：是長(zhǎng)度為128位的數(shù)字，用于系統(tǒng)的鑒