无线网络安全

1、http:/ http:/ n无线局域网的安全需要做好以下四方面的工无线局域网的安全需要做好以下四方面的工 作。作。 1强化无线节点的管理密码强化无线节点的管理密码 2禁止使用点对点工作模式禁止使用点对点工作模式 3拒绝广播无线网络标识符拒绝广播无线网络标识符 4采用加密法保护无线信号采用加密法保护无线信号 http:/ nwlan的安全技术的安全技术 (1)物理地址物理地址(mac)过滤过滤 (2)服务区标识符服务区标识符(ssid)匹配匹配 (3)有线对等保密有线对等保密(wep) (4)端口访问控制技术端口访问控制技术(ieee802.1x) (5)wpa(wi-fi接入保护接入保护)

2、(6)ieee 802.11i标准标准 (7)wapi http:/ nwlan安全策略的应用安全策略的应用 安全级别安全级别典型场合典型场合使用技术使用技术 初级安全初级安全 小型企业 家庭用户 wpa-psk+隐藏ssid+mac地址绑 定 中级安全中级安全 仓库物流 医院 学校 餐饮娱乐 ieee802.1x认证+tkip加密 专业级安全专业级安全 各类公共场合 网络运营商 大中型企业 金融机构 用户隔离技术ieee802.11i radius认证和计费+portal页 面推送 http:/ nwlan的安全威胁根源的安全威胁根源 由于无线局域网信道开放的特点，使得攻击者能由于无线局域网

3、信道开放的特点，使得攻击者能 够很容易的进行窃听，恶意修改并转发，因此安够很容易的进行窃听，恶意修改并转发，因此安 全性成为阻碍无线局域网发展的最重要因素。虽全性成为阻碍无线局域网发展的最重要因素。虽 然对无线局域网的需求不断增长，但同时也让许然对无线局域网的需求不断增长，但同时也让许 多潜在的用户因为不能够得到可靠的安全保护而多潜在的用户因为不能够得到可靠的安全保护而 对最终是否采用无线局域网系统而犹豫不决。对最终是否采用无线局域网系统而犹豫不决。 http:/ nwlan安全威胁种类安全威胁种类 未经授权的接入未经授权的接入 指的是在开放式的指的是在开放式的wlan系统中，非指定用户也可以

4、接入系统中，非指定用户也可以接入ap，导致合，导致合 法用户可用的带宽减少，并对合法用户的安全产生威胁。法用户可用的带宽减少，并对合法用户的安全产生威胁。 mac地址欺骗地址欺骗 对于使用了对于使用了mac地址过滤的地址过滤的ap,也可以通过抓取无线包，来获取合法用也可以通过抓取无线包，来获取合法用 户的户的mac地址，从而通过地址，从而通过ap的验证，来非法获取资源。的验证，来非法获取资源。 无线窃听无线窃听 对于对于wlan来说，所有的数据都是可以监听到的，无线窃听不仅可以窃来说，所有的数据都是可以监听到的，无线窃听不仅可以窃 听到听到ap和和sta的的mac，而且可以在网络间伪装一个，而

5、且可以在网络间伪装一个ap，来获取，来获取sta的的 身份验证信息。身份验证信息。 企业级入侵企业级入侵 相比传统的有线网络，相比传统的有线网络，wlan更容易成为入侵内网的入口。大多数企业更容易成为入侵内网的入口。大多数企业 的防火墙都在的防火墙都在wlan系统前方，如果黑客成功的攻破了系统前方，如果黑客成功的攻破了wlan系统，则系统，则 基本认为成功地进入了企业的内网，而有线网络黑客往往找不到合适的基本认为成功地进入了企业的内网，而有线网络黑客往往找不到合适的 接入点，只有从外网进行入侵。接入点，只有从外网进行入侵。 http:/ nwlan安全的技术标准安全的技术标准 机密性机密性 这

6、是安全系统的最基本要求，它可以为数据、语音、这是安全系统的最基本要求，它可以为数据、语音、 地址等提供保密性能，不同的用户，不同的业务和数地址等提供保密性能，不同的用户，不同的业务和数 据，有不同的安全级别要求。据，有不同的安全级别要求。 合法性合法性 只有被确定合法并给予授权的用户才能得到相应的服只有被确定合法并给予授权的用户才能得到相应的服 务。这需要用户身份和身份验证。务。这需要用户身份和身份验证。 数据完整性数据完整性 协议应保证用户数据的完整并鉴定数据来源。协议应保证用户数据的完整并鉴定数据来源。 http:/ nwlan安全的技术标准安全的技术标准 不可否认性不可否认性 数据的发送

7、方不能否认它发送过的信息，否则认为不合法；数据的发送方不能否认它发送过的信息，否则认为不合法； 访问控制：访问控制： 应在接入端对应在接入端对sta的的ip、mac等进行维护，控制其接入。等进行维护，控制其接入。 可用性可用性 wlan应该具有一些对用户接入、流量控制等一系列措施，使所应该具有一些对用户接入、流量控制等一系列措施，使所 有合法接入者得到较好的用户体验。有合法接入者得到较好的用户体验。 健壮性健壮性 一个一个wlan系统应该不容易崩溃系统应该不容易崩溃,具有较好的容错性及恢复机制具有较好的容错性及恢复机制 。 http:/ 9.1 9.1 无线网络技术概述无线网络技术概述 9.2

8、9.2无线网络的安全问题无线网络的安全问题 9.39.3无线网络的无线网络的wepwep机制机制 9.49.4无线无线vpnvpn技术技术 9.5 9.5 蓝牙安全蓝牙安全 http:/ 9.1 无线网络技术概述无线网络技术概述 9.1.1 无线局域网的优势无线局域网的优势 9.1.2 无线局域网规格标准无线局域网规格标准 9.1.3 无线网络设备无线网络设备 http:/ n所谓的无线网络所谓的无线网络(wireless lan / wlan)，是指用户以电，是指用户以电 脑透过区域空间的无线网卡脑透过区域空间的无线网卡(wireless card / pcmcia卡卡) 结合存取桥接器结合

9、存取桥接器(access point)进行区域无线网络连结，再进行区域无线网络连结，再 加上一组无线上网拨接账号即可上网进行网络资源的利用。加上一组无线上网拨接账号即可上网进行网络资源的利用。 n简单地说，无线局域网与一般传统的以太网络（简单地说，无线局域网与一般传统的以太网络（ethernet） 的概念并没有多大的差异，只是无线局域网将用户端接取网的概念并没有多大的差异，只是无线局域网将用户端接取网 络的线路传输部分转变成无线传输之形式，但是却具备有线络的线路传输部分转变成无线传输之形式，但是却具备有线 网络缺乏的行动性，然而之所以称其是局域网，则是因为会网络缺乏的行动性，然而之所以称其是局

10、域网，则是因为会 受到桥接器与电脑之间距离的远近限制而影响传输范围，所受到桥接器与电脑之间距离的远近限制而影响传输范围，所 以必须要在区域范围内才可以连上网络。以必须要在区域范围内才可以连上网络。 http:/ 1.无线局域网不须要受限于网络可连线端点数之多寡，就可轻松地在无线局域网中无线局域网不须要受限于网络可连线端点数之多寡，就可轻松地在无线局域网中 增加新的使用者数目；增加新的使用者数目； 2.使用无线局域网时不必受限于网络线的长短与插槽，节省有线网络布线的人力与使用无线局域网时不必受限于网络线的长短与插槽，节省有线网络布线的人力与 物力成本，从此摆脱被网络线纠缠的梦魇；物力成本，从此摆

11、脱被网络线纠缠的梦魇； 3.相较于时下流行的相较于时下流行的gprs手机与手机与cdma手机，无线局域网具有高速宽频上网的特手机，无线局域网具有高速宽频上网的特 性，它可提供性，它可提供11 mbps，约，约200倍于一般调制解调器（倍于一般调制解调器（modem 56kbps）的传）的传 输速度，可满足使用者对大量的图像、影音传输的需求；输速度，可满足使用者对大量的图像、影音传输的需求； 4.对于上班族与经常需要离开办公座位开会的主管人员来说，使用无线局域网就可对于上班族与经常需要离开办公座位开会的主管人员来说，使用无线局域网就可 不用再担心找不到上网的插座。此外，透过无线局域网，使用者可以

12、在信号涵不用再担心找不到上网的插座。此外，透过无线局域网，使用者可以在信号涵 盖的范围内自由的笔记本电脑等设备，随时随地的与网络保持连结；盖的范围内自由的笔记本电脑等设备，随时随地的与网络保持连结； 5.除了除了“无线无线”可以免去实体网络线布线的困扰之外，另外，在网络发生错误的时可以免去实体网络线布线的困扰之外，另外，在网络发生错误的时 候，也不用慢慢寻找出损坏的线路，只要检查讯号发送与接收端的讯号是否正候，也不用慢慢寻找出损坏的线路，只要检查讯号发送与接收端的讯号是否正 常即可。常即可。 http:/ 1.802.11b规格 2.802.11a规格 3.hyperlan规格 4.蓝牙(bl

13、uetooth)技术 http:/ n1.无线ap http:/ n2.无线路由器 http:/ n3.无线网卡 http:/ 9.2.1 无线网络标准的安全性无线网络标准的安全性 9.2.2 无线网络安全性的影响因素无线网络安全性的影响因素 9.2.3 无线网络常见的攻击无线网络常见的攻击 9.2.4 无线网络安全对策无线网络安全对策 http:/ nieee 802.11b标准定义了两种方法实现无标准定义了两种方法实现无 线局域网的接入控制和加密：系统线局域网的接入控制和加密：系统id(ssid) 和有线对等加密和有线对等加密(wep)。 n1.认证 图9-6共享密钥认证 http:/ 2

14、.wep wep的目标是： 接入控制：防止未授权用户接入网络，他们没有正确的wep密钥。 加密：通过加密和只允许有正确wep密钥的用户解密来保护数据流。 ieee 802.11b标准提供了两种用于无线局域网的wep加密方案。 第一种方案可提供四个缺省密钥以供所有的终端共享包括一个子系统内的所有接 入点和客户适配器。当用户得到缺省密钥以后，就可以与子系统内所有用户安全 地通信。缺省密钥存在的问题是当它被广泛分配时可能会危及安全。 第二种方案中是在每一个客户适配器建立一个与其他用户联系的密钥表。该方案比 第一种方案更加安全，但随着终端数量的增加给每一个终端分配密钥很困难。 http:/ n1.硬件

15、设备硬件设备 n2.虚假接入点 n3.其他安全问题 认证的全部过程 http:/ 1.wep中存在的弱点 （1）整体设计：在无线环境中，不使用保密措施是具有很大风险的，）整体设计：在无线环境中，不使用保密措施是具有很大风险的， 但但wep协议只是协议只是802.11设备实现的一个可选项。设备实现的一个可选项。 （2） 加密算法：加密算法：wep中的中的iv（initialization vector，初始化向，初始化向 量）由于位数太短和初始化复位设计，容易出现重用现象，从而被人破量）由于位数太短和初始化复位设计，容易出现重用现象，从而被人破 解密钥。而对用于进行流加密的解密钥。而对用于进行流

16、加密的rc4算法，在其头算法，在其头256个字节数据中的个字节数据中的 密钥存在弱点，目前还没有任何一种实现方案修正了这个缺陷。此外用密钥存在弱点，目前还没有任何一种实现方案修正了这个缺陷。此外用 于对明文进行完整性校验的于对明文进行完整性校验的crc（cyclic redundancv check，循环，循环 冗余校验）只能确保数据正确传输，并不能保证其未被修改，冈而并不冗余校验）只能确保数据正确传输，并不能保证其未被修改，冈而并不 是安全的校验码。是安全的校验码。 （3）密钥管理：）密钥管理：802.11标准指出，标准指出， wep使用的密钥需要接受一个使用的密钥需要接受一个 外部密钥管理

17、系统的控制。通过外部控制。可以减少外部密钥管理系统的控制。通过外部控制。可以减少iv的冲突数量，使的冲突数量，使 得无线网络难以攻破。但问题在于这个过程形式非常复杂，并且需要手得无线网络难以攻破。但问题在于这个过程形式非常复杂，并且需要手 工操作。因而很多网络的部署者更倾向于使用缺省的工操作。因而很多网络的部署者更倾向于使用缺省的wep密钥，这使黑密钥，这使黑 客为破解密钥所作的工作量大大减少了。另一些高级的解决方案需要使客为破解密钥所作的工作量大大减少了。另一些高级的解决方案需要使 用额外资源，如用额外资源，如radius和和cisco的的leap，其花费是很昂贵的。，其花费是很昂贵的。 （

18、4）用户行为：许多用户都不会改变缺省的配置选项，这令黑客很）用户行为：许多用户都不会改变缺省的配置选项，这令黑客很 容易推断出或猜出密钥。容易推断出或猜出密钥。 http:/ n2.执行搜索 nnetstumbler 是第一个被广泛用来发现无是第一个被广泛用来发现无 线网络的软件。据统计，有超过线网络的软件。据统计，有超过50的无线的无线 网络是不使用加密功能的。通常即使加密功网络是不使用加密功能的。通常即使加密功 能处于活动状态，能处于活动状态，ap（wireless access point，无线基站）广播信息中仍然包括许，无线基站）广播信息中仍然包括许 多可以用来推断出多可以用来推断出w

19、ep密钥的明文信息，如密钥的明文信息，如 网络名称、网络名称、ssid（secure set identife ， 安全集标识符）等。安全集标识符）等。 http:/ n窃听是指偷听流经网络的计算机通信的电子形式。窃听是指偷听流经网络的计算机通信的电子形式。 它是以被动和无法觉察的方式人侵检测设备的。即它是以被动和无法觉察的方式人侵检测设备的。即 使网络不对外广播网络信息，只要能够发现任何明使网络不对外广播网络信息，只要能够发现任何明 文信息，攻击者仍然可以使用一些网络工具，如文信息，攻击者仍然可以使用一些网络工具，如 eth real 和和tcpdump来监听和分析通信量，从而来监听和分析通

20、信量，从而 识别出可以破坏的信息。使用虚拟专用网、识别出可以破坏的信息。使用虚拟专用网、ssl （secure sockets lave 安全套接字层）和安全套接字层）和ssh （secure shel1）有助于防止无线拦截。）有助于防止无线拦截。 http:/ n因为因为tcp/ip协议的设计原因，几乎无法防止协议的设计原因，几乎无法防止macip地址地址 欺骗。只有通过静态定义欺骗。只有通过静态定义mac地址表才能防止这种类型的地址表才能防止这种类型的 攻击。但是，因为巨大的管理负担，这种方案很少被采用。攻击。但是，因为巨大的管理负担，这种方案很少被采用。 只有通过智能事件记录和监控日志才

21、可以对付已经出现过的只有通过智能事件记录和监控日志才可以对付已经出现过的 欺骗。当试图连接到网络上的时候，简单地通过让另外一个欺骗。当试图连接到网络上的时候，简单地通过让另外一个 节点重新向节点重新向ap提交身份验证请求就可以很容易地欺骗无线提交身份验证请求就可以很容易地欺骗无线 网身份验证。许多无线设备提供商允许终端用户通过使用设网身份验证。许多无线设备提供商允许终端用户通过使用设 备附带的配置工具，重新定义网卡的备附带的配置工具，重新定义网卡的 mac地址。使用外部地址。使用外部 双因子身份验证，如双因子身份验证，如radius或或securid，可以防止非授权，可以防止非授权 用户访问无

22、线网及其连接的资源，并且在实现的时候，应该用户访问无线网及其连接的资源，并且在实现的时候，应该 对需要经过强验证才能访问资源的访问进行严格的限制。对需要经过强验证才能访问资源的访问进行严格的限制。 http:/ n同样因为同样因为tcp/ip协议设计的原因，某些技术可供协议设计的原因，某些技术可供 攻击者接管与其他资源建立的网络连接。如果攻击攻击者接管与其他资源建立的网络连接。如果攻击 者接管了某个者接管了某个ap，那么所有来自无线网的通信量都，那么所有来自无线网的通信量都 会传到攻击者的机器上，包括其他用户试图访问合会传到攻击者的机器上，包括其他用户试图访问合 法网络主机时需要使用的密码和其

23、他信息。欺诈法网络主机时需要使用的密码和其他信息。欺诈ap 可以让攻击者从有线网或无线网进行远程访问，而可以让攻击者从有线网或无线网进行远程访问，而 且这种攻击通常不会引起用户的重视，用户通常是且这种攻击通常不会引起用户的重视，用户通常是 在毫无防范的情况下输人自己的身份验证信息，甚在毫无防范的情况下输人自己的身份验证信息，甚 至在接到许多至在接到许多ssl错误或其他密钥错误的通知之后，错误或其他密钥错误的通知之后， 仍像是看待自己机器上的错误一样看待它们，这让仍像是看待自己机器上的错误一样看待它们，这让 攻击者可以继续接管连接，而不必担心被别人发现。攻击者可以继续接管连接，而不必担心被别人发

24、现。 http:/ n无线信号传输的特性和专门使用扩频技术，使得无线网络特无线信号传输的特性和专门使用扩频技术，使得无线网络特 别容易受到别容易受到dos（denial of service，拒绝服务）攻击的，拒绝服务）攻击的 威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的 资源，使得合法用户无法获得这些资源。要造成这类的攻击，资源，使得合法用户无法获得这些资源。要造成这类的攻击， 最简单的办法是通过让不同的设备使用相同的频率，从而造最简单的办法是通过让不同的设备使用相同的频率，从而造 成无线频谱内出现冲突。另一个可能的攻击手段是发送大

25、量成无线频谱内出现冲突。另一个可能的攻击手段是发送大量 非法（或合法）的身份验证请求。第三种手段，如果攻击者非法（或合法）的身份验证请求。第三种手段，如果攻击者 接管接管ap，并且不把通信量传递到恰当的目的地，那么所有，并且不把通信量传递到恰当的目的地，那么所有 的网络用户都将无法使用网络。为了防止的网络用户都将无法使用网络。为了防止dos攻击，可以做攻击，可以做 的事情很少。无线攻击者可以利用高性能的方向性天线，从的事情很少。无线攻击者可以利用高性能的方向性天线，从 很远的地方攻击无线网。已经获得有线网访问权的攻击者，很远的地方攻击无线网。已经获得有线网访问权的攻击者， 可以通过发送多达无线

26、可以通过发送多达无线ap无法处理的通信量来攻击它。此无法处理的通信量来攻击它。此 外为了获得与用户的网络配置发生冲突的网络，只要利用外为了获得与用户的网络配置发生冲突的网络，只要利用 netstumbler就可以做到。就可以做到。 http:/ 7.恶意软件 凭借技巧定制的应用程序，攻击者可以直接到终端用户上查找凭借技巧定制的应用程序，攻击者可以直接到终端用户上查找 访问信息，例如访问用户系统的注册表或其他存储位置，以便获访问信息，例如访问用户系统的注册表或其他存储位置，以便获 取取wep密钥并把它发送回到攻击者的机器上。注意让软件保持更密钥并把它发送回到攻击者的机器上。注意让软件保持更 新，

27、并且遏制攻击的可能来源（新，并且遏制攻击的可能来源（web浏览器、电子邮件、运行不浏览器、电子邮件、运行不 当的服务器服务等），这是唯一可以获得的保护措施。当的服务器服务等），这是唯一可以获得的保护措施。 8.偷窃用户设备 只要得到了一块无线网网卡，攻击者就可以拥有一个无线网使只要得到了一块无线网网卡，攻击者就可以拥有一个无线网使 用的合法用的合法mac地址。也就是说，如果终端用户的笔记本电脑被盗，地址。也就是说，如果终端用户的笔记本电脑被盗， 他丢失的不仅仅是电脑本身，还包括设备上的身份验证信息，如他丢失的不仅仅是电脑本身，还包括设备上的身份验证信息，如 网络的网络的ssid 及密钥。而对于

28、别有用心的攻击者而言，这些往往及密钥。而对于别有用心的攻击者而言，这些往往 比电脑本身更有价值。比电脑本身更有价值。 http:/ 1.分析威胁 2.设计和部署安全网络 3.实现wep 4.过滤mac 5.过滤协议 6.使用封闭系统和网络 7.分配ip 8.使用vpn http:/ 9.3.1 wep机制简介机制简介 9.3.2 wep在无线路由器上的应用在无线路由器上的应用 http:/ 1.什么是wep wep（wired equivalent privacy）无线等效保密）无线等效保密 协议是由协议是由802.11 标准定义的，是最基本的无线安标准定义的，是最基本的无线安 全加密措施，用

29、于在无线局域网中保护链路层数据，全加密措施，用于在无线局域网中保护链路层数据， 其主要用途是：其主要用途是： （1）提供接入控制，防止未授权用户访问网络；）提供接入控制，防止未授权用户访问网络； （2）wep 加密算法对数据进行加密，防止数据被攻加密算法对数据进行加密，防止数据被攻 击者窃听；击者窃听； （3）防止数据被攻击者中途恶意篡改或伪造。）防止数据被攻击者中途恶意篡改或伪造。 http:/ nwep加密的算加密的算 法如图所示，法如图所示， 过程如下：过程如下： http:/ （1）缺少密钥管理）缺少密钥管理 用户的加密密钥必须与用户的加密密钥必须与ap的密钥相同，并且一个服务区内的所

30、有用户都共享同一把密的密钥相同，并且一个服务区内的所有用户都共享同一把密 钥。钥。wep标准中并没有规定共享密钥的管理方案，通常是手工进行配置与维护。由于同标准中并没有规定共享密钥的管理方案，通常是手工进行配置与维护。由于同 时更换密钥的费时与困难，所以密钥通常长时间使用而很少更换，倘若一个用户丢失密钥，时更换密钥的费时与困难，所以密钥通常长时间使用而很少更换，倘若一个用户丢失密钥， 则将殃及到整个网络。则将殃及到整个网络。 （2）icv算法不合适算法不合适 wep icv是一种基于是一种基于crc-32 的用于检测传输噪音和普通错误的算法。的用于检测传输噪音和普通错误的算法。crc-32 是

31、是 信息的线性函数，这意味着攻击者可以篡改加密信息，并很容易地修改信息的线性函数，这意味着攻击者可以篡改加密信息，并很容易地修改icv，使信息表面，使信息表面 上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。上看起来是可信的。能够篡改即加密数据包使各种各样的非常简单的攻击成为可能。 （3）rc4算法存在弱点算法存在弱点 在在rc4中，人们发现了弱密钥。所谓弱密钥，就是密钥与输出之间存在超出一个好密中，人们发现了弱密钥。所谓弱密钥，就是密钥与输出之间存在超出一个好密 码所应具有的相关性。在码所应具有的相关性。在24位的位的iv 值中，有值中，有9000多个弱密钥。攻击者

32、收集到足够的使多个弱密钥。攻击者收集到足够的使 用弱密钥的包后，就可以对它们进行分析，只须尝试很少的密钥就可以接入到网络中。用弱密钥的包后，就可以对它们进行分析，只须尝试很少的密钥就可以接入到网络中。 http:/ n1.无线路由器配置 http:/ n单独密钥的使用单独密钥的使用 http:/ n mac地址过滤功能开启显示地址过滤功能开启显示 http:/ nipconfig/all命令执行结果命令执行结果 http:/ http:/ http:/ http:/ http:/ http:/ 9.4.1 无线无线vpn技术技术 9.4.2 win2003的的vpn服务器搭建服务器搭建 htt

33、p:/ 1.什么是vpn？ 虚拟专用网（虚拟专用网（vpn，virtual private network）是一种利用公共网络来构建的私人专用）是一种利用公共网络来构建的私人专用 网络技术，不是真的专用网络，但却能够实现专用网络技术，不是真的专用网络，但却能够实现专用 网络的功能。虚拟专用网指的是依靠网络的功能。虚拟专用网指的是依靠isp （internet服务提供商）和其他服务提供商）和其他nsp（网络服务提（网络服务提 供商），在公用网络中建立专用的数据通信网络的供商），在公用网络中建立专用的数据通信网络的 技术。在虚拟专用网中，任意两个节点之间的连接技术。在虚拟专用网中，任意两个节点之间

34、的连接 并没有传统专网所需的端到端的物理链路，而是利并没有传统专网所需的端到端的物理链路，而是利 用某种公众网的资源动态组成的。用某种公众网的资源动态组成的。 http:/ （1）隧道技术）隧道技术 （2）加解密技术）加解密技术 （3）密钥管理技术）密钥管理技术 （4）使用者与设备身份认证技术）使用者与设备身份认证技术 http:/ n通过通过vpn，企业可以以更低的成本连接远程办事机构、出差，企业可以以更低的成本连接远程办事机构、出差 人员以及业务合作伙伴关键业务。虚拟网组成之后，远程用人员以及业务合作伙伴关键业务。虚拟网组成之后，远程用 户只需拥有本地户只需拥有本地isp的上网权限，就可以

35、访问企业内部资源，的上网权限，就可以访问企业内部资源， 这对于流动性大、分布广泛的企业来说很有意义，特别是当这对于流动性大、分布广泛的企业来说很有意义，特别是当 企业将企业将vpn服务延伸到合作伙伴方时，便能极大地降低网络服务延伸到合作伙伴方时，便能极大地降低网络 的复杂性和维护费用。的复杂性和维护费用。 nvpn技术的出现及成熟为企业实施技术的出现及成熟为企业实施erp、财务软件、移动办、财务软件、移动办 公提供了最佳的解决方案。公提供了最佳的解决方案。 n一方面，一方面，vpn利用现有互联网，在互联网上开拓隧道，充分利用现有互联网，在互联网上开拓隧道，充分 利用企业现有的上网条件，无需申请

36、昂贵的利用企业现有的上网条件，无需申请昂贵的ddn专线，运专线，运 营成本低。另一方面，营成本低。另一方面，vpn利用利用ipsec等加密技术，使在通等加密技术，使在通 道内传输的数据，有着高达道内传输的数据，有着高达168位的加密措施，充分保证了位的加密措施，充分保证了 数据在数据在vpn通道内传输的安全性。通道内传输的安全性。 http:/ n随着技术的进步，各种随着技术的进步，各种vpn软硬件解决方案都包含了路由、软硬件解决方案都包含了路由、 防火墙、防火墙、vpn网关等三方面的功能，企业或政府通过购买网关等三方面的功能，企业或政府通过购买 vpn设备，达到一物多用的功效，既满足了远程互

37、联的要求，设备，达到一物多用的功效，既满足了远程互联的要求， 而且还能在相当程度上防止黑客的攻击、并能根据时间、而且还能在相当程度上防止黑客的攻击、并能根据时间、ip、 内容、内容、mac地址、服务内容、访问内容等多种服务来限制企地址、服务内容、访问内容等多种服务来限制企 业公司内部员工上网时的行为，一举多得。业公司内部员工上网时的行为，一举多得。 nvpn设备的安装调试、管理、维护都极为简单，而且都支持设备的安装调试、管理、维护都极为简单，而且都支持 远程管理，大多数远程管理，大多数vpn硬件设备甚至可通过中央管理器进行硬件设备甚至可通过中央管理器进行 集中式的管理维护。出差人员也可以通过客

38、户端软件与中心集中式的管理维护。出差人员也可以通过客户端软件与中心 的的vpn设备建立设备建立vpn通道，从而达到访问中心数据等资源通道，从而达到访问中心数据等资源 的目的。让互联无处不在，极大地方便了企业及政府的数据、的目的。让互联无处不在，极大地方便了企业及政府的数据、 语音、视频等方面的应用。语音、视频等方面的应用。 http:/ n无线无线vpn拓扑结构图拓扑结构图 http:/ http:/ http:/ http:/ http:/ http:/ vpn网关（网关（pptp）编辑服务设置）编辑服务设置 http:/ wan端口属性端口属性 本地服务器ip设置 http:/ ip地址范

39、围设置地址范围设置 “计算机管理”对话框 http:/ 添加用户对话框添加用户对话框 添加组对话框 http:/ n我们把动态域名放在这里来说。因为一般企业接入我们把动态域名放在这里来说。因为一般企业接入 互联网应该有固定互联网应该有固定ip，这样客户机便可随时随地对，这样客户机便可随时随地对 服务端进行访问；而如果你是家庭用户采用的服务端进行访问；而如果你是家庭用户采用的 adsl宽带接入的话，那一般都是每次上网地址都宽带接入的话，那一般都是每次上网地址都 不一样的动态不一样的动态ip，所以需在，所以需在vpn服务器上安装动态服务器上安装动态 域名解析软件，才能让客户端在网络中找到服务端域名

40、解析软件，才能让客户端在网络中找到服务端 并随时可以拨入。笔者常用的动态域名解析软件为：并随时可以拨入。笔者常用的动态域名解析软件为： 花生壳，可以在花生壳，可以在下载，其安装及注下载，其安装及注 意事项请参阅相关资料意事项请参阅相关资料. http:/ 新建连接向导对话框新建连接向导对话框 选择连接类型对话框选择连接类型对话框 http:/ 选择连接选择连接“虚拟专用网络连接虚拟专用网络连接”对话框对话框 连接名称设置对话框连接名称设置对话框 http:/ vpn连接窗口连接窗口 vpn服务器选择 http:/ 9.5.1蓝牙应用协议栈 （1）射频协议（）射频协议（rf/radio prot

41、ocol）：定义了蓝牙发送器和接收器的各个参数，）：定义了蓝牙发送器和接收器的各个参数， 包括发送器的调制特性，接收器的灵敏度、抗干扰性能、互调特性和接收信号包括发送器的调制特性，接收器的灵敏度、抗干扰性能、互调特性和接收信号 强度指示等。强度指示等。 （2）基带）基带/链路控制协议（链路控制协议（baseband/lc protocol）：定义了基带部分协议和）：定义了基带部分协议和 其他低层链路功能，是蓝牙技术的核心。其他低层链路功能，是蓝牙技术的核心。 （3）链路管理协议（）链路管理协议（lmp）：用于链路的建立、安全和控制，为此定义了）：用于链路的建立、安全和控制，为此定义了 许多过程

42、来完成不同的功能。许多过程来完成不同的功能。 （4）主机控制器接口（）主机控制器接口（hci：host controller interface）协议：描述了主机控）协议：描述了主机控 制接口功能上的标准，提供了一个基带控制器和链路管理器（制接口功能上的标准，提供了一个基带控制器和链路管理器（lm）得知硬件状）得知硬件状 态和控制寄存器命令的接口，在蓝牙中起着中间层的作用：向下给链路控制器态和控制寄存器命令的接口，在蓝牙中起着中间层的作用：向下给链路控制器 协议和链路管理协议提供接口，提供一个访问蓝牙基带的统一方法。是协议和链路管理协议提供接口，提供一个访问蓝牙基带的统一方法。是 在硬件和软件

43、都包含的部分。在硬件和软件都包含的部分。 http:/ n（5）逻辑链路控制和适配协议（）逻辑链路控制和适配协议（l2cap：logical link control and adaptation protocol）：支持高层协议复用、帧的组装和拆分、传送）：支持高层协议复用、帧的组装和拆分、传送qos信信 息。息。l2cap提供面各连接和非连接两种业务，允许高层最多达提供面各连接和非连接两种业务，允许高层最多达64kbit/s的数据，的数据， 以一种有限状态机（以一种有限状态机（fsm）的方式来进行控制，目前只支持异步无连接链路）的方式来进行控制，目前只支持异步无连接链路 （acl）。）。

44、n（6）服务发现协议（）服务发现协议（sdp：service discover protocol）：如何发现蓝牙设）：如何发现蓝牙设 备所提供服务的协议，使高层应用能够得知可提供的服务。在两个蓝牙设备第备所提供服务的协议，使高层应用能够得知可提供的服务。在两个蓝牙设备第 一次通信时，需要通过一次通信时，需要通过sdp来了解对方能够提供何种服务，并将自己可提供的来了解对方能够提供何种服务，并将自己可提供的 服务通知对方。服务通知对方。 n（7）高层协议：包括串口通信协议（）高层协议：包括串口通信协议（rfcomm）、电话控制协议（）、电话控制协议（tcs）、）、 对象交换协议（对象交换协议（ob

45、ex）、控制命令（）、控制命令（at-command）、电子商务标准协议）、电子商务标准协议 （vcard和和vcalender）和）和ppp，ip，tcp，udp等相关的等相关的internet协议以及协议以及 wap协议。其中，串口通信协议是协议。其中，串口通信协议是etsi ts07.10标准的子集，并且加入了蓝标准的子集，并且加入了蓝 牙特有的部分；电话控制协议使用了一个以比特为基础的协议，定义了在蓝牙牙特有的部分；电话控制协议使用了一个以比特为基础的协议，定义了在蓝牙 设备之间建立语音和数据呼叫的控制信令，对象交换协议提供了与设备之间建立语音和数据呼叫的控制信令，对象交换协议提供了与

46、irda协议系协议系 列相同的特性，并且使各种应用可以在列相同的特性，并且使各种应用可以在irda协议栈和蓝牙协议栈上使用。协议栈和蓝牙协议栈上使用。 http:/ n（1）蓝牙设备地址（）蓝牙设备地址（bd_addr）：是一个对每个蓝牙单）：是一个对每个蓝牙单 元唯一的元唯一的48位位ieee地址。地址。 n（2）个人确认码（）个人确认码（pin：personal identification number）：是由蓝牙单元提供的）：是由蓝牙单元提供的1-16位（八进制）数字，位（八进制）数字， 可以固定或者由用户选择。一般来讲，这个可以固定或者由用户选择。一般来讲，这个pin码是随单元码是随单元 一起提供的一个固定数字。但当该单元有人机接口时，用户一起提供的一个固定数字。但当该单元有人机接口时，用户 可以任意选择可以任意选择pin的值，从而进入通信单元。蓝牙基带标准的值，从而进入通信单元。蓝牙基带标准 中要求中要求pin的值是可以改变的。的值是