|
|
(8) 无线应用中的安全问题
无论是无线连接或是无线设备,端到端安全模式都是任何无线应用程序开发需要解决的首要问题。业界新闻报道说目前无线网络安全缺乏的情况很普遍,包括IEEE802.11b WLANs都有未经授权的登陆以及遭受到使一些无线Web网络颇为头疼而臭名昭著的“WAP gap”的侵袭。那么端对端的无线安全模式真的难以实现吗?其实对于任何一种安全模式来说,没有一种是完全牢不可破的,但所有大的无线协议都提供一些方法用来保护机密信息和阻止未经授权的访问。
无线应用中的安全性开发要点:
目前使用的大多数802.11 WLAN由于缺乏安全性而受到直接的攻击。SSID和WEP不足以保护网络资源。目前一种能够执行Extended Authentication Protocol combined with Transport Layer Security (EAP/TLS) 的新型硬件可以用来进行有效验证和加密。但要确保你运行在WLAN上的无线应用程序能够利用EAP/TLS。
一些移动设备支持虚拟专用网,一些无线中间件(比如Infowave Wireless Business Engine)将实现端对端安全通讯,即使是在安全性被置疑网络中也是如此(比如WAP)。
一些蓝牙设备将提供难以编译的PIN。 这样将通过使用额外的盘问式授权(authorization challenge)来提高程序的安全性。
要确保所有的移动设备用户启用本设备特有的访问控制权(比如PIN)并确保不使用系统默认的或太简单的密码。
控制设备访问权限。企业对几乎所有的PDA、电话和移动设备实行加密保护。企业开发者可以采用这种平台层的保护来阻止未经授权的访问,或者用一个单独的个人识别号码(PIN)进入程序一个额外的保护层。
验证、授权和审核。Triple-A是安全工作做的很好的企业一直采用的一种方法。企业无线开发人员可以将用于extranet和intranet程序中的相同的triple-A用在无线开发中,由于经常在内部使用的密码很难从电话键上输入,所以另一种全数字型的密码被广泛用于移动设施。
保密性和完整性。目前许多移动设备都有足够的功率支持数据加密。开发人员很容易使用运行在Web上的SSL/TLS和无线Web中的WTLS(源自WAP堆栈)。使用被批准的证书也是确保从正常的渠道获得内容的一种直接方法。
已知的弱点。最有名的无线安全漏洞是在IEEE802.11b和WAP中发现的。802.11b安全模式的主要组件是Wireless Equivalent Privacy (WEP), 其加密方法和有线Ethernet (802.3) 的标准相类似。安全专家已经证实WEP的安全层是可以被破坏的,然而许多基于802.11b的WALN连WEP保护都没有。用于无线Web 的第一版WEP中列举出一个被称作是wireless transport layer security (WTLS) 的SSL-like实现能够很好的运行安全模式,除非在某一时刻信息的保护权由WTLS转向TLS时(此时无线Web会连接到World Wide Web上)才会发生意外。这种情况一般发生在WAP代理或网关之中,但在公司或网络操作服务器室中通常是安全的。要确保网管能够对服务器的使用权加以限制。
|
|
