[[44696]]

1. 接入WiFi

1.1 無線對(duì)等保密WEP(Wired Equivalent Privacy)

WEP在鏈路層采用RC4對(duì)稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位和128位長(zhǎng)度的密鑰機(jī)制，但是它仍然存在許多缺陷，例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰，一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解;鑰匙是靜態(tài)的，要手工維護(hù)，擴(kuò)展能力差。目前為了提高安全性，建議采用128位加密鑰匙。

1.2 WPA-PSK(Wi-Fi Protected Access Pre-Shared Key)/WPA2-PSK(TKIP or CCMP)

均采用預(yù)共享密鑰認(rèn)證。WPA2 則是基于IEEE802.11i 的正式規(guī)范制定，相比WPA具有更高的安全性。WPA-PSK必須支持基于TKIP(Temporal Key Integrity Protocol)的密鑰管理和數(shù)據(jù)加密，而對(duì)于WPA 是否支持基于CCMP(Counter mode with Cipher-block chaining Message authentication code Protocol)的密鑰管理和數(shù)據(jù)加密WiFi 聯(lián)盟即沒有進(jìn)行規(guī)定，也不提供兼容性測(cè)試。WPA2-PSK必須能夠同時(shí)支持TKIP 和CCMP，而且這兩種方式都必須通過兼容性測(cè)試。TKIP 是對(duì)WEP 加密方法的加強(qiáng)和升級(jí)，其密鑰長(zhǎng)度為128 位，解決了WEP 密鑰長(zhǎng)度過短的問題，在安全性上有所增強(qiáng)。TKIP 通過將多種因素混合在一起(包括基本密鑰、AP 的MAC 地址以及數(shù)據(jù)包的序列號(hào))生成用于加密每個(gè)數(shù)據(jù)包的密鑰。該混合操作在設(shè)計(jì)上將對(duì)無線終端和AP 的要求減少到最低程度，并能提供足夠的密碼強(qiáng)度，使其不會(huì)被輕易破解。此外，混合操作還可以有效解決WEP 加密中遇到的重復(fù)密鑰使用和重放攻擊問題。CCMP 一種以AES(Advanced Encryption Standard)的塊密碼為基礎(chǔ)的安全協(xié)議。IEEE 802.11i 要求使用CCMP 為無線網(wǎng)絡(luò)提供四種安全服務(wù)：認(rèn)證、機(jī)密性、完整性和重放攻擊保護(hù)。CCMP 使用128 位AES 加密算法實(shí)現(xiàn)機(jī)密性，使用其他 CCMP 協(xié)議組件實(shí)現(xiàn)其余三種服務(wù)。CCMP 結(jié)合了兩種復(fù)雜的加密技術(shù)(counter mode 和 CBC-MAC)以此為無線終端和AP 之間的數(shù)據(jù)通信提供一種健壯的安全協(xié)議。需要強(qiáng)調(diào)的是，雖然 WPA-PSK/WPA2-PSK 采用了更為強(qiáng)大的加密算法，但其用戶認(rèn)證和加密的共享密碼(原始密鑰)是人為確定并通過手工設(shè)定的，而且對(duì)于接入同一個(gè)AP的所有終端來說，它們所設(shè)置的密鑰是一樣的。因此，其密鑰難于管理并容易泄漏，不適合在安全性要求非常嚴(yán)格的場(chǎng)合應(yīng)用。

1.3 WPA/WPA2(TKIP or CCMP)

為了改善WPA-PSK或WPA2-PSK(指Personal 的標(biāo)準(zhǔn)，主要用于個(gè)人用戶)在密鑰管理方面的不足，WiFi聯(lián)盟提供了WPA/WPA2(TKIP or CCMP)(指Enterprise 的標(biāo)準(zhǔn)，主要用于企業(yè)用戶)，它們使用802.1x 來進(jìn)行用戶認(rèn)證并生成用于加密數(shù)據(jù)的根密鑰，而不再使用手工設(shè)定的預(yù)共享密鑰，但加密過程則沒有區(qū)別。在WPA(或WPA2)中，RADIUS服務(wù)器取代了WPA-PSK(或WPA2-PSK)認(rèn)證過程中的單一密碼機(jī)制。用戶在接入無線網(wǎng)絡(luò)前，首先需要提供相應(yīng)的身份證明，通過與用戶身份數(shù)據(jù)庫(kù)中的認(rèn)證信息進(jìn)行比對(duì)檢查，以確認(rèn)是否具有權(quán)限并向客戶端動(dòng)態(tài)分發(fā)用于加密數(shù)據(jù)的密鑰。由于采用了 802.1X 進(jìn)行用戶身份認(rèn)證，每個(gè)用戶的登錄信息都由其自身進(jìn)行管理，有效減少信息泄漏的可能性。并且用戶每次接入無線網(wǎng)絡(luò)時(shí)的數(shù)據(jù)加密密鑰都是通過RADIUS服務(wù)器動(dòng)態(tài)分配的，攻擊者難于獲取加密密鑰。因此，WPA/WPA2(TKIP or CCMP)極大的提高了網(wǎng)絡(luò)的安全性，并成為高安全無線網(wǎng)絡(luò)的首選接入方式。#p#

2. 接入3G

3G是英文the 3rd Generation的縮寫，指第三代移動(dòng)通信技術(shù)。相對(duì)第一代模擬制式手機(jī)(1G)和第二代GSM、CDMA等數(shù)字手機(jī) (2G)，第三代手機(jī)(3G)一般地講，是指將無線通信與國(guó)際互聯(lián)網(wǎng)等多媒體通信結(jié)合的新一代移動(dòng)通信系統(tǒng)。從運(yùn)營(yíng)商網(wǎng)絡(luò)層面來看，3G與2G的主要區(qū)別是在傳輸聲音和數(shù)據(jù)的速度上的提升，它能夠在全球范圍內(nèi)更好地實(shí)現(xiàn)無線漫游，并處理圖像、音樂、視頻流等多種媒體形式，提供包括網(wǎng)頁(yè)瀏覽、電話會(huì)議、電子商務(wù)等多種信息服務(wù)，同時(shí)也要考慮與已有第二代系統(tǒng)的良好兼容性。為了提供這種服務(wù)，無線網(wǎng)絡(luò)必須能夠支持不同的數(shù)據(jù)傳輸速度，也就是說在室內(nèi)、室外和行車的環(huán)境中能夠分別支持至少2Mbps(兆比特/每秒)、384kbps(千比特/每秒)以及144kbps的傳輸速度(此數(shù)值根據(jù)網(wǎng)絡(luò)環(huán)境會(huì)發(fā)生變化)。

從手機(jī)使用的卡來看，以前,iPhone/iPad使用2G網(wǎng)絡(luò)，采用的是SIM卡，而SIM卡存在眾多安全問題，包括手機(jī)卡被復(fù)制、話費(fèi)盜打、基站冒充、信息泄露等等。

而目前iPhone/iPad使用的3G系統(tǒng)主要提供了如下安全機(jī)制：

(a) 實(shí)現(xiàn)了雙向認(rèn)證。不但提供基站對(duì)用戶的認(rèn)證，也提供了用戶對(duì)基站的認(rèn)證，可有效防止偽基站攻擊。

(b) 提供了接入鏈路信令數(shù)據(jù)的完整性保護(hù)。

(c) 密鑰長(zhǎng)度增加為128 bit，改進(jìn)了算法。

(d) 3GPP接入鏈路數(shù)據(jù)加密延伸至無線接入控制器。

(e) 3G的安全機(jī)制還具有可拓展性，為將來引入新業(yè)務(wù)提供安全保護(hù)措施。

(f) 3G能向用戶提供安全可視性操作，用戶可隨時(shí)查看自己所用的安全模式及安全級(jí)別。

(g) 在密鑰長(zhǎng)度、算法選定、鑒別機(jī)制和數(shù)據(jù)完整性檢驗(yàn)等方面，3G的安全性能遠(yuǎn)遠(yuǎn)優(yōu)于2G。

3G網(wǎng)絡(luò)用戶的用戶名和密碼都內(nèi)嵌在SIM卡中，用戶無法直接讀出，且被盜用和破解的可能性極小(目前沒有發(fā)現(xiàn)針對(duì)3G SIM卡的破解案例)，因此較為安全。