高层无线安全入门

对于一种能真正覆盖所有基本方面的安全解决方案的设计而言，将所有这些因素——以及各种因素间的一切关联——作为一个单个的、集成化的系统的组成部分来考虑，就显得极为重要。由于种种原因，从设备级开始也符合情理。为什么呢？原因就在于，如果设备不支持，世界上最佳的安全解决方案也毫无用处。特别的，无线设备将存在多方面的限制。

嵌入还是外部强加

在保证无线以及其他资源有限的设备方面，开发者有两种基本的选择：他们可以利用第三方提供的的事后添加的外加部件或扩展工具，或者在设备中嵌入安全保密功能。

事实上，外加部件不但增添了功能，也增加了复杂性。它们可能非常麻烦而且缺乏灵活性。它们往往需要专门的厂商支持。而且，由于减少了对设备性能的控制，它们也给开发商增加了一个风险的来源。外加模块还会引入互操作性方面的问题，导致远期的风险；要是外加的解决方案突然退出市场，则用户总的安全投资将会泡汤。

最后——也许是最重要的，外加模块会打破设备安全架构的一致性。

鉴于以上原因，嵌入式的基于标准的安全保护似乎是更实用的选择。当然，将新的核心功能融入到一个资源有限的设备中，这一做法本身就有其挑战性，当功能的复杂程度、功耗和占用的资源与安全保护措施一样时，情况尤为严重。不过，最终，嵌入式的安全防护可以提供一个强大而统一的平台，开发出能满足用户多样化需求、同时节约内部资源的应用。

设备级的安全防护

无线设备的脆弱性是很显而易见的。如果蜂窝电话、PDA或者笔记本电脑丢失或者被盗。存储在其中的未受保护的信息可以被人自由获取。虽然如今的无线手持式设备确实包括了基本的安全保护措施，但它们不足以支持企业级的安全策略。

在进行安全防护的建设时，无线设备有限的资源会造成最大的困难：它们紧凑的尺寸和依靠电池工作的特点，给数据处理能力和功耗造成了极大的限制。同样，解密等安全功能需要占用大量计算资源，但从实用的角度来考虑，把它们添加到设备中，不能以付出性能为代价。

网络的安全防护

除了要保护存储在设备中的信息外，在无线设备之间及其网络上传输的数据也需要得到保护。由于现在无线用户的连接选项变得越来越多样，这一类防护将变得越来越复杂。

例如，如今的手持式装置可以利用GSM/GPRS和CDMA/1xRTT基础架构来获取无线广域网服务。WiFi入网点（network hot spot）可以让用户在有本地快速接入服务的地点享用这些服务。顺便说一句，以这种方式实现的从WAN到LAN的转移，要比单独使用WAN更令人中意，因为无线的WAN服务往往按照使用情况来收费，而费用很快就累积上涨。无线LAN还可以提供更大的带宽。

对于短距连接来说，现在有蓝牙等短距通信标准，这样便有可能让用户与本地的无线装置实现同步，而不必通过电缆架建立任何类型的物理连接。

这些技术中的每一种，都有其薄弱点。除了在无线设备的架构中建立某种安全保护机制外，要解决好这些薄弱环节，就必须开发和实施有效的安全标准——例如美国NIST（国家技术标准局）FIPS（联邦信息处理标准）提出的那些标准，它们已经为政府部门和很多金融机构所采用。但无线网络本身的基础架构不一定就满足FIPS所提出的标准，那是因为，流行的网络标准中安全保密并未真正地得到某种程度的考虑。

也谈标准

当然，不妨利用已经在有线网络中得到验证的协议和网络标准实现无线的安全解决方案。

例如，相对而言，SSL（Secure Socket Layer安全套接层）、IPSec（互联协议安全性）和S/MIME（安全化多用途互联网邮件扩展）可以用方便地根据无线通信的需要来进行调整。这样做，可以通过标准化改善互操作性，而且建立起整个企业范围内的、一致的安全政策。

可以理解，政府部门和公司坚持要采用基于标准的安全机制，因为相关的协议能与现有的企业、政策和基础设施间实现互操作（从而提高以前在IT方面投资的回报率），另外，这也是因为随着时间的推移它们已经证明了它们的有效性。

下面的一些有线世界中的标准现在被用于保证无线环境中的安全：

·SSL——给一个无线的设备配置一个SSL使能的浏览器，是一种能保证对web mail和公司内部网进行安全访问的有效方法。

·IPSec——多种中等规模的和大型的组织采用VPN（虚拟专用网）网关来控制对其企业网的访问。VPN提供了LAN的一种安全的扩展，可以使得其分布在世界各处的用户都彷佛在使用LAN一般。

·S/MIME——S/MIME可以保证email的安全性，方法是将其以加密后的格式储存到邮件服务器上，并且只让预定的收信人能阅读其内容。要让S/MIME在移动服务中起作用的话，它必须得到无线email客户端或者插件的支持（这些软件将与台式机的email客户端以及email的服务器端进行互操作）以及能支持数字签名的数字证书的保证。