過去幾年中,VoIP系統(tǒng)在企業(yè)及住宅兩個市場的普及率都得到了很大的提高。VoIP將數(shù)據(jù)和語音兩項業(yè)務(wù)融合進一個統(tǒng)一的網(wǎng)絡(luò)中,使企業(yè)IT部門或家庭用戶能極大地節(jié)省成本。我們還看到各服務(wù)提供商開始少量部署VoIP系統(tǒng),能夠?qū)⒕W(wǎng)關(guān)連接到DSL或有線調(diào)制解調(diào)器等寬帶接入設(shè)備上。
當前一代的住宅網(wǎng)關(guān)提供了一種針對數(shù)據(jù)WLAN連接的機制。今天,大多數(shù)WLAN都是針對數(shù)據(jù)應(yīng)用,用于替代以太網(wǎng),與筆記本電腦或臺式電腦連接。一些設(shè)備,例如打印機、相機或WLANIP電話等,由于本身沒有充足的用戶接口,從而限制了它們的部署。一般地講,與WLAN有關(guān)的安全問題牽扯到所有和它相連的設(shè)備。WLANIP電話或復(fù)合式蜂窩/WLAN電話在這方面所面臨的挑戰(zhàn)更大。
WLAN系統(tǒng)中的安全
802.11i標準是一種支持數(shù)據(jù)包安全與認證安全的MAC層增強型標準。前幾代基于密碼的802.11安全機制都是圍繞WEP協(xié)議制定的。但WEP所提供的認證不是雙向認證,例如用戶不能認證網(wǎng)絡(luò)。WEP中密鑰的重復(fù)使用也使黑客很容易就能破解密鑰。最后,在靜態(tài)WEP實現(xiàn)中,網(wǎng)管員實際上不可能更改接入點(AP)上的密鑰,因為這需要更改每個站點上的密鑰。所以在大多數(shù)情況下,WEP并沒有得到貫徹。
通過以下兩個步驟,802.11i可解決WEP中安全不足的問題:首先是提供一種可對目前產(chǎn)品進行軟件升級的機制;其次是創(chuàng)建一個可能需要硬件改動的新型魯棒安全網(wǎng)絡(luò)(RSN)。第一個措施已被Wi-Fi聯(lián)盟采納為無線保護接入(WPA),而且經(jīng)過批準的802.11i規(guī)范已被采用為WPA2。
WPA實際上相當于為WEP所使用的RC4加密方案添加了一個安全殼,可提供用戶與網(wǎng)絡(luò)之間的相互認證、進行自動安全的密鑰交換以及提供對語音(及數(shù)據(jù))包的保護。通過用高級加密標準(AES)代替RC4作為加密引擎,WPA2增強了WPA的安全性。而且,通過采用類似的自動密鑰交換機制,WPA2可保護用戶在WPA上的基礎(chǔ)設(shè)施投資。
雖然標準制定機構(gòu)在解決802.11MAC層的安全性方面花費了大量的精力,但實際上并未解決家庭用戶(或熱點)應(yīng)用中的安全問題。安全的缺乏與終端用戶大多不能正確理解有關(guān)技術(shù)術(shù)語及配置步驟有關(guān),而理解這些術(shù)語和配置步驟對于建立足夠的安全性來說非常關(guān)鍵。
WLAN安全設(shè)置
從安全設(shè)置的需要出發(fā),與無線網(wǎng)絡(luò)連接的設(shè)備可分成以下三類:
1、帶有充足用戶接口的客戶端,例如可連接到顯示器的筆記本電腦及媒體適配器;
2、帶有有限用戶接口的固定設(shè)備,例如打印機等;
3、帶有有限用戶接口的移動設(shè)備,例如WLANIP電話(其中可能包括復(fù)合式蜂窩與WLAN設(shè)備)等。
WLANIP電話具有目前有繩與無繩電話所沒有的重要特性——移動性。要充當無繩電話的替代設(shè)備,WLANIP電話的移動性必須具有像“拿起電話就打”這樣的方便性。
此外,WLANIP電話還必須使用戶可以接駁他們的“家庭”電話并使用相同的電話可以在任何地方接入寬帶網(wǎng)絡(luò)。因此,除傳統(tǒng)使用情況外,安全還必須包括以上這些使用情況。早期開發(fā)的專用方案,主要是解決家庭網(wǎng)絡(luò)中具有充足用戶接口的設(shè)備的安全問題。這些專用解決方案包括像SecureEZ設(shè)置這樣的安全機制,其所提供的安全類型一般僅限于建立一個與一臺或多臺計算機相連的接入點或STA設(shè)備,且這種安全機制還擴展不到能滿足“B”或“C”類設(shè)備的需求。
其后開發(fā)的專用方案,如按鍵式方案等,則是為了能在前面提到的三類產(chǎn)品中使用。這些方案仍不能提供任何互操作性,以及對外部接入點無縫認證的能力。WiFi聯(lián)盟目前正在著手提供便于安全使用的互操作性。
WLANIP電話系統(tǒng)的安全設(shè)置
作為RSN構(gòu)架一部分的802.11i規(guī)范,提供了兩種不同的認證機制,即:預(yù)共享密鑰(PSK)模式與基于802.1x的認證模式。
PSK實現(xiàn)意味著小型家庭網(wǎng)絡(luò)不具有企業(yè)級網(wǎng)絡(luò)這樣的認證。在保持一個安全網(wǎng)絡(luò),使之不易受黑客攻擊方面,PSK模式具有優(yōu)于WEP等現(xiàn)有協(xié)議的可靠性。PSK實際上是一種可取代(通過802.1x機制交換的)成對主密鑰(PMK)的用戶設(shè)置。大多數(shù)家庭網(wǎng)絡(luò)為了實現(xiàn)易使用性,都采用PSK模式作為其構(gòu)架核心。這背后的含意是,家庭網(wǎng)絡(luò)將沒有可為每臺設(shè)備提供PMK密鑰的認證服務(wù)器。
按定義,WLANIP電話是一種網(wǎng)絡(luò)設(shè)備,且能使用基于網(wǎng)絡(luò)的認證。802.11i提供了一個使用802.1x的構(gòu)架來認證網(wǎng)絡(luò)終端設(shè)備。
1、請求方,希望通過網(wǎng)絡(luò)認證的設(shè)備;
2、認證方,控制接入網(wǎng)絡(luò)的設(shè)備,例如無線接入點;
3、認證服務(wù)器,最終決定請求設(shè)備能否接入網(wǎng)絡(luò)的服務(wù)器。
802.1x在請求方、認證方與認證服務(wù)器之間提供一個可擴展架構(gòu),來交換網(wǎng)絡(luò)上最終用于認證設(shè)備的消息。在各組件間傳輸?shù)南㈩愋褪芸蓴U展認證協(xié)議(EAP)的控制。這種消息描述了采用請求與響應(yīng)序列的認證方法。
EAP沒有定義每條消息的內(nèi)容。網(wǎng)絡(luò)可實現(xiàn)幾種不同類型的內(nèi)容格式,如TLS、TTLS及SIM.EAP甚至還允許網(wǎng)絡(luò)運營商采用專用消息傳輸方案。802.11i規(guī)范中的802.1x的目的是為了交換用于在接入點與終端站之間建立安全網(wǎng)絡(luò)的成對主密鑰(PMK)。
服務(wù)提供商用802.1x機制來認證網(wǎng)絡(luò)上的終端設(shè)備。只要由互聯(lián)網(wǎng)骨干通往認證服務(wù)器的接入點上有可用路徑,同一802.1x機制可用于許多位置。
除要求服務(wù)提供商投資所需的基于網(wǎng)絡(luò)的認證服務(wù)器基礎(chǔ)設(shè)施外,在網(wǎng)絡(luò)上提供IP電話的其他要求還包括確保熱點地區(qū)或家庭中的接入點具有WPA功能。
蜂窩手機與WLAN的融合取決于能否從兩個不同的方向為用戶提供移動性。蜂窩手機提供采用認證、授權(quán)、計費(AAA)服務(wù)器的認證機制。用戶識別模塊(SIM)存儲蜂窩手機當前的認證與網(wǎng)絡(luò)狀態(tài)信息。
在單獨的WLANIP電話中,同樣的機制利用EAP-SIM就可以與通過802.1x攜載消息的SIM卡一起使用。在復(fù)合式GSM與WLAN電話中,用于蜂窩網(wǎng)絡(luò)的SIM卡,也可以用在WLAN網(wǎng)絡(luò)上。后臺認證服務(wù)器仍可使用利用IP管道的AAA服務(wù)器。此概念可作為非授權(quán)移動接入(UMA)計劃的一部分來實現(xiàn)蜂窩網(wǎng)絡(luò)與WLAN的融合。另外,UMA創(chuàng)建了IPSec隧道來為有線網(wǎng)絡(luò)提供安全。
結(jié)束語
成功實現(xiàn)基于WLAN網(wǎng)絡(luò)的安全VoIP應(yīng)用,取決于供應(yīng)商能否提供一種更優(yōu)質(zhì)的用戶體驗,從而超越目前的傳統(tǒng)無繩電話與蜂窩手機。這些體驗包括:
能否提供一種無縫家庭網(wǎng)絡(luò)認證與易使用設(shè)置,可與拿起無繩電話就打這樣的便利性相比擬。
能否在熱點及酒店房間等地方將WLANIP電話當作“家庭”電話使用。安全設(shè)置需要通過現(xiàn)有的由Radius服務(wù)器實現(xiàn)的WPA2及802.11i機制來實現(xiàn)。
復(fù)合式電話能否在蜂窩網(wǎng)絡(luò)與WLAN之間無縫切換。安全設(shè)置仍需通過像EAP-SIM這樣的蜂窩機制來實現(xiàn)。
隨著WLAN網(wǎng)絡(luò)的日益普及,以及傳統(tǒng)蜂窩網(wǎng)絡(luò)上語音與數(shù)據(jù)業(yè)務(wù)的融合,這些趨勢為供應(yīng)商提供了繼續(xù)開發(fā)各種基于WLAN的VoIP解決方案的動力。
京公網(wǎng)安備 11010502049343號