曩昔几年中,VoIP体系在企业及住所两个商场的遍及率都得到了很大的进步。VoIP将数据和语音两项事务交融进一个一致的网络中,使企业IT部分或家庭用户能极大地节约本钱。咱们还看到各服务供给商开端少数布置VoIP体系,能够将网关衔接到DSL或有线调制解调器等宽带接入设备上。
当时一代的住所网关供给了一种针对数据WLAN衔接的机制。今日,大多数WLAN都是针对数据运用,用于代替以太网,与笔记本电脑或台式电脑衔接。一些设备,例如打印机、相机或WLANIP电话等,由于自身没有满意的用户接口,然后约束了它们的布置。一般地讲,与WLAN有关的安全问题牵扯到一切和它相连的设备。WLANIP电话或复合式蜂窝/WLAN电话在这方面所面对的应战更大。
WLAN体系中的安全
802.11i标准是一种支撑数据包安全与认证安全的MAC层增强型标准。前几代根据暗码的802.11安全机制都是环绕WEP协议拟定的。但WEP所供给的认证不是双向认证,例如用户不能认证网络。WEP中密钥的重复运用也使黑客很简单就能破解密钥。终究,在静态WEP完成中,网管员实际上不或许更改接入点(AP)上的密钥,由于这需求更改每个站点上的密钥。所以在大多数情况下,WEP并没有得到遵循。
经过以下两个过程,802.11i可处理WEP中安全缺少的问题:首先是供给一种可对现在产品进行软件晋级的机制;其次是创立一个或许需求硬件改动的新式鲁棒安全网络(RSN)。第一个办法已被Wi-Fi联盟选用为无线维护接入(WPA),并且经过同意的802.11i标准已被选用为WPA2。
WPA实际上相当于为WEP所运用的RC4加密方案添加了一个安全壳,可供给用户与网络之间的彼此认证、进行主动安全的密钥交流以及供给对语音(及数据)包的维护。经过用高档加密标准(AES)代替RC4作为加密引擎,WPA2增强了WPA的安全性。并且,经过选用相似的主动密钥交流机制,WPA2可维护用户在WPA上的基础设施出资。
尽管标准拟定组织在处理802.11MAC层的安全性方面花费了很多的精力,但实际上并未处理家庭用户(或热门)运用中的安全问题。安全的缺少与终端用户大多不能正确了解有关技能术语及装备过程有关,而了解这些术语和装备过程关于树立满意的安全性来说十分要害。
WLAN安全设置
从安全设置的需求动身,与无线网络衔接的设备可分红以下三类:
1、带有满意用户接口的客户端,例如可衔接到显示器的笔记本电脑及媒体适配器;
2、带有有限用户接口的固定设备,例如打印机等;
3、带有有限用户接口的移动设备,例如WLANIP电话(其间或许包含复合式蜂窝与WLAN设备)等。
WLANIP电话具有现在有绳与无绳电话所没有的重要特性——移动性。要充任无绳电话的代替设备,WLANIP电话的移动性有必要具有像“拿起电话就打”这样的方便性。
此外,WLANIP电话还有必要运用户能够接驳他们的“家庭”电话并运用相同的电话能够在任何当地接入宽带网络。因而,除传统运用情况外,安全还有必要包含以上这些运用情况。前期开发的专用方案,主要是处理家庭网络中具有满意用户接口的设备的安全问题。这些专用处理方案包含像SecureEZ设置这样的安全机制,其所供给的安全类型一般仅限于树立一个与一台或多台计算机相连的接入点或STA设备,且这种安全机制还扩展不到能满意“B”或“C”类设备的需求。
这以后开发的专用方案,如按键式方案等,则是为了能在前面说到的三类产品中运用。这些方案仍不能供给任何互操作性,以及对外部接入点无缝认证的才能。WiFi联盟现在正在着手供给便于安全运用的互操作性。
WLANIP电话体系的安全设置
作为RSN构架一部分的802.11i标准,供给了两种不同的认证机制,即:预同享密钥(PSK)形式与根据802.1x的认证形式。
PSK完成意味着小型家庭网络不具有企业级网络这样的认证。在坚持一个安全网络,使之不易受黑客进犯方面,PSK形式具有优于WEP等现有协议的可靠性。PSK实际上是一种可替代(经过802.1x机制交流的)成对主密钥(PMK)的用户设置。大多数家庭网络为了完成易运用性,都选用PSK形式作为其构架中心。这背面的含义是,家庭网络将没有可为每台设备供给PMK密钥的认证服务器。[NextPage]
按界说,WLANIP电话是一种网络设备,且能运用根据网络的认证。802.11i供给了一个运用802.1x的构架来认证网络终端设备。
1、恳求方,期望经过网络认证的设备;
2、认证方,操控接入网络的设备,例如无线接入点;
3、认证服务器,终究决议恳求设备能否接入网络的服务器。
802.1x在恳求方、认证方与认证服务器之间供给一个可扩展架构,来交流网络上终究用于认证设备的音讯。在各组件间传输的音讯类型受可扩展认证协议(EAP)的操控(图2)。这种音讯描绘了选用恳求与呼应序列的认证办法。
EAP没有界说每条音讯的内容。网络可完成几种不同类型的内容格局,如TLS、TTLS及SIM。EAP乃至还答应网络运营商选用专用音讯传输方案。802.11i标准中的802.1x的意图是为了交流用于在接入点与终端站之间树立安全网络的成对主密钥(PMK)。
服务供给商用802.1x机制来认证网络上的终端设备。只要由互联网主干通往认证服务器的接入点上有可用途径,同一802.1x机制可用于许多方位。
除要求服务供给商出资所需的根据网络的认证服务器基础设施外,在网络上供给IP电话的其他要求还包含保证热门区域或家庭中的接入点具有WPA功用。
蜂窝手机与WLAN的交融取决于能否从两个不同的方向为用户供给移动性。蜂窝手机供给选用认证、授权、计费(AAA)服务器的认证机制。用户辨认模块(SIM)存储蜂窝手机当时的认证与网络状况信息。
在独自的WLANIP电话中,相同的机制运用EAP-SIM就能够与经过802.1x携载音讯的SIM卡一同运用。在复合式GSM与WLAN电话中,用于蜂窝网络的SIM卡,也能够用在WLAN网络上。后台认证服务器仍可运用运用IP管道的AAA服务器。此概念可作为非授权移动接入(UMA)方案的一部分来完成蜂窝网络与WLAN的交融。别的,UMA创立了IPSec隧道来为有线网络供给安全。
结语
成功完成根据WLAN网络的安全VoIP运用,取决于供货商能否供给一种更优质的用户体会,然后逾越现在的传统无绳电话与蜂窝手机。这些体会包含:
能否供给一种无缝家庭网络认证与易运用设置,可与拿起无绳电话就打这样的便当性相比较;
能否在热门及酒店房间等当地将WLANIP电话当作“家庭”电话运用。安全设置需求经过现有的由Radius服务器完成的WPA2及802.11i机制来完成;
复合式电话能否在蜂窝网络与WLAN之间无缝切换。安全设置仍需经过像EAP-SIM这样的蜂窝机制来完成。
跟着WLAN网络的日益遍及,以及传统蜂窝网络上语音与数据事务的交融,这些趋势为供货商供给了持续开发各种根据WLAN的VoIP处理方案的动力。
