VoIP解決企業(yè)無(wú)線(xiàn)局域網(wǎng)安全問(wèn)題

過(guò)去幾年中，VoIP系統在企業(yè)及住宅兩個(gè)市場(chǎng)的普及率都得到了很大的提高。VoIP將數據和語(yǔ)音兩項業(yè)務(wù)融合進(jìn)一個(gè)統一的網(wǎng)絡(luò )中，使企業(yè)IT部門(mén)或家庭用戶(hù)能極大地節省成本。我們還看到各服務(wù)提供商開(kāi)始少量部署VoIP系統，能夠將網(wǎng)關(guān)連接到DSL或有線(xiàn)調制解調器等寬帶接入設備上。

當前一代的住宅網(wǎng)關(guān)提供了一種針對數據WLAN連接的機制。今天，大多數WLAN都是針對數據應用，用于替代以太網(wǎng)，與筆記本電腦或臺式電腦連接。一些設備，例如打印機、相機或WLANIP電話(huà)等，由于本身沒(méi)有充足的用戶(hù)接口，從而限制了它們的部署。一般地講，與WLAN有關(guān)的安全問(wèn)題牽扯到所有和它相連的設備。WLANIP電話(huà)或復合式蜂窩/WLAN電話(huà)在這方面所面臨的挑戰更大。

WLAN系統中的安全

802.11i標準是一種支持數據包安全與認證安全的MAC層增強型標準。前幾代基于密碼的802.11安全機制都是圍繞WEP協(xié)議制定的。但WEP所提供的認證不是雙向認證，例如用戶(hù)不能認證網(wǎng)絡(luò )。WEP中密鑰的重復使用也使黑客很容易就能破解密鑰。最后，在靜態(tài)WEP實(shí)現中，網(wǎng)管員實(shí)際上不可能更改接入點(diǎn)(AP)上的密鑰，因為這需要更改每個(gè)站點(diǎn)上的密鑰。所以在大多數情況下，WEP并沒(méi)有得到貫徹。

通過(guò)以下兩個(gè)步驟，802.11i可解決WEP中安全不足的問(wèn)題：首先是提供一種可對目前產(chǎn)品進(jìn)行軟件升級的機制;其次是創(chuàng )建一個(gè)可能需要硬件改動(dòng)的新型魯棒安全網(wǎng)絡(luò )(RSN)。第一個(gè)措施已被Wi-Fi聯(lián)盟采納為無(wú)線(xiàn)保護接入(WPA)，而且經(jīng)過(guò)批準的802.11i規范已被采用為WPA2。

WPA實(shí)際上相當于為WEP所使用的RC4加密方案添加了一個(gè)安全殼，可提供用戶(hù)與網(wǎng)絡(luò )之間的相互認證、進(jìn)行自動(dòng)安全的密鑰交換以及提供對語(yǔ)音(及數據)包的保護。通過(guò)用高級加密標準(AES)代替RC4作為加密引擎，WPA2增強了WPA的安全性。而且，通過(guò)采用類(lèi)似的自動(dòng)密鑰交換機制，WPA2可保護用戶(hù)在WPA上的基礎設施投資。

雖然標準制定機構在解決802.11MAC層的安全性方面花費了大量的精力，但實(shí)際上并未解決家庭用戶(hù)(或熱點(diǎn))應用中的安全問(wèn)題。安全的缺乏與終端用戶(hù)大多不能正確理解有關(guān)技術(shù)術(shù)語(yǔ)及配置步驟有關(guān)，而理解這些術(shù)語(yǔ)和配置步驟對于建立足夠的安全性來(lái)說(shuō)非常關(guān)鍵。

WLAN安全設置

從安全設置的需要出發(fā)，與無(wú)線(xiàn)網(wǎng)絡(luò )連接的設備可分成以下三類(lèi)：

1、帶有充足用戶(hù)接口的客戶(hù)端，例如可連接到顯示器的筆記本電腦及媒體適配器;

2、帶有有限用戶(hù)接口的固定設備，例如打印機等;

3、帶有有限用戶(hù)接口的移動(dòng)設備，例如WLANIP電話(huà)(其中可能包括復合式蜂窩與WLAN設備)等。

WLANIP電話(huà)具有目前有繩與無(wú)繩電話(huà)所沒(méi)有的重要特性——移動(dòng)性。要充當無(wú)繩電話(huà)的替代設備，WLANIP電話(huà)的移動(dòng)性必須具有像“拿起電話(huà)就打”這樣的方便性。

此外，WLANIP電話(huà)還必須使用戶(hù)可以接駁他們的“家庭”電話(huà)并使用相同的電話(huà)可以在任何地方接入寬帶網(wǎng)絡(luò )。因此，除傳統使用情況外，安全還必須包括以上這些使用情況。早期開(kāi)發(fā)的專(zhuān)用方案，主要是解決家庭網(wǎng)絡(luò )中具有充足用戶(hù)接口的設備的安全問(wèn)題。這些專(zhuān)用解決方案包括像SecureEZ設置這樣的安全機制，其所提供的安全類(lèi)型一般僅限于建立一個(gè)與一臺或多臺計算機相連的接入點(diǎn)或STA設備，且這種安全機制還擴展不到能滿(mǎn)足“B”或“C”類(lèi)設備的需求。

其后開(kāi)發(fā)的專(zhuān)用方案，如按鍵式方案等，則是為了能在前面提到的三類(lèi)產(chǎn)品中使用。這些方案仍不能提供任何互操作性，以及對外部接入點(diǎn)無(wú)縫認證的能力。WiFi聯(lián)盟目前正在著(zhù)手提供便于安全使用的互操作性。
WLANIP電話(huà)系統的安全設置

作為RSN構架一部分的802.11i規范，提供了兩種不同的認證機制，即：預共享密鑰(PSK)模式與基于802.1x的認證模式。

PSK實(shí)現意味著(zhù)小型家庭網(wǎng)絡(luò )不具有企業(yè)級網(wǎng)絡(luò )這樣的認證。在保持一個(gè)安全網(wǎng)絡(luò )，使之不易受黑客攻擊方面，PSK模式具有優(yōu)于WEP等現有協(xié)議的可靠性。PSK實(shí)際上是一種可取代(通過(guò)802.1x機制交換的)成對主密鑰(PMK)的用戶(hù)設置。大多數家庭網(wǎng)絡(luò )為了實(shí)現易使用性，都采用PSK模式作為其構架核心。這背后的含意是，家庭網(wǎng)絡(luò )將沒(méi)有可為每臺設備提供PMK密鑰的認證服務(wù)器。[NextPage]

按定義，WLANIP電話(huà)是一種網(wǎng)絡(luò )設備，且能使用基于網(wǎng)絡(luò )的認證。802.11i提供了一個(gè)使用802.1x的構架來(lái)認證網(wǎng)絡(luò )終端設備。

1、請求方，希望通過(guò)網(wǎng)絡(luò )認證的設備;

2、認證方，控制接入網(wǎng)絡(luò )的設備，例如無(wú)線(xiàn)接入點(diǎn);

3、認證服務(wù)器，最終決定請求設備能否接入網(wǎng)絡(luò )的服務(wù)器。

802.1x在請求方、認證方與認證服務(wù)器之間提供一個(gè)可擴展架構，來(lái)交換網(wǎng)絡(luò )上最終用于認證設備的消息。在各組件間傳輸的消息類(lèi)型受可擴展認證協(xié)議(EAP)的控制(圖2)。這種消息描述了采用請求與響應序列的認證方法。

EAP沒(méi)有定義每條消息的內容。網(wǎng)絡(luò )可實(shí)現幾種不同類(lèi)型的內容格式，如TLS、TTLS及SIM。EAP甚至還允許網(wǎng)絡(luò )運營(yíng)商采用專(zhuān)用消息傳輸方案。802.11i規范中的802.1x的目的是為了交換用于在接入點(diǎn)與終端站之間建立安全網(wǎng)絡(luò )的成對主密鑰(PMK)。

服務(wù)提供商用802.1x機制來(lái)認證網(wǎng)絡(luò )上的終端設備。只要由互聯(lián)網(wǎng)骨干通往認證服務(wù)器的接入點(diǎn)上有可用路徑，同一802.1x機制可用于許多位置。

除要求服務(wù)提供商投資所需的基于網(wǎng)絡(luò )的認證服務(wù)器基礎設施外，在網(wǎng)絡(luò )上提供IP電話(huà)的其他要求還包括確保熱點(diǎn)地區或家庭中的接入點(diǎn)具有WPA功能。

蜂窩手機與WLAN的融合取決于能否從兩個(gè)不同的方向為用戶(hù)提供移動(dòng)性。蜂窩手機提供采用認證、授權、計費(AAA)服務(wù)器的認證機制。用戶(hù)識別模塊(SIM)存儲蜂窩手機當前的認證與網(wǎng)絡(luò )狀態(tài)信息。

在單獨的WLANIP電話(huà)中，同樣的機制利用EAP-SIM就可以與通過(guò)802.1x攜載消息的SIM卡一起使用。在復合式GSM與WLAN電話(huà)中，用于蜂窩網(wǎng)絡(luò )的SIM卡，也可以用在WLAN網(wǎng)絡(luò )上。后臺認證服務(wù)器仍可使用利用IP管道的AAA服務(wù)器。此概念可作為非授權移動(dòng)接入(UMA)計劃的一部分來(lái)實(shí)現蜂窩網(wǎng)絡(luò )與WLAN的融合。另外，UMA創(chuàng )建了IPSec隧道來(lái)為有線(xiàn)網(wǎng)絡(luò )提供安全。

結語(yǔ)

成功實(shí)現基于WLAN網(wǎng)絡(luò )的安全VoIP應用，取決于供應商能否提供一種更優(yōu)質(zhì)的用戶(hù)體驗，從而超越目前的傳統無(wú)繩電話(huà)與蜂窩手機。這些體驗包括：

能否提供一種無(wú)縫家庭網(wǎng)絡(luò )認證與易使用設置，可與拿起無(wú)繩電話(huà)就打這樣的便利性相比擬;

能否在熱點(diǎn)及酒店房間等地方將WLANIP電話(huà)當作“家庭”電話(huà)使用。安全設置需要通過(guò)現有的由Radius服務(wù)器實(shí)現的WPA2及802.11i機制來(lái)實(shí)現;

復合式電話(huà)能否在蜂窩網(wǎng)絡(luò )與WLAN之間無(wú)縫切換。安全設置仍需通過(guò)像EAP-SIM這樣的蜂窩機制來(lái)實(shí)現。

隨著(zhù)WLAN網(wǎng)絡(luò )的日益普及，以及傳統蜂窩網(wǎng)絡(luò )上語(yǔ)音與數據業(yè)務(wù)的融合，這些趨勢為供應商提供了繼續開(kāi)發(fā)各種基于WLAN的VoIP解決方案的動(dòng)力。