過(guò)去幾年中,VoIP系統(tǒng)在企業(yè)及住宅兩個(gè)市場(chǎng)的普及率都得到了很大的提高。VoIP將數(shù)據(jù)和語(yǔ)音兩項(xiàng)業(yè)務(wù)融合進(jìn)一個(gè)統(tǒng)一的網(wǎng)絡(luò)中,使企業(yè)IT部門或家庭用戶能極大地節(jié)省成本。我們還看到各服務(wù)提供商開(kāi)始少量部署VoIP系統(tǒng),能夠?qū)⒕W(wǎng)關(guān)連接到DSL或有線調(diào)制解調(diào)器等寬帶接入設(shè)備上。
當(dāng)前一代的住宅網(wǎng)關(guān)提供了一種針對(duì)數(shù)據(jù)WLAN連接的機(jī)制。今天,大多數(shù)WLAN都是針對(duì)數(shù)據(jù)應(yīng)用,用于替代以太網(wǎng),與筆記本電腦或臺(tái)式電腦連接。一些設(shè)備,例如打印機(jī)、相機(jī)或WLANIP電話等,由于本身沒(méi)有充足的用戶接口,從而限制了它們的部署。一般地講,與WLAN有關(guān)的安全問(wèn)題牽扯到所有和它相連的設(shè)備。WLANIP電話或復(fù)合式蜂窩/WLAN電話在這方面所面臨的挑戰(zhàn)更大。
WLAN系統(tǒng)中的安全
802.11i標(biāo)準(zhǔn)是一種支持?jǐn)?shù)據(jù)包安全與認(rèn)證安全的MAC層增強(qiáng)型標(biāo)準(zhǔn)。前幾代基于密碼的802.11安全機(jī)制都是圍繞WEP協(xié)議制定的。但WEP所提供的認(rèn)證不是雙向認(rèn)證,例如用戶不能認(rèn)證網(wǎng)絡(luò)。WEP中密鑰的重復(fù)使用也使黑客很容易就能破解密鑰。最后,在靜態(tài)WEP實(shí)現(xiàn)中,網(wǎng)管員實(shí)際上不可能更改接入點(diǎn)(AP)上的密鑰,因?yàn)檫@需要更改每個(gè)站點(diǎn)上的密鑰。所以在大多數(shù)情況下,WEP并沒(méi)有得到貫徹。
通過(guò)以下兩個(gè)步驟,802.11i可解決WEP中安全不足的問(wèn)題:首先是提供一種可對(duì)目前產(chǎn)品進(jìn)行軟件升級(jí)的機(jī)制;其次是創(chuàng)建一個(gè)可能需要硬件改動(dòng)的新型魯棒安全網(wǎng)絡(luò)(RSN)。第一個(gè)措施已被Wi-Fi聯(lián)盟采納為無(wú)線保護(hù)接入(WPA),而且經(jīng)過(guò)批準(zhǔn)的802.11i規(guī)范已被采用為WPA2。
WPA實(shí)際上相當(dāng)于為WEP所使用的RC4加密方案添加了一個(gè)安全殼,可提供用戶與網(wǎng)絡(luò)之間的相互認(rèn)證、進(jìn)行自動(dòng)安全的密鑰交換以及提供對(duì)語(yǔ)音(及數(shù)據(jù))包的保護(hù)。通過(guò)用高級(jí)加密標(biāo)準(zhǔn)(AES)代替RC4作為加密引擎,WPA2增強(qiáng)了WPA的安全性。而且,通過(guò)采用類似的自動(dòng)密鑰交換機(jī)制,WPA2可保護(hù)用戶在WPA上的基礎(chǔ)設(shè)施投資。
圖1:802.1x認(rèn)證的關(guān)鍵組件
雖然標(biāo)準(zhǔn)制定機(jī)構(gòu)在解決802.11MAC層的安全性方面花費(fèi)了大量的精力,但實(shí)際上并未解決家庭用戶(或熱點(diǎn))應(yīng)用中的安全問(wèn)題。安全的缺乏與終端用戶大多不能正確理解有關(guān)技術(shù)術(shù)語(yǔ)及配置步驟有關(guān),而理解這些術(shù)語(yǔ)和配置步驟對(duì)于建立足夠的安全性來(lái)說(shuō)非常關(guān)鍵。
WLAN安全設(shè)置
從安全設(shè)置的需要出發(fā),與無(wú)線網(wǎng)絡(luò)連接的設(shè)備可分成以下三類:
1、帶有充足用戶接口的客戶端,例如可連接到顯示器的筆記本電腦及媒體適配器;
2、帶有有限用戶接口的固定設(shè)備,例如打印機(jī)等;
3、帶有有限用戶接口的移動(dòng)設(shè)備,例如WLANIP電話(其中可能包括復(fù)合式蜂窩與WLAN設(shè)備)等。
WLANIP電話具有目前有繩與無(wú)繩電話所沒(méi)有的重要特性——移動(dòng)性。要充當(dāng)無(wú)繩電話的替代設(shè)備,WLANIP電話的移動(dòng)性必須具有像“拿起電話就打”這樣的方便性。
此外,WLANIP電話還必須使用戶可以接駁他們的“家庭”電話并使用相同的電話可以在任何地方接入寬帶網(wǎng)絡(luò)。因此,除傳統(tǒng)使用情況外,安全還必須包括以上這些使用情況。早期開(kāi)發(fā)的專用方案,主要是解決家庭網(wǎng)絡(luò)中具有充足用戶接口的設(shè)備的安全問(wèn)題。這些專用解決方案包括像SecureEZ設(shè)置這樣的安全機(jī)制,其所提供的安全類型一般僅限于建立一個(gè)與一臺(tái)或多臺(tái)計(jì)算機(jī)相連的接入點(diǎn)或STA設(shè)備,且這種安全機(jī)制還擴(kuò)展不到能滿足“B”或“C”類設(shè)備的需求。
其后開(kāi)發(fā)的專用方案,如按鍵式方案等,則是為了能在前面提到的三類產(chǎn)品中使用。這些方案仍不能提供任何互操作性,以及對(duì)外部接入點(diǎn)無(wú)縫認(rèn)證的能力。WiFi聯(lián)盟目前正在著手提供便于安全使用的互操作性。
WLANIP電話系統(tǒng)的安全設(shè)置
作為RSN構(gòu)架一部分的802.11i規(guī)范,提供了兩種不同的認(rèn)證機(jī)制,即:預(yù)共享密鑰(PSK)模式與基于802.1x的認(rèn)證模式。
PSK實(shí)現(xiàn)意味著小型家庭網(wǎng)絡(luò)不具有企業(yè)級(jí)網(wǎng)絡(luò)這樣的認(rèn)證。在保持一個(gè)安全網(wǎng)絡(luò),使之不易受黑客攻擊方面,PSK模式具有優(yōu)于WEP等現(xiàn)有協(xié)議的可靠性。PSK實(shí)際上是一種可取代(通過(guò)802.1x機(jī)制交換的)成對(duì)主密鑰(PMK)的用戶設(shè)置。大多數(shù)家庭網(wǎng)絡(luò)為了實(shí)現(xiàn)易使用性,都采用PSK模式作為其構(gòu)架核心。這背后的含意是,家庭網(wǎng)絡(luò)將沒(méi)有可為每臺(tái)設(shè)備提供PMK密鑰的認(rèn)證服務(wù)器。
按定義,WLANIP電話是一種網(wǎng)絡(luò)設(shè)備,且能使用基于網(wǎng)絡(luò)的認(rèn)證。802.11i提供了一個(gè)使用802.1x的構(gòu)架來(lái)認(rèn)證網(wǎng)絡(luò)終端設(shè)備;802.1x認(rèn)證的關(guān)鍵組件(圖2)如下:
圖2:各組件間的消息傳輸
來(lái)源:CSDN