思科认证之VoIP解决企业无线局域网安全3 w6 J) h7 F K; g, Y. S! `; f/ f* [/ c( T
WLANIP电话系统的安全设置
3 D& M0 I% L0 d$ q8 R# q作为RSN构架一部分的802.11i规范,提供了两种不同的认证机制,即:预共享密钥(PSK)模式与基于802.1x的认证模式。1 u/ I; g; U8 z
PSK实现意味着小型家庭网络不具有企业级网络这样的认证。在保持一个安全网络,使之不易受黑客攻击方面,PSK模式具有优于WEP等现有协议的可靠性。PSK实际上是一种可取代(通过802.1x机制交换的)成对主密钥(PMK)的用户设置。大多数家庭网络为了实现易使用性,都采用PSK模式作为其构架核心。这背后的含意是,家庭网络将没有可为每台设备提供PMK密钥的认证服务器。& `; E- f8 I/ a. `5 i3 L
按定义,WLANIP电话是一种网络设备,且能使用基于网络的认证。802.11i提供了一个使用802.1x的构架来认证网络终端设备。
- {! g* }/ D3 o% G1、请求方,希望通过网络认证的设备;: s" I0 o# M( ]1 g2 P6 M
2、认证方,控制接入网络的设备,例如无线接入点;
$ x4 z8 K+ q* c8 `. l& D l3 o3、认证服务器,最终决定请求设备能否接入网络的服务器。
* k8 j7 X1 a0 Q8 P802.1x在请求方、认证方与认证服务器之间提供一个可扩展架构,来交换网络上最终用于认证设备的消息。在各组件间传输的消息类型受可扩展认证协议(EAP)的控制。这种消息描述了采用请求与响应序列的认证方法。) p, f( z- [" f Q: v, w9 Z8 J
EAP没有定义每条消息的内容。网络可实现几种不同类型的内容格式,如TLS、TTLS及SIM.EAP甚至还允许网络运营商采用专用消息传输方案。802.11i规范中的802.1x的目的是为了交换用于在接入点与终端站之间建立安全网络的成对主密钥(PMK)。8 r/ @- o) q8 \) T9 m" y: U& K: y
服务提供商用802.1x机制来认证网络上的终端设备。只要由互联网骨干通往认证服务器的接入点上有可用路径,同一802.1x机制可用于许多位置。; ]+ n: y; H( D5 q4 E$ ~' p- c* }
除要求服务提供商投资所需的基于网络的认证服务器基础设施外,在网络上提供IP电话的其他要求还包括确保热点地区或家庭中的接入点具有WPA功能。
" }% P, U6 |0 R* R蜂窝手机与WLAN的融合取决于能否从两个不同的方向为用户提供移动性。蜂窝手机提供采用认证、授权、计费(AAA)服务器的认证机制。用户识别模块(SIM)存储蜂窝手机当前的认证与网络状态信息。
4 t0 E- e0 J2 K在单独的WLANIP电话中,同样的机制利用EAP-SIM就可以与通过802.1x携载消息的SIM卡一起使用。在复合式GSM与WLAN电话中,用于蜂窝网络的SIM卡,也可以用在WLAN网络上。后台认证服务器仍可使用利用IP管道的AAA服务器。此概念可作为非授权移动接入(UMA)计划的一部分来实现蜂窝网络与WLAN的融合。另外,UMA创建了IPSec隧道来为有线网络提供安全。 |
发表于 2012-8-3 20:03:30
