Global Sources
電子工程專輯
 
電子工程專輯 > 嵌入式技術
 
 
嵌入式技術  

基於WLAN網路的VoIP如何解決安全性問題

上網時間: 2006年02月24日     打印版  Bookmark and Share  字型大小:  

關鍵字:VoIP  IP語音  WLAN  無線區域網路  Authentication 

過去幾年中,VoIP系統在企業及住宅兩個市場的普及率都得到了很大的提高。VoIP將數據和語音兩項業務融合進一個統一的網路中,使企業IT部門或家庭用戶能大幅節省成本。我們還看到各服務供應商開始少量部署VoIP系統,能夠將網路閘道連接到DSL或有線數據機等寬頻接取設備上。

目前一代的住宅網路閘道提供了一種針對數據WLAN連接的機制。今天,大多數WLAN都是針對數據應用,用於替代乙太網路,與筆記型電腦或桌上型電腦連接。一些週邊設備如印表機、相機或WLAN IP電話等,由於本身沒有充足的用戶介面,因而限制了它們的部署。一般地講,與WLAN有關的安全問題牽扯到所有和它相連的設備。WLAN IP電話或複合式蜂巢式/WLAN電話在這方面所面臨的挑戰更大。

圖1:802.1x認證的關鍵組件

WLAN系統中的安全

802.11i標準是一種支援數據封包安全與認證安全的MAC層增強型標準。前幾代基於密碼的802.11安全機制都是圍繞WEP協議制訂的。但WEP所提供的認證不是雙向認證,例如用戶不能認證網路。WEP中密鑰的重覆使用也使駭客很容易就能破解密鑰。最後,在靜態WEP實現中,網管人員實際上不可能更改接取點(AP)上的密鑰,因為這需要更改每個站點上的密鑰。所以在大多數情況下,WEP並沒有得到貫徹。

透過以下兩個步驟,802.11i可解決WEP中安全不足的問題:首先是提供一種可對目前產品進行軟體升級的機制;其次是製作一個可能需要硬體改動的新型強韌安全網路(RSN)。第一個措施已被Wi-Fi聯盟採納為無線保護接取(WPA),而且經過批准的802.11i規格已被採用為WPA2。

WPA實際上相當於為WEP所使用的RC4加密方案添加了一個安全殼,可提供用戶與網路之間的相互認證、進行自動安全的密鑰交換以及提供對語音(及數據)封包的保護。透過用高階加密標準(AES)代替RC4作為加密引擎,WPA2增強了WPA的安全性。而且,透過採用類似的自動密鑰交換機制,WPA2可保護用戶在WPA上的基礎設備投資。

雖然標準制訂機構在解決802.11 MAC層的安全性方面花費了大量的精力,但實際上並未解決家庭用戶(或焦點)應用中的安全問題。安全的缺乏與終端用戶大多不能正確理解有關技術術語及配置步驟有關,而理解這些術語和配置步驟對於設立足夠的安全性來說非常關鍵。

WLAN安全設置

從安全設置的需要出發,與無線網路連接的設備可分成以下三類:

1.具有充足用戶介面的客戶端,例如可連接到顯示器的筆記型電腦及媒體配接器;

2.具有有限用戶介面的固定設備,如印表機等;

3.具有有限用戶介面的行動設備,如WLAN IP電話(包括複合式蜂巢式與WLAN設備)等。

WLAN IP電話具有目前有線與無線電話所沒有的重要特性─行動性。要充當無線電話的替代設備,WLAN IP電話的行動性必須具有像‘拿起電話就打’這樣的方便性。

此外,WLAN IP電話還必須使用戶可以接駁他們的‘家庭’電話並使用相同的電話可以在任何地方接取寬頻網路。因此,除傳統使用情況外,安全還必須包括以上這些使用情況。早期開發的專用方案,主要是解決家庭網路中具有充足用戶介面的設備的安全問題。這些專用解決方案包括像Secure EZ設置這樣的安全機制,其所提供的安全類型一般僅限於設立一個與一台或多台電腦相連的接取點或STA設備,且這種安全機制還擴展不到能滿足‘B’或‘C’類設備的需求。

圖2:各組件間的消息傳輸

其後開發的專用方案,如按鍵式方案等,則是為了能在前面提到的三類產品中使用。這些方案仍不能提供任何互通作業性,以及對外部接取點無縫認證的能力。WiFi聯盟目前正著手提供便於安全使用的互通作業性。

WLAN IP電話系統的安全設置

作為RSN構架一部份的802.11i規格,提供了兩種不同的認證機制,即:預共享密鑰(PSK)模式與基於802.1x的認證模式。

PSK實現意味著小型家庭網路不具有企業級網路這樣的認證。在保持一個安全網路,使之不易受駭客攻擊方面,PSK模式具有優於WEP等現有協議的可靠性。PSK實際上是一種可取代(透過802.1x機制交換的)成對主密鑰(PMK)的用戶設置。大多數家庭網路為了實現易使用性,都採用PSK模式作為其構架核心。這背後的含意是,家庭網路將沒有可為每台設備提供PMK密鑰的認證伺服器。

按定義,WLAN IP電話是一種網路設備,且能使用基於網路的認證。802.11i提供了一個使用802.1x的構架來認證網路終端設備。基於802.1x認證的關鍵組件(圖1)如下:

1.請求方,希望透過網路認證的設備;

2.認證方,控制接取網路的設備,例如無線接取點;

3.認證伺服器,最終決定請求設備能否接取網路的伺服器;

802.1x在請求方、認證方與認證伺服器之間提供一個可擴展架構,來交換網路上最終用於認證設備的消息。在各組件間傳輸的消息類型受可擴展認證協議(EAP)的控制(圖2)。這種消息描述了採用請求與響應序列的認證方法。

EAP沒有定義每條消息的內容。網路可實現幾種不同類型的內容格式,如TLS、TTLS及SIM。EAP甚至還允許網路廠商採用專用消息傳輸方案。802.11i規格中的802.1x的目的是為了交換用於在接取點與終端站之間設立安全網路的成對主密鑰(PMK)。

服務供應商用802.1x機制來認證網路上的終端設備。只要由網際網路骨幹通往認證伺服器的接取點上有可用路徑,同一802.1x機制適用於許多位置。

除要求服務供應商投資所需的基於網路的認證伺服器基礎設備外,在網路上提供IP電話的其他要求還包括確保焦點地區或家庭中的接取點具有WPA功能。

蜂巢式手機與WLAN的融合取決於能否從兩個不同的方向為用戶提供行動性。蜂巢式手機提供採用認證、授權、計費(AAA)伺服器的認證機制。用戶識別模組(SIM)儲存蜂巢式手機目前的認證與網路狀態資訊。

在單獨的WLAN IP電話中,同樣的機制利用EAP-SIM就可以與透過802.1x攜載消息的SIM卡一起使用。在複合式GSM與WLAN電話中,用於蜂巢式網路的SIM卡,也可以用在WLAN網路上。後台認證伺服器仍可使用利用IP管道的AAA伺服器。此概念可作為非授權行動接取(UMA)計畫的一部份來實現蜂巢式網路與WLAN的融合。另外,UMA製作了IPSec隧道來為有線網路提供安全。

結語

成功實現基於WLAN網路的安全VoIP應用,取決於供應商能否提供一種更優質的用戶體驗,因而超越目前的傳統無線電話與蜂巢式手機。這些體驗包括:

a.能否提供一種無縫家庭網路認證與易使用設置,可比擬拿起無線電話就打的便利性;

b.能否在焦點及酒店房間等地方將WLAN IP電話當作‘家庭’電話使用。安全設置需要透過現有的由Radius伺服器實現的WPA2及802.11i機制來實現;

c.複合式電話能否在蜂巢式網路與WLAN之間無縫切換。安全設置仍需透過像EAP-SIM這樣的蜂巢式機制來實現。

隨著WLAN網路的日益普及,以及傳統蜂巢式網路上語音與數據業務的融合,這些趨勢為供應商提供了繼續開發各種基於WLAN的VoIP解決方案的動力。

作者:Ravi Kodavarti

資深工程師

德州儀器封包語音和視訊部




投票數:   加入我的最愛
我來評論 - 基於WLAN網路的VoIP如何解決安全性問題
評論:  
*  您還能輸入[0]個字
*驗證碼:
 
論壇熱門主題 熱門下載
 •   將邁入40歲的你...存款多少了  •  深入電容觸控技術就從這個問題開始
 •  我有一個數位電源的專利...  •  磷酸鋰鐵電池一問
 •   關於設備商公司的工程師(廠商)薪資前景  •  計算諧振轉換器的同步整流MOSFET功耗損失
 •   Touch sensor & MEMS controller  •  針對智慧電表PLC通訊應用的線路驅動器
 •   下週 深圳 llC 2012 關於PCB免費工具的研討會  •  邏輯閘的應用


EE人生人氣排行
 
返回頁首