为WiMAX、3G和802.11x漫游建立持久的安全连接

日期: 2009-06-02 作者:Lisa Phifer翻译:李权 来源:TechTarget中国 英文

无线服务在商业领域的应用正在不断增长。据2008年 Webtorials无线局域网络市场状况调查,现有64%的企业在使用3G移动宽带,而32%的企业计划在移动WiMAX可用时予以采用。同时,企业级的无线局域网正在不断成长:多达91%的企业无线局域网采用了802.11g标准,而68%的企业局域网则正在向802.11n标准升级。   但这些广域无线服务和局域无线服务并不相互竞争。

蜂窝数据服务(WWAN)擅于外部因特网访问,而802.11标准的无线局域网(WLAN)则更适合内部私有网络的访问。将这些技术结合起来使用会带来比单独使用更好、更广泛的连接。对同时使用两种技术的移动工作人员来说,所获得的最大……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

无线服务在商业领域的应用正在不断增长。据2008年 Webtorials无线局域网络市场状况调查,现有64%的企业在使用3G移动宽带,而32%的企业计划在移动WiMAX可用时予以采用。同时,企业级的无线局域网正在不断成长:多达91%的企业无线局域网采用了802.11g标准,而68%的企业局域网则正在向802.11n标准升级。

  但这些广域无线服务和局域无线服务并不相互竞争。蜂窝数据服务(WWAN)擅于外部因特网访问,而802.11标准的无线局域网(WLAN)则更适合内部私有网络的访问。将这些技术结合起来使用会带来比单独使用更好、更广泛的连接。对同时使用两种技术的移动工作人员来说,所获得的最大好处就是:无缝的安全的漫游。

  无线安全岛

  WWAN和WLAN通常采用不同的手段实现对所传送数据的认证和加密。企业无线局域网主要侧重于保护企业的网络(有线的和无线的)免受滥用和攻击的威胁;企业蜂窝数据服务则侧重于保护商业数据在公共网络中传输时的安全。

  在无线局域网内部,管理员利用802.1x标准控制企业网络的使用,同时利用802.11i(AES)加密技术保证私有性和完整性。另外,针对不同的用户团体或应用类型还可以采用其它方法---例如,对于像VoIP电话这样的手持设备,可以采用WPA-PSK标准,而对于访客可以提供受控的门户网站。可是,所有这些方法只能局限于本地网络中,保护的只是该网络的一小部分 --- 无线边缘。

  与此相反,通过WWAN连接的工作人员则使用了安全的远程访问方式:受SSL保护的门户网站,TLS加密的电子邮件连接,和(或)虚拟专用网络(VPN)隧道。通过上述这些手段,商务旅行者、远程工作者和经常加班人员可以建立基于因特网的访问。其结果就是,他们的访问是与网络无关的,因为所有的私有数据都是通过建立的隧道直接传送到最终的目的地。

  对于只使用同一种无线网络的用户,可以很容易地选择。但当用户在不同网络之间漫游时,就会产生混淆和分歧。首先,是在任何特定时间应该使用哪种无线服务的问题。其次,是从一个网络点切换到另一个上时对通信所造成的影响。最后,是在隔离安全岛之间的连续跳跃。

  移动VPN可以弥补这一缺陷

  企业管理者如何确定移动PDA和笔记本在无线网络之间漫游时还能保证安全性和高效性?通常大多数公司采用的最基本的方法就是着手建立无处不在的蜂窝数据服务连接(和安全性),但这常常会导致蜂窝信号在无法穿透建筑物内时的连接速度很慢或时断时续。此外,即使在这些建筑物内能够建立蜂窝数据服务连接,这些公司也会因为在能使用更高速的无线局域网络的环境下为蜂窝数据服务访问支付运营商费用而气恼。

  公司能够采取的下一步措施就是采用简单的连接管理器在WWAN和WLAN之间切换。但这也带来许多新的问题。当用户从一个网络点漫游到另一个上时,必须以最快的速度修复应用会话连接,以尽量减小冲突。常规的VPN技术并不能满足这一需求;反而会由于请求重建隧道连接而导致问题恶化。

  从另一方面来看,移动VPN就是为了解决互不相连的无线和有线网络之间的差距问题而设计的。与常规的 VPN类似,移动 VPN也是使用经过认证的加密的隧道来保护在不可信网络中传送的商业数据。除此之外,移动VPN还具有下列特征:

  网络无关性:移动VPN几乎可以在任何类型的公网或私有网络上运行,包括拨号连接,小区宽带连接,以太局域网,无线局域网,蜂窝数据服务,卫星数据网络,甚至还可以运行在非IP的无线电通信网上。

  网络透明性:移动VPN提供了一致的安全环境,应用界面和用户感受来试图消除网络之间的不一致性。从使用者的视角来看,“连接”只是简单的通与断。而从管理者的视角来看,这一连接提供的是始终如一的安全性。

  网络持久性:当设备在网络间移动时,他们会丢失自己的IP地址和认证状态。移动VPN解决了这个问题,它为每个客户端指定了自己的虚拟IP地址,该地址在物理IP地址改变时保持不变。这就避免了在移动过程中的网络连接复位和重新认证。

  挂起/继续的透明性:智能手机,PDA和笔记本电脑在不忙的情况下会进入“睡眠”状态以节省电能。移动VPN网关作为那些被挂起设备的代理,可以唤醒这些设备并保持通信连接,这样就避免了重新建立VPN隧道或重复用户登录。

  应用保持能力: 在每个工作日当中都会有很多无线用户遇到覆盖盲区的问题,如在电梯中、隧道中、飞机上,以及那些没有蜂窝无线信号覆盖的区域。许多移动VPN网关可以将发往那些不可达设备的应用系统的消息进行排队,以备过后重新传送。这样就使许多应用系统避免了频繁地、有时甚至是漫长的中断。比如在登机前开始的一个下载应用可以在飞机到达目的地且恢复了蜂窝无线连接后继续执行,而且这一切对用户来说是透明的。

  基于策略的漫游:现在大多数笔记本和智能手机都拥有多个网络接口;有的移动VPN就可以基于漫游策略来确定如何使用这些可用的网络服务。例如,可以根据信号强度、连接速度、定价、应用预算、该网络服务的安全性和公司的偏好来选择“最好的”服务。移动VPN连接管理系统可以在适当的时间触发漫游,有的系统甚至使用“先连接再断开”逻辑以避免交接过程中的连接丢失。

  基于网络知晓的策略:虽然移动VPN技术在尽力让用户和应用系统察觉不到网络的区别,但管理人员却希望在策略中考虑到网络的特性。例如,某些移动VPN可以在漫游到已知的热点时自动完成门户登录,在切换到低速或高费率的无线连接时延缓例行的操作系统和防病毒系统的自动升级。

  移动性和安全性:过去,现在和未来

  移动VPN原来的应用群体对象是公共安全人员、公用事业和递送人员、医疗保健人员和其他需要将移动性、安全性和高效性结合起来才能够满足业务目标的职业。但随着使用移动设备的人越来越多,以及高速无线服务的提供,会有越来越多的人关注移动VPN。

  下面这些公司能够提供拥有部分前面所列的移动VPN特性的产品,他们是:Agito、AppGate、BirdStep、Columbitech、DiVitas、IBM、Identiprise、Mobile Aware、NetMotion Wireless、Radio IP、Smith Micro、Trellia和微软、摩托罗拉。移动VPN产品是多种多样的。有些产品是针对单个操作系统的(比如:Win32的笔记本或Windows Mobile的手持设备),而另外一些产品则覆盖多种移动操作系统。有些产品专注于基于策略的连接管理,而另一些则专注于应用的保持能力,还有的可能两者全都包括。有些产品目标在支持统一通信,而另一些产品则是以无线数据传输为中心的。

  总之,企业必须仔细了解移动VPN产品所能够提供的功能,并确定他们在多大程度上满足了企业移动工作的需求。例如,用过Windows Mobile 6.1智能手机的用户就会发现他们已经拥有了内置移动VPN客户端,并可以通过微软公司的SC-MDM(系统中心-移动设备管理器)进行管理。但这种内置的客户端不能进行扩展以支持其他平台,而且也可能满足不了每个公司对安全性、网络可知性或应用保持能力方面的要求。

  另外,还要考虑各种新的需求。比如,是否能够与企业选用的移动设备管理平台、网络访问控制和(或)统一通信架构进行集成;当用于高速链路(特别是802.11n)时的伸缩性如何;对象IP电话(VoIP)和思科网真这样对时延敏感的双向应用是否支持。显然,这类问题使得移动VPN网关和其他用来满足企业更广泛需求的平台之间的分界线变得更模糊了。不要认为移动VPN应该或必需完成所有这些功能。而只要考虑移动VPN在加入到企业团队移动架构中时如何实现无缝隙的安全漫游。

作者

Lisa Phifer
Lisa Phifer

Lisa Phifer owns Core Competence Inc., a consultancy specializing in safe business use of emerging Internet technologies.

相关推荐