无线
RadSec,安全的RADIUS消息交换
随着移动设备越来越多地用于数据丰富的活动,移动网络已经感受到处理大量数据的负担。为了减轻压力,移动运营商开始将数据转移到本地可用的Wi-Fi网络上——不仅是他们自己的网络,还有他们的漫游合作伙伴拥有的Wi-Fi网络。如果漫游伙伴的Wi-Fi网络是安全的,那么用户的凭证将在漫游伙伴和家庭运营商之间交换,通常是通过Internet。在遍历Internet时需要保护这些凭证,最常用的方法是使用IPSec安全隧道。尽管IPSec在Internet上对这些关键信息进行了保护和加密,但IPSec并非没有问题和风险。
其中一个问题是,信息仅在防火墙之间加密,而在两个运营商网络中数据都未加密。此外,由于通常涉及的工作量和人员数量(包括服务器管理员、网络管理员、防火墙管理员和安全人员),建立IPSec可能很麻烦。还有执行密钥交换和测试连接的问题;如果需要改变连接的任何一端,整个过程都会重复,从而导致停机。
这些问题的解决方案是RADIUS安全(RadSec)
尽管RadSec仍然是IEEE (RADIUS的RadSec配置文件)中的规范草案,但它基于TLS RFC 6614“用于RADIUS的传输层安全(TLS)加密”,该加密支持RADIUS客户端和服务器之间的RADIUS消息的安全与加密。RadSec确保所有RADIUS消息的安全性和加密性,不仅当它们通过Internet发送时,而且当它们深入到每个运营商的网络时,从客户端和服务器开始。由于RadSec基于TLS,客户端和服务器在连接时相互进行身份验证,通过将证书链接到受信任的根证书来确保可信连接。通过使用证书,可以使用撤销证书来消除未经授权的连接。此外,TLS还提供RADIUS交换的加密。加密交换可以防止在漫游伙伴的网络内、通过Internet和移动运营商的网络内的客户端和服务器之间的所有点上暴露敏感的用户信息,从而使整个路径安全。
RadSec是灵活的和可扩展的。使用RadSec,客户端或服务器IP地址可以更改,而无需重新配置安全隧道设置,就像使用IPSec一样。对等客户机和服务器的数量也可以根据操作需求根据需要增加,而不需要建立新的安全隧道的额外工作。这种灵活性有助于RadSec的可伸缩性。对于传统的安全隧道,如果形成了额外的漫游伙伴关系,则需要设置防火墙来支持新的隧道。使用RadSec,最多需要更新防火墙访问控制列表(acl),以允许来自新的合作伙伴的流量;相同的证书可用于所有漫游合作伙伴连接。
基于RadSec的优点,CableLabs领导了无线宽带联盟(WB亚博yabo888vip网页版A)的工作,将RadSec引入WBA无线漫游中间交换(WRiX)。
如欲了解更多有关RadSec的资料,请联络Luther Smith (l.smith@亚博yabo888vip网页版cablelabs.com).
