如何管理嵌入式Wi-Fi设备的访问控制 点击:373 | 回复:2
在早期的无线LAN中,嵌入Wi-Fi的客户端通常指的是条形码扫描器、销售点终端、语音IP手持设备或其他特殊用途的设备。对于访问的控制一般都很宽松,采用的方法包括MAC地址和协议过滤器,以及隐藏SSID和静态WEP密码等。这些方法能够减少偶然连接并阻止(但不保证一定能防止)未授权的嵌入式设备连接无线LAN。
如今,这种“含糊的安全性”策略在支持Wi-Fi的消费电子设备中已经很不受欢迎了。从无线打印机和摄像器到媒体播放器和显示器,企业网络中连接的嵌入Wi-Fi的设备简直就泛滥成灾了,问题是这些设备与以往的设备不同,无法很好地纳入现有的策略和IT过程中。禁止这些设备又是不可行的,而增加MAC地址过滤又达不到控制的目的。因此,IT必须寻找一些方法在保证安全使用的前提下防止不可接受的风险或成本。
使用WPA2-Personal来控制嵌入式Wi-Fi设备
在嵌入式无线LAN设备访问控制方法中,WPA2-Personal是一种经常被忽视的方法:Pre-Shared Key (PSK)验证和AES加密。“个人版(Personal)”表示这种方法不是针对企业无线LAN而设计的策略, PSK也不建议用来控制那些可以由WPA2-Enterprise有效控制的设备。然而,对于不支持WPA2-Enterprise或设备认证的消费电子产品,PSK是一种可行的替代方法。
现在,所有支持Wi-Fi的消费电子产品都必须支持WPA2-Personal;有超过1800种设备支持Wi-Fi Protected Setup (WPS)。WPS是一种简单的方法,它以包含少量或不包含数据项的相对较严格的方式启用WPA2-Personal。
为了使用WPS,我们需要查找印在客户端设备的包装或LCD安装面板上的唯一的WPS PIN码。通过PIN码进入AP或控制器的WPS安装页面。通讯双方将完成一次安全握手,在这个过程中客户端会得到一个随机PSK。有一些WPS客户端也支持使用自动化或Near-Field Communication (NFC)安装作为基于PIN安装的替代方法。无论是哪种一方法,WPS都不仅能够实现自动的PSK安装,还能够生成足以对抗攻击的较长随机PSK。
当嵌入式设备通过这种方式验证后,一般的策略都可用来控制流量流。各个SSID会映射到VLAN上,并根据协议进行优先级划分和过滤,以适应不同类型的设备和业务用途。例如,您可以只允许通过打印协议连接无线打印机,而不支持Telnet、SNMP或其他可能会攻击这些嵌入式设备的未知数据包。
使用Wi-Fi Direct管理来自嵌入式Wi-Fi设备的流量
从一开始,WPS就没有得到企业AP和控制器的广泛支持。然而,每一个Wi-Fi Direct认证产品都要求支持WPS。这种端到端Wi-Fi联盟规范支持简单的设备到设备的直连,不需要AP或传统的Wi-Fi点对点模式。支持Wi-Fi Direct的设备能够发现其他设备,形成由两个或多个设备组成的Wi-Fi Direct“分组”。这些自我组织的分组是为了简化通信所需要的Wi-Fi连接,如消费电子产品之间的文件共享和打印。
为了方便使用和流量分离,企业可能希望有选择性地授权Wi-Fi Direct使用。例如,网络团队需要不通过企业网络就能够给用户授权无线打印功能。为了与企业无线LAN共存,Wi-Fi Direct定义了一个“托管设备”选项,IT可使用这个选项来控制Wi-Fi Direct频道和功率。然而,支持这个选项的产品还没有,现在谈论Wi-Fi Direct对企业无线LAN的实际影响还为时过早。
更多嵌入式Wi-Fi设备的验证方法
为了支持WPA2-Enterprise验证,嵌入式Wi-Fi设备还需要无用户干预的802.1X证书,如设备证书。这些证书还没有在消费电子设备中广泛使用,但是一些更高端的设备可支持EAP-TLS,它使用了企业发布的证书。例如,有一些设备可能提供了TPM芯片以实现密钥存储安全,或者它们可能有一个特殊插槽,支持外接带有证书的智能卡或USB。
此外,实现了Cisco Compatible Extensions (CCX)的Wi-Fi设备也支持EAP-FAST。这种EAP允许企业发布受保护访问证书(PAC),它可用于保护不使用电子证书的非交互802.1X验证的安全。目前的CCX认证设备包括Wi-Fi语音手持设备、便携式电脑、加固耐用手持设备和一些智能手机。
GSM智能手机可选择的另一个验证方法是EAP-SIM,这是一种通过它的用户身份模块(SIM)来识别设备的EAP类型。对于UMTS智能手机,类似的功能是由EAP-AKA提供的。这些证书可能更多的是被移动运营商使用,而不是一般企业,但是它们还有一个有趣的角色——Wi-Fi/3G漫游。特别是,Wi-Fi Alliance现在正在开发一种热点认证项目,它基于IEEE 802.11u的,帮助整合的移动设备实现透明漫游(例如,智能手机和平板电脑)。认证的设备可能能够发现附近的最佳热点,并使用带有EAP-SIM或EAP-AKA的WPA2-Enterprise连接热点,而不会出现中断,也不需要用户干预。实际上,运营商可能会使用漫游协议来实现呼叫/会话切换和计费,从而实现与现在的无线语音漫游类似的用户体验。
嵌入式Wi-Fi设备仍然参差不齐,而且它们很大程度上受到设备类型、Wi-Fi安全功能(包括EAP类型)和目标业务用途的影响。注意,设备指纹识别也可能在这里发挥作用——如果只是为了不需要进行IT操作就实现嵌入式设备的可见性。企业应该保持对这个问题的关注,并且可以考虑使用创造性“开箱即用”的策略来解决访问控制需求,而不将企业无线LAN暴露于重大风险之下。
楼主最近还看过
单片机培训、单片机学习 日前,经过多次考核和洽谈,历时2个多月的层层筛选,某国际知名重工企业从全国七家有一定规模的嵌入式培训机构中,选择了与上海交大志盟嵌入式中心签订嵌入式研发人才委托培养合作协议。由交大志盟为该企业新入职的47名应届硕士研究生,提供嵌入式研发技术培训,通过与企业实际应用相结合的课程学习,来提升员工在工程机械自控领域内的嵌入式研发技术水平。
企业班车送47名应届硕士来交大志盟张江校区上课
嵌入式技术起先主要应用在航天航空、医疗、国防领域中,近些年在智能手机、平板电脑、车载影音等消费类电子产品,以及交换机、路由器等网络通信产品中也已被广泛的应用。
而嵌入式技术在工程机械自控领域内的应用,主要是改变了以往工程机械产品功能单一、大型笨重和灵活性差等特性,不仅大大提升了各类工程机械的作业功效,同时改善了工程机械操作人员的工作环境,使产品智能化、自动化程度更高。
嵌入式技术的就业方向在国内已经越来越广泛。目前需求嵌入式研发技术的已不仅仅局限于生产研发手机、通信产品的公司,像工程机械制造这类大型生产工具也已经开始与嵌入式技术结合,这类的企业对嵌入式研发人才的需求正在逐步增大。记者从交大志盟李老师那里得知,有3名交大志盟的同学同时进入了该知名重工企业,从事嵌入式研发工作,他们都表示非常看好这一领域的发展前景。
3G嵌入式开发领域是最具发展前途的IT应用领域之一。已经是众所周知,学习嵌入式基础甚是重要,如果没有一点C相关基础,是很难突破到重点,而且学习起来比较吃力,当然学习嵌入式要从个人的知识背景和现实条件出发,订立合适的阶段目标,在允许的条件下多动手思考和实践,实践是最锻炼人的方式。
嵌入式入门门槛较高,但是再难再高都是一步一步走出来的,所以没有必要因为门槛高就觉得很困难,一步一个脚印,贵在坚持就可以了。
嵌入式培训 http://www.lirenedu.org/
工控网智造工程师好文精选
