身份認證基礎的安全性機制

傳統的有線網路，只能授權資料存取於通訊埠口(ports)或虛擬區域網路(VLAN)。對於行動性的使用者與設備而言，無法滿足行動性的需求。對於行動性的使用者與設備而言，安全的行動網路必須能夠辨別每一個連結於網路上的用戶與設備。一旦識別通過，企業所設定的安全性政策將應用於網路上。如此一來，網路便能提供符合企業需求的用戶與設備存取口。

單一端點安全控制機制

藉由整合端點的加密、認證與存取控制機制於同一端點，可避免IP位址遭竊取的攻擊。傳統上沒有單一端點的安全控制機制，通常是由一個設備負責加密、另一個設備執行認證、而存取控制則由外部的防火牆進行。由於防火牆無法辨識IP 位址，這會造成防火牆無法全面防止非法IP 位址的攻擊。在行動網路系統中，防火牆政策適用於使用者，而非用戶的IP 位址。如果用戶的IP 位址被竊取，非法人士也無法輕易通過任何防火牆的安全機制政 策，也無法對行動網路造成損害。

通用的認證機制

認證機制是系統辨識用戶與設備的方法。行動控制器(Mobility Controller)可支援
802.1x 的認證機制、虛擬私人網路認證(VPN authentication)，以及網頁認證(captive
portal authentication)等認證方式。大部分的系統一次只能支援一個協定(protocol)，安全的行動網路系統能夠支援所有通用的認證機制，並使三個安全性機制同使啟用。使用這種方式，無論是連結到有線的通訊埠(port)或到無線網路識別碼(SSID)的用戶，可使用他們所配裝的認證協定；也代表不會有用戶被封鎖在網路外部。

角色為基礎的存取控制(Role-based Access Control)

行動網路系統能依據不同的認證方式，像802.1x、虛擬私人網路(VPN)或網頁認證
(captive portal)，辨識出連結於網路上的使用者或設備。在認證的程序中，安全行動網路的行動控制器(Mobility Controller)能記憶用戶或設備的群組或角色。這些資訊來自一個認證伺服器，像是Active Directory、 Radius 或LDAP 。系統一旦能夠記憶用戶或設備的角色，原先設定的權限與安全性政策就可應用於協定中。這個形式可使不同層級的使用者分享相同的網路架構，並且減少傳統有線網路所造成過度授權資訊存取的問題。

高速加密機制

對安全行動網路來說，加密機制是一項重要的元件。安全行動網路系統可支援大範圍的加密形式，包含無線的AES、TKIP，以及WEP；虛擬私人網路(VPN)的AES-CBC、Triple-DES，以及MPPE；有線或無線的加密透過xSec通訊埠的AES-CBC-256；以及系統管理與網頁認證的SSL。

晶片基礎的執行程序

為確保提供最高品質的績效表現，安全行動網路系統的行動控制器(Mobility Network)使用獨立分隔的控制、資料與加密處理器，以提供整體網路的規模性與高品質的績效表現。防火牆機制的執行準則是由行動控制器中特定封包處理晶片所執行，即使行動控制器的運作規則非常複雜，各個晶片獨立運作並負責單一機制。這樣的運作方式，也不會使系統的整體績效降低。

自動化設定用戶黑名單

安全行動網路系統可使管理者可以自動化設定黑名單，或從所有的網路存取管道封鎖任何一個違反特定防火牆政策的用戶。這項機制在單一用途設備(例如網路語音系統設備)的控管上，能夠發揮其最佳的效益。如果安全行動網路的行動控制器偵測到一個試圖進行資料庫查詢或瀏覽檔案的語音通話設備，藉由行動控制器所自動化設定的黑名單，安全行動網路系統將會立即終止該設備與網路的連結，並向管理者發出警告的訊息。

彈性化的政策設定

安全行動網路系統可使防火牆政策的設定根據身分識別、資訊傳輸的來源與終點、服務的形式、使用服務的時間、實體的定位，甚至是使用客戶端整合軟體時設備的狀態等條件。政策的執行動作包含：許可、拒絕、重新定向到外部設備或管道、登錄，或服務品質管理(QoS)行動，例如設定802.1p或DiffServ bits等，以及排出資訊傳輸的優先順序。

更多資訊