用于安全無(wú)線(xiàn)聯(lián)網(wǎng)的IEEE 802.1X
IEEE802.1X在獲準訪(fǎng)問(wèn)前對網(wǎng)絡(luò )訪(fǎng)問(wèn)權進(jìn)行鑒別的功能可完全適用于無(wú)線(xiàn)應用。作為被保護網(wǎng)絡(luò )的邊緣,在802.1X術(shù)語(yǔ)中稱(chēng)為鑒別器,可基于發(fā)出請求的用戶(hù)而非網(wǎng)絡(luò )地址來(lái)做到這一點(diǎn)。畢竟,應被允許進(jìn)入或禁止訪(fǎng)問(wèn)網(wǎng)絡(luò )的是用戶(hù)。鑒別器向鑒別服務(wù)器咨詢(xún)以驗證請求者提出的訪(fǎng)問(wèn)請求。
由于同一鑒別服務(wù)器可用于多個(gè)鑒別器,因此可將每個(gè)訪(fǎng)問(wèn)點(diǎn)對網(wǎng)絡(luò )的訪(fǎng)問(wèn)管理轉移到一個(gè)中央數據庫。有線(xiàn)環(huán)境中不常用到的一個(gè)附加協(xié)議特性在無(wú)線(xiàn)環(huán)境中更加適用---附加的密鑰報文可以更新加密密鑰。在信息泄露給攻擊者使其破解一組密鑰前,必須準備好新的密鑰。
802.1X協(xié)議采用可擴展鑒別協(xié)議(EAP)傳送鑒別報文,所傳送鑒別方法的數量沒(méi)有限制。但不是所有的EAP方法都適用于無(wú)線(xiàn)網(wǎng)絡(luò )。驗證接入網(wǎng)絡(luò )的請求者很重要,這可發(fā)現那些欺騙訪(fǎng)問(wèn)點(diǎn),騙取用戶(hù)口令的行為。還有,為利用802.1X分發(fā)新密碼資料的能力,EAP方法必須派生一種對話(huà)密鑰以保證安全提供新加密密碼資料。
802.1X標準建議采用Radius在鑒別器和服務(wù)器之間傳送EAP,但沒(méi)有得到批準。一種新協(xié)議,EAPoL (EAP over LAN)可在請求者和鑒別器之間傳送EAP。EAP和Radius協(xié)議傳統上都用于有線(xiàn)撥號環(huán)境。
在缺少標準的情況下,有些供應商最初提出了結合802.11使用802.1X的方法。思科系統公司開(kāi)發(fā)了一種EAP方法--輕量EAP(LEAP),它使用基于已知口令的響應。微軟公司用EAP-TLS(傳輸層安全性)作為一種EAP方法,在Windows XP中推出了802.1X。EAP-TLS是安全套接層(SSL)的一種演變,它用證書(shū)進(jìn)行客戶(hù)端和服務(wù)器的鑒別。更新的方法如保護性EAP(REAP)和EAP-通道TLS(EAP-TTLS)也采用TLS,不過(guò)與EAP-TLS不同,它們不要求負擔每個(gè)請求者的客戶(hù)認證,而采用服務(wù)器證書(shū),讓請求者驗證網(wǎng)絡(luò )并建立一種安全通道。而后,在此安全通道內,用較簡(jiǎn)便的口令方法進(jìn)行請求者鑒別。
自802.1X與802.11最初使用起,基于標準的工作一直在促使這種結合更具互操作性和魯棒性。IEEE 802.11i工作組已指定802.1X用于802.11待批準的安全增強性。與此同時(shí),802.11i草案的一部分——Wi-Fi聯(lián)盟的WPA(Wi-Fi保護式訪(fǎng)問(wèn))也指定使用802.1X。盡管802.1X及其與802.11的一起使用出現了一些安全性問(wèn)題,但這些問(wèn)題通過(guò)協(xié)議的合理使用和選擇是可以緩解的。雖然網(wǎng)管們需要考慮基礎設施成本,但802.1X是部署安全無(wú)線(xiàn)網(wǎng)絡(luò )的重要組成部分。(鋤禾譯)
評論