用于安全無線聯(lián)網(wǎng)的IEEE 802.1X

IEEE 802.1X原本專注于有線網(wǎng)絡環(huán)境，但最近它在無線網(wǎng)絡(802.11)中找到了位置。802.11的安全性失效問題被廣泛提出，但該標準在解決此問題上還未充分發(fā)揮作用。原來的802.11有線等效保密(WEP)安全性基于靜態(tài)加密密鑰，沒有任何具體方法進行動態(tài)更新。這種密鑰扮演雙重角色，提供鑒別(確保只有授權用戶有訪問權)和加密(確保會話保持私密)。如果施加任何類型的訪問限制，那么通常在MAC地址基礎上完成。一部被盜取或遺失的筆記本電腦或一張卡可以擁有訪問網(wǎng)絡所需的全部信息。此外，竊聽者會收集起足夠信息推導出WEP密鑰。
IEEE802.1X在獲準訪問前對網(wǎng)絡訪問權進行鑒別的功能可完全適用于無線應用。作為被保護網(wǎng)絡的邊緣，在802.1X術語中稱為鑒別器，可基于發(fā)出請求的用戶而非網(wǎng)絡地址來做到這一點。畢竟，應被允許進入或禁止訪問網(wǎng)絡的是用戶。鑒別器向鑒別服務器咨詢以驗證請求者提出的訪問請求。
由于同一鑒別服務器可用于多個鑒別器，因此可將每個訪問點對網(wǎng)絡的訪問管理轉(zhuǎn)移到一個中央數(shù)據(jù)庫。有線環(huán)境中不常用到的一個附加協(xié)議特性在無線環(huán)境中更加適用---附加的密鑰報文可以更新加密密鑰。在信息泄露給攻擊者使其破解一組密鑰前，必須準備好新的密鑰。
802.1X協(xié)議采用可擴展鑒別協(xié)議(EAP)傳送鑒別報文，所傳送鑒別方法的數(shù)量沒有限制。但不是所有的EAP方法都適用于無線網(wǎng)絡。驗證接入網(wǎng)絡的請求者很重要，這可發(fā)現(xiàn)那些欺騙訪問點，騙取用戶口令的行為。還有，為利用802.1X分發(fā)新密碼資料的能力，EAP方法必須派生一種對話密鑰以保證安全提供新加密密碼資料。
802.1X標準建議采用Radius在鑒別器和服務器之間傳送EAP，但沒有得到批準。一種新協(xié)議，EAPoL (EAP over LAN)可在請求者和鑒別器之間傳送EAP。EAP和Radius協(xié)議傳統(tǒng)上都用于有線撥號環(huán)境。
在缺少標準的情況下，有些供應商最初提出了結合802.11使用802.1X的方法。思科系統(tǒng)公司開發(fā)了一種EAP方法--輕量EAP(LEAP)，它使用基于已知口令的響應。微軟公司用EAP-TLS(傳輸層安全性)作為一種EAP方法，在Windows XP中推出了802.1X。EAP-TLS是安全套接層(SSL)的一種演變，它用證書進行客戶端和服務器的鑒別。更新的方法如保護性EAP(REAP)和EAP-通道TLS(EAP-TTLS)也采用TLS，不過與EAP-TLS不同，它們不要求負擔每個請求者的客戶認證，而采用服務器證書，讓請求者驗證網(wǎng)絡并建立一種安全通道。而后，在此安全通道內(nèi)，用較簡便的口令方法進行請求者鑒別。
自802.1X與802.11最初使用起，基于標準的工作一直在促使這種結合更具互操作性和魯棒性。IEEE 802.11i工作組已指定802.1X用于802.11待批準的安全增強性。與此同時，802.11i草案的一部分——Wi-Fi聯(lián)盟的WPA(Wi-Fi保護式訪問)也指定使用802.1X。盡管802.1X及其與802.11的一起使用出現(xiàn)了一些安全性問題，但這些問題通過協(xié)議的合理使用和選擇是可以緩解的。雖然網(wǎng)管們需要考慮基礎設施成本，但802.1X是部署安全無線網(wǎng)絡的重要組成部分。(鋤禾譯)