用于安全無(wú)線聯(lián)網(wǎng)的IEEE 802.1X

IEEE 802.1X原本專注于有線網(wǎng)絡(luò)環(huán)境，但最近它在無(wú)線網(wǎng)絡(luò)(802.11)中找到了位置。802.11的安全性失效問(wèn)題被廣泛提出，但該標(biāo)準(zhǔn)在解決此問(wèn)題上還未充分發(fā)揮作用。原來(lái)的802.11有線等效保密(WEP)安全性基于靜態(tài)加密密鑰，沒(méi)有任何具體方法進(jìn)行動(dòng)態(tài)更新。這種密鑰扮演雙重角色，提供鑒別(確保只有授權(quán)用戶有訪問(wèn)權(quán))和加密(確保會(huì)話保持私密)。如果施加任何類型的訪問(wèn)限制，那么通常在MAC地址基礎(chǔ)上完成。一部被盜取或遺失的筆記本電腦或一張卡可以擁有訪問(wèn)網(wǎng)絡(luò)所需的全部信息。此外，竊聽(tīng)者會(huì)收集起足夠信息推導(dǎo)出WEP密鑰。
IEEE802.1X在獲準(zhǔn)訪問(wèn)前對(duì)網(wǎng)絡(luò)訪問(wèn)權(quán)進(jìn)行鑒別的功能可完全適用于無(wú)線應(yīng)用。作為被保護(hù)網(wǎng)絡(luò)的邊緣，在802.1X術(shù)語(yǔ)中稱為鑒別器，可基于發(fā)出請(qǐng)求的用戶而非網(wǎng)絡(luò)地址來(lái)做到這一點(diǎn)。畢竟，應(yīng)被允許進(jìn)入或禁止訪問(wèn)網(wǎng)絡(luò)的是用戶。鑒別器向鑒別服務(wù)器咨詢以驗(yàn)證請(qǐng)求者提出的訪問(wèn)請(qǐng)求。
由于同一鑒別服務(wù)器可用于多個(gè)鑒別器，因此可將每個(gè)訪問(wèn)點(diǎn)對(duì)網(wǎng)絡(luò)的訪問(wèn)管理轉(zhuǎn)移到一個(gè)中央數(shù)據(jù)庫(kù)。有線環(huán)境中不常用到的一個(gè)附加協(xié)議特性在無(wú)線環(huán)境中更加適用---附加的密鑰報(bào)文可以更新加密密鑰。在信息泄露給攻擊者使其破解一組密鑰前，必須準(zhǔn)備好新的密鑰。
802.1X協(xié)議采用可擴(kuò)展鑒別協(xié)議(EAP)傳送鑒別報(bào)文，所傳送鑒別方法的數(shù)量沒(méi)有限制。但不是所有的EAP方法都適用于無(wú)線網(wǎng)絡(luò)。驗(yàn)證接入網(wǎng)絡(luò)的請(qǐng)求者很重要，這可發(fā)現(xiàn)那些欺騙訪問(wèn)點(diǎn)，騙取用戶口令的行為。還有，為利用802.1X分發(fā)新密碼資料的能力，EAP方法必須派生一種對(duì)話密鑰以保證安全提供新加密密碼資料。
802.1X標(biāo)準(zhǔn)建議采用Radius在鑒別器和服務(wù)器之間傳送EAP，但沒(méi)有得到批準(zhǔn)。一種新協(xié)議，EAPoL (EAP over LAN)可在請(qǐng)求者和鑒別器之間傳送EAP。EAP和Radius協(xié)議傳統(tǒng)上都用于有線撥號(hào)環(huán)境。
在缺少標(biāo)準(zhǔn)的情況下，有些供應(yīng)商最初提出了結(jié)合802.11使用802.1X的方法。思科系統(tǒng)公司開(kāi)發(fā)了一種EAP方法--輕量EAP(LEAP)，它使用基于已知口令的響應(yīng)。微軟公司用EAP-TLS(傳輸層安全性)作為一種EAP方法，在Windows XP中推出了802.1X。EAP-TLS是安全套接層(SSL)的一種演變，它用證書進(jìn)行客戶端和服務(wù)器的鑒別。更新的方法如保護(hù)性EAP(REAP)和EAP-通道TLS(EAP-TTLS)也采用TLS，不過(guò)與EAP-TLS不同，它們不要求負(fù)擔(dān)每個(gè)請(qǐng)求者的客戶認(rèn)證，而采用服務(wù)器證書，讓請(qǐng)求者驗(yàn)證網(wǎng)絡(luò)并建立一種安全通道。而后，在此安全通道內(nèi)，用較簡(jiǎn)便的口令方法進(jìn)行請(qǐng)求者鑒別。
自802.1X與802.11最初使用起，基于標(biāo)準(zhǔn)的工作一直在促使這種結(jié)合更具互操作性和魯棒性。IEEE 802.11i工作組已指定802.1X用于802.11待批準(zhǔn)的安全增強(qiáng)性。與此同時(shí)，802.11i草案的一部分——Wi-Fi聯(lián)盟的WPA(Wi-Fi保護(hù)式訪問(wèn))也指定使用802.1X。盡管802.1X及其與802.11的一起使用出現(xiàn)了一些安全性問(wèn)題，但這些問(wèn)題通過(guò)協(xié)議的合理使用和選擇是可以緩解的。雖然網(wǎng)管們需要考慮基礎(chǔ)設(shè)施成本，但802.1X是部署安全無(wú)線網(wǎng)絡(luò)的重要組成部分。(鋤禾譯)