用于安全無線聯(lián)網(wǎng)的IEEE 802.1X

IEEE 802.1X原本專注于有線網(wǎng)絡(luò)環(huán)境，但最近它在無線網(wǎng)絡(luò)(802.11)中找到了位置。802.11的安全性失效問題被廣泛提出，但該標(biāo)準(zhǔn)在解決此問題上還未充分發(fā)揮作用。原來的802.11有線等效保密(WEP)安全性基于靜態(tài)加密密鑰，沒有任何具體方法進(jìn)行動態(tài)更新。這種密鑰扮演雙重角色，提供鑒別(確保只有授權(quán)用戶有訪問權(quán))和加密(確保會話保持私密)。如果施加任何類型的訪問限制，那么通常在MAC地址基礎(chǔ)上完成。一部被盜取或遺失的筆記本電腦或一張卡可以擁有訪問網(wǎng)絡(luò)所需的全部信息。此外，竊聽者會收集起足夠信息推導(dǎo)出WEP密鑰。
IEEE802.1X在獲準(zhǔn)訪問前對網(wǎng)絡(luò)訪問權(quán)進(jìn)行鑒別的功能可完全適用于無線應(yīng)用。作為被保護(hù)網(wǎng)絡(luò)的邊緣，在802.1X術(shù)語中稱為鑒別器，可基于發(fā)出請求的用戶而非網(wǎng)絡(luò)地址來做到這一點(diǎn)。畢竟，應(yīng)被允許進(jìn)入或禁止訪問網(wǎng)絡(luò)的是用戶。鑒別器向鑒別服務(wù)器咨詢以驗(yàn)證請求者提出的訪問請求。
由于同一鑒別服務(wù)器可用于多個鑒別器，因此可將每個訪問點(diǎn)對網(wǎng)絡(luò)的訪問管理轉(zhuǎn)移到一個中央數(shù)據(jù)庫。有線環(huán)境中不常用到的一個附加協(xié)議特性在無線環(huán)境中更加適用---附加的密鑰報(bào)文可以更新加密密鑰。在信息泄露給攻擊者使其破解一組密鑰前，必須準(zhǔn)備好新的密鑰。
802.1X協(xié)議采用可擴(kuò)展鑒別協(xié)議(EAP)傳送鑒別報(bào)文，所傳送鑒別方法的數(shù)量沒有限制。但不是所有的EAP方法都適用于無線網(wǎng)絡(luò)。驗(yàn)證接入網(wǎng)絡(luò)的請求者很重要，這可發(fā)現(xiàn)那些欺騙訪問點(diǎn)，騙取用戶口令的行為。還有，為利用802.1X分發(fā)新密碼資料的能力，EAP方法必須派生一種對話密鑰以保證安全提供新加密密碼資料。
802.1X標(biāo)準(zhǔn)建議采用Radius在鑒別器和服務(wù)器之間傳送EAP，但沒有得到批準(zhǔn)。一種新協(xié)議，EAPoL (EAP over LAN)可在請求者和鑒別器之間傳送EAP。EAP和Radius協(xié)議傳統(tǒng)上都用于有線撥號環(huán)境。
在缺少標(biāo)準(zhǔn)的情況下，有些供應(yīng)商最初提出了結(jié)合802.11使用802.1X的方法。思科系統(tǒng)公司開發(fā)了一種EAP方法--輕量EAP(LEAP)，它使用基于已知口令的響應(yīng)。微軟公司用EAP-TLS(傳輸層安全性)作為一種EAP方法，在Windows XP中推出了802.1X。EAP-TLS是安全套接層(SSL)的一種演變，它用證書進(jìn)行客戶端和服務(wù)器的鑒別。更新的方法如保護(hù)性EAP(REAP)和EAP-通道TLS(EAP-TTLS)也采用TLS，不過與EAP-TLS不同，它們不要求負(fù)擔(dān)每個請求者的客戶認(rèn)證，而采用服務(wù)器證書，讓請求者驗(yàn)證網(wǎng)絡(luò)并建立一種安全通道。而后，在此安全通道內(nèi)，用較簡便的口令方法進(jìn)行請求者鑒別。
自802.1X與802.11最初使用起，基于標(biāo)準(zhǔn)的工作一直在促使這種結(jié)合更具互操作性和魯棒性。IEEE 802.11i工作組已指定802.1X用于802.11待批準(zhǔn)的安全增強(qiáng)性。與此同時，802.11i草案的一部分——Wi-Fi聯(lián)盟的WPA(Wi-Fi保護(hù)式訪問)也指定使用802.1X。盡管802.1X及其與802.11的一起使用出現(xiàn)了一些安全性問題，但這些問題通過協(xié)議的合理使用和選擇是可以緩解的。雖然網(wǎng)管們需要考慮基礎(chǔ)設(shè)施成本，但802.1X是部署安全無線網(wǎng)絡(luò)的重要組成部分。(鋤禾譯)