用于安全無線聯(lián)網的IEEE 802.1X

IEEE 802.1X原本專注于有線網絡環(huán)境，但最近它在無線網絡(802.11)中找到了位置。802.11的安全性失效問題被廣泛提出，但該標準在解決此問題上還未充分發(fā)揮作用。原來的802.11有線等效保密(WEP)安全性基于靜態(tài)加密密鑰，沒有任何具體方法進行動態(tài)更新。這種密鑰扮演雙重角色，提供鑒別(確保只有授權用戶有訪問權)和加密(確保會話保持私密)。如果施加任何類型的訪問限制，那么通常在MAC地址基礎上完成。一部被盜取或遺失的筆記本電腦或一張卡可以擁有訪問網絡所需的全部信息。此外，竊聽者會收集起足夠信息推導出WEP密鑰。
IEEE802.1X在獲準訪問前對網絡訪問權進行鑒別的功能可完全適用于無線應用。作為被保護網絡的邊緣，在802.1X術語中稱為鑒別器，可基于發(fā)出請求的用戶而非網絡地址來做到這一點。畢竟，應被允許進入或禁止訪問網絡的是用戶。鑒別器向鑒別服務器咨詢以驗證請求者提出的訪問請求。
由于同一鑒別服務器可用于多個鑒別器，因此可將每個訪問點對網絡的訪問管理轉移到一個中央數(shù)據(jù)庫。有線環(huán)境中不常用到的一個附加協(xié)議特性在無線環(huán)境中更加適用---附加的密鑰報文可以更新加密密鑰。在信息泄露給攻擊者使其破解一組密鑰前，必須準備好新的密鑰。
802.1X協(xié)議采用可擴展鑒別協(xié)議(EAP)傳送鑒別報文，所傳送鑒別方法的數(shù)量沒有限制。但不是所有的EAP方法都適用于無線網絡。驗證接入網絡的請求者很重要，這可發(fā)現(xiàn)那些欺騙訪問點，騙取用戶口令的行為。還有，為利用802.1X分發(fā)新密碼資料的能力，EAP方法必須派生一種對話密鑰以保證安全提供新加密密碼資料。
802.1X標準建議采用Radius在鑒別器和服務器之間傳送EAP，但沒有得到批準。一種新協(xié)議，EAPoL (EAP over LAN)可在請求者和鑒別器之間傳送EAP。EAP和Radius協(xié)議傳統(tǒng)上都用于有線撥號環(huán)境。
在缺少標準的情況下，有些供應商最初提出了結合802.11使用802.1X的方法。思科系統(tǒng)公司開發(fā)了一種EAP方法--輕量EAP(LEAP)，它使用基于已知口令的響應。微軟公司用EAP-TLS(傳輸層安全性)作為一種EAP方法，在Windows XP中推出了802.1X。EAP-TLS是安全套接層(SSL)的一種演變，它用證書進行客戶端和服務器的鑒別。更新的方法如保護性EAP(REAP)和EAP-通道TLS(EAP-TTLS)也采用TLS，不過與EAP-TLS不同，它們不要求負擔每個請求者的客戶認證，而采用服務器證書，讓請求者驗證網絡并建立一種安全通道。而后，在此安全通道內，用較簡便的口令方法進行請求者鑒別。
自802.1X與802.11最初使用起，基于標準的工作一直在促使這種結合更具互操作性和魯棒性。IEEE 802.11i工作組已指定802.1X用于802.11待批準的安全增強性。與此同時，802.11i草案的一部分——Wi-Fi聯(lián)盟的WPA(Wi-Fi保護式訪問)也指定使用802.1X。盡管802.1X及其與802.11的一起使用出現(xiàn)了一些安全性問題，但這些問題通過協(xié)議的合理使用和選擇是可以緩解的。雖然網管們需要考慮基礎設施成本，但802.1X是部署安全無線網絡的重要組成部分。(鋤禾譯)