作者：美國福祿克網(wǎng)絡(luò)公司

    無線網(wǎng)絡(luò)的開放性為網(wǎng)絡(luò)治理員和用戶增加了不確定性。

    網(wǎng)絡(luò)治理員希望只答應(yīng)授權(quán)用戶訪問其網(wǎng)絡(luò)，而用戶則需要確保自己訪問的是恰當(dāng)?shù)木W(wǎng)絡(luò)。本文深入討論了典型的無線局域網(wǎng)客戶登錄過程以及802.1x和 EAP 驗證過程。網(wǎng)絡(luò)治理員和網(wǎng)絡(luò)用戶都關(guān)心網(wǎng)絡(luò)訪問權(quán)限和安全性。網(wǎng)絡(luò)治理員希望確保請求訪問網(wǎng)絡(luò)的客戶端確實是其本身——是已授權(quán)用戶而非冒名頂替的用戶。而網(wǎng)絡(luò)用戶所希望的是當(dāng)筆記本電腦連接到無線網(wǎng)絡(luò)時，他確實連接到了自己的網(wǎng)絡(luò)——而不是由黑客建成，用于收集用戶信息的假冒網(wǎng)絡(luò)。對網(wǎng)絡(luò)治理員和用戶來說，他們最基本的需要是對網(wǎng)絡(luò)的信任。

    事實證實，初期開發(fā)的一些安全和保密性方案所提供的信任，對于黑客的攻擊是脆弱的。例如：802.11的有線等效保密協(xié)議(WEP)。今天的網(wǎng)絡(luò)治理員正在體現(xiàn)802.1X，希望它可以提供一個可靠的安全環(huán)境。到目前為止，802.1X還能滿足這個諾言。

    在2004年12月13日，IEEE 發(fā)布了 802.1X 標(biāo)準(zhǔn)“基于端口的網(wǎng)絡(luò)訪問控制”。 可以訪問http://standards.ieee.org /getieee802/802.1.Html 獲取相關(guān)信息。802.1X 標(biāo)準(zhǔn)對于嘗試連接到局域網(wǎng)的設(shè)備，提供了認(rèn)證和授權(quán)的方法。防止認(rèn)證和授權(quán)失敗的用戶訪問局域網(wǎng)。

    由于無法將WLAN像有線網(wǎng)一樣從物理上放到墻后或用門鎖上，這使他們更加輕易受到攻擊。無線局域網(wǎng)的治理員是第一批實施802.1X 的人。現(xiàn)在 802.1X 的應(yīng)用，已經(jīng)擴(kuò)展到有線網(wǎng)絡(luò)，作為補(bǔ)充的安全措施。

    IEEE802.1X是從點對點協(xié)議(PPP) 和擴(kuò)展的認(rèn)證協(xié)議 (EAP) 演變而來。PPP 通常用于因特網(wǎng) (Internet） 撥號訪問。它包括認(rèn)證機(jī)制，含有用戶名和密碼。EAP 的出現(xiàn)，提供了更豐富的安全機(jī)制。EAP 駐留在 PPP 認(rèn)證協(xié)議中，為幾個不同的認(rèn)證方法提供廣義的框架。EAP 在 IETF's RFC 3748 中定義 EAP，可以從http://www.ietf.org/rfc 獲取相關(guān)信息。IEEE 802.1X 是在有線或無線局域網(wǎng)上傳遞 EAP 的標(biāo)準(zhǔn)。802.1X 不使用 PPP；而是把 EAP 消息被封裝在以太網(wǎng)幀中。封裝的 EAP 包被稱為局域網(wǎng)上的 EAP 或 EAPOL (EAP Over LAN)。

    IEEE802.1X定義三個必要的角色完成認(rèn)證交換。1.認(rèn)證者是網(wǎng)絡(luò)設(shè)備（例如：接入點、交換機(jī)）希望在答應(yīng)訪問前增強(qiáng)認(rèn)證。2. 請求者是網(wǎng)絡(luò)設(shè)備（例如客戶端 PC、PDA）正在請求訪問。3. 認(rèn)證服務(wù)器，典型的是 RADIUS 服務(wù)器，執(zhí)行必要的認(rèn)證功能，代替認(rèn)證者檢查請求者的認(rèn)證證書，指示是否請求者已被授權(quán)訪問認(rèn)證者的服務(wù)。僅管一臺設(shè)備可能既是認(rèn)證者又是認(rèn)證服務(wù)器，但通常情況下，它們都是獨立的設(shè)備。獨立的認(rèn)證服務(wù)器最有效是當(dāng)大多數(shù)的認(rèn)證工作可以在被請求者（無線筆記本電腦）上實現(xiàn)時，認(rèn)證服務(wù)器可以具有較小的處理能力和內(nèi)存，節(jié)省成本。

    圖1：802.1X角色

    揭密無線網(wǎng)絡(luò)訪問和802.1x安全性的迷惑

    以下是通過802.1x成功認(rèn)證的典型過程。一旦請求者檢測到以激活的鏈接，則啟動本過程（例如筆記本電腦和接入點關(guān)聯(lián)）。

    現(xiàn)在存在許多版本的EAP。他們的差別在于論證(challenge)過程的復(fù)雜性和安全性的不同。一些論證過程僅認(rèn)證客戶端，而其他論證則需要客戶端和網(wǎng)絡(luò)互相認(rèn)證。一些論證要求對請求和響應(yīng)加密。最常見的EAP類型是建立在交換機(jī)、路由器和操作系統(tǒng)上的，因為在這些環(huán)境中通常最輕易實現(xiàn)。以下表格列出了與 802.1x 共同使用的一些常見的 EAP 類型。

    以下是幾個最常用EAP類型的認(rèn)證過程舉例：EAP-TLS、LEAP和 PEAP-MSCHAP-V2。在第一個例子中，我們將添加無線局域網(wǎng)關(guān)聯(lián)過程和 ip 地址解析過程，因為這些過程與認(rèn)證過程都是最典型的客戶端登錄過程。

    圖2：典型的WLAN客戶端登錄過程

    例1：包含EAPTLS 認(rèn)證的 WLAN 登錄過程

    802.11關(guān)聯(lián)過程

    802.1XEAP-TLS認(rèn)證過程

    DHCPIP地址解析過程

    例2：802.1XLEAP認(rèn)證

    本例中，僅描述了LEAP認(rèn)證過程。WLAN關(guān)聯(lián)和 DCHP 過程不變。

    例3：802.1XPEAP-MS-CHAP-V2認(rèn)證過程

    本例中，僅描述了PEAP-MS-CHAP-V2認(rèn)證過程。WLAN關(guān)聯(lián)和DCHP 過程不變。

    總結(jié)

    了解關(guān)聯(lián)、認(rèn)證和IP地址解析過程有助于對客戶端登錄問題進(jìn)行故障診斷。現(xiàn)在有網(wǎng)絡(luò)分析工具可以監(jiān)測和記錄整個客戶端到網(wǎng)絡(luò)的登錄過程。假如有無線筆記本電腦用戶無法訪問網(wǎng)絡(luò)，可以連接網(wǎng)絡(luò)分析儀到您的網(wǎng)絡(luò)中，觀察整個登錄過程。您將能夠知道登錄過程失敗在哪里。一旦通過觀察這些過程分離出問題，您就能夠知道什么地方出現(xiàn)了問題，需要如何解決或修復(fù)此過程。

    認(rèn)證，證實身份的過程，是網(wǎng)絡(luò)安全的基本途徑。通過執(zhí)行IEEE802.1X認(rèn)證，網(wǎng)絡(luò)治理員能夠有效控制對網(wǎng)絡(luò)的訪問。選擇 EAP 類型時要考慮；有些 EAP 視為無線和有線局域網(wǎng)開發(fā)的，另一些只能用于其中一種網(wǎng)絡(luò)。在對類型進(jìn)行選擇前，事先做一些研究，因為它們各自有自己的優(yōu)勢和不足。理解認(rèn)證和登錄相關(guān)的過程，將幫助您對用戶訪問問題進(jìn)行故障診斷。同時，對新出現(xiàn)的安全問題保持關(guān)注——是維持網(wǎng)絡(luò)的信譽(yù)最好的方法。

    參考

    IEEEStd802.1X-2004,局域網(wǎng)和城域網(wǎng) IEEE 標(biāo)準(zhǔn)，基于端口的網(wǎng)絡(luò)訪問控制。

    IETFRFC3748,擴(kuò)展認(rèn)證協(xié)議 (EAP), Blunk, L., Vollbrecht, J., Aboba, B., Carlson, J., Levkowetz, H., June 2004

    Geier,Jim.“802.1XOffers Authentication and Key Management.” Wi-Fi Planet 7 May 2002. Snyder, Joel. “What is 802.1X?” Network

    WorldFusion6May 2002

    “802.1XPortaccessControl for WLANs.” Wi-Fi Planet.com 5 September 2003

    “Deploying802.1XforWLANs: EAP Types.” Wi-Fi Planet.com 10 September 2003