色婷婷AⅤ一区二区三区|亚洲精品第一国产综合亚AV|久久精品官方网视频|日本28视频香蕉

          關(guān) 閉

          新聞中心

          EEPW首頁(yè) > 安全與國(guó)防 > 設(shè)計(jì)應(yīng)用 > 用于安全無(wú)線聯(lián)網(wǎng)的IEEE 802.1X

          用于安全無(wú)線聯(lián)網(wǎng)的IEEE 802.1X

          作者:■ 風(fēng)河系統(tǒng)公司 Gilbert Goodwill 時(shí)間:2005-04-27 來(lái)源:eaw 收藏
          IEEE 802.1X原本專注于有線網(wǎng)絡(luò)環(huán)境,但最近它在無(wú)線網(wǎng)絡(luò)(802.11)中找到了位置。802.11的安全性失效問(wèn)題被廣泛提出,但該標(biāo)準(zhǔn)在解決此問(wèn)題上還未充分發(fā)揮作用。原來(lái)的802.11有線等效保密(WEP)安全性基于靜態(tài)加密密鑰,沒(méi)有任何具體方法進(jìn)行動(dòng)態(tài)更新。這種密鑰扮演雙重角色,提供鑒別(確保只有授權(quán)用戶有訪問(wèn)權(quán))和加密(確保會(huì)話保持私密)。如果施加任何類型的訪問(wèn)限制,那么通常在MAC地址基礎(chǔ)上完成。一部被盜取或遺失的筆記本電腦或一張卡可以擁有訪問(wèn)網(wǎng)絡(luò)所需的全部信息。此外,竊聽者會(huì)收集起足夠信息推導(dǎo)出WEP密鑰。
          IEEE802.1X在獲準(zhǔn)訪問(wèn)前對(duì)網(wǎng)絡(luò)訪問(wèn)權(quán)進(jìn)行鑒別的功能可完全適用于無(wú)線應(yīng)用。作為被保護(hù)網(wǎng)絡(luò)的邊緣,在802.1X術(shù)語(yǔ)中稱為鑒別器,可基于發(fā)出請(qǐng)求的用戶而非網(wǎng)絡(luò)地址來(lái)做到這一點(diǎn)。畢竟,應(yīng)被允許進(jìn)入或禁止訪問(wèn)網(wǎng)絡(luò)的是用戶。鑒別器向鑒別服務(wù)器咨詢以驗(yàn)證請(qǐng)求者提出的訪問(wèn)請(qǐng)求。
          由于同一鑒別服務(wù)器可用于多個(gè)鑒別器,因此可將每個(gè)訪問(wèn)點(diǎn)對(duì)網(wǎng)絡(luò)的訪問(wèn)管理轉(zhuǎn)移到一個(gè)中央數(shù)據(jù)庫(kù)。有線環(huán)境中不常用到的一個(gè)附加協(xié)議特性在無(wú)線環(huán)境中更加適用---附加的密鑰報(bào)文可以更新加密密鑰。在信息泄露給攻擊者使其破解一組密鑰前,必須準(zhǔn)備好新的密鑰。
          802.1X協(xié)議采用可擴(kuò)展鑒別協(xié)議(EAP)傳送鑒別報(bào)文,所傳送鑒別方法的數(shù)量沒(méi)有限制。但不是所有的EAP方法都適用于無(wú)線網(wǎng)絡(luò)。驗(yàn)證接入網(wǎng)絡(luò)的請(qǐng)求者很重要,這可發(fā)現(xiàn)那些欺騙訪問(wèn)點(diǎn),騙取用戶口令的行為。還有,為利用802.1X分發(fā)新密碼資料的能力,EAP方法必須派生一種對(duì)話密鑰以保證安全提供新加密密碼資料。
          802.1X標(biāo)準(zhǔn)建議采用Radius在鑒別器和服務(wù)器之間傳送EAP,但沒(méi)有得到批準(zhǔn)。一種新協(xié)議,EAPoL (EAP over LAN)可在請(qǐng)求者和鑒別器之間傳送EAP。EAP和Radius協(xié)議傳統(tǒng)上都用于有線撥號(hào)環(huán)境。
          在缺少標(biāo)準(zhǔn)的情況下,有些供應(yīng)商最初提出了結(jié)合802.11使用802.1X的方法。思科系統(tǒng)公司開發(fā)了一種EAP方法--輕量EAP(LEAP),它使用基于已知口令的響應(yīng)。微軟公司用EAP-TLS(傳輸層安全性)作為一種EAP方法,在Windows XP中推出了802.1X。EAP-TLS是安全套接層(SSL)的一種演變,它用證書進(jìn)行客戶端和服務(wù)器的鑒別。更新的方法如保護(hù)性EAP(REAP)和EAP-通道TLS(EAP-TTLS)也采用TLS,不過(guò)與EAP-TLS不同,它們不要求負(fù)擔(dān)每個(gè)請(qǐng)求者的客戶認(rèn)證,而采用服務(wù)器證書,讓請(qǐng)求者驗(yàn)證網(wǎng)絡(luò)并建立一種安全通道。而后,在此安全通道內(nèi),用較簡(jiǎn)便的口令方法進(jìn)行請(qǐng)求者鑒別。
          自802.1X與802.11最初使用起,基于標(biāo)準(zhǔn)的工作一直在促使這種結(jié)合更具互操作性和魯棒性。IEEE 802.11i工作組已指定802.1X用于802.11待批準(zhǔn)的安全增強(qiáng)性。與此同時(shí),802.11i草案的一部分——Wi-Fi聯(lián)盟的WPA(Wi-Fi保護(hù)式訪問(wèn))也指定使用802.1X。盡管802.1X及其與802.11的一起使用出現(xiàn)了一些安全性問(wèn)題,但這些問(wèn)題通過(guò)協(xié)議的合理使用和選擇是可以緩解的。雖然網(wǎng)管們需要考慮基礎(chǔ)設(shè)施成本,但802.1X是部署安全無(wú)線網(wǎng)絡(luò)的重要組成部分。(鋤禾譯)


          評(píng)論


          技術(shù)專區(qū)

          關(guān)閉