用于安全无线联网的IEEE 802.1X

IEEE 802.1X原本专注于有线网络环境，但最近它在无线网络(802.11)中找到了位置。802.11的安全性失效问题被广泛提出，但该标准在解决此问题上还未充分发挥作用。原来的802.11有线等效保密(WEP)安全性基于静态加密密钥，没有任何具体方法进行动态更新。这种密钥扮演双重角色，提供鉴别(确保只有授权用户有访问权)和加密(确保会话保持私密)。如果施加任何类型的访问限制，那么通常在MAC地址基础上完成。一部被盗取或遗失的笔记本电脑或一张卡可以拥有访问网络所需的全部信息。此外，窃听者会收集起足够信息推导出WEP密钥。
IEEE802.1X在获准访问前对网络访问权进行鉴别的功能可完全适用于无线应用。作为被保护网络的边缘，在802.1X术语中称为鉴别器，可基于发出请求的用户而非网络地址来做到这一点。毕竟，应被允许进入或禁止访问网络的是用户。鉴别器向鉴别服务器咨询以验证请求者提出的访问请求。
由于同一鉴别服务器可用于多个鉴别器，因此可将每个访问点对网络的访问管理转移到一个中央数据库。有线环境中不常用到的一个附加协议特性在无线环境中更加适用---附加的密钥报文可以更新加密密钥。在信息泄露给攻击者使其破解一组密钥前，必须准备好新的密钥。
802.1X协议采用可扩展鉴别协议(EAP)传送鉴别报文，所传送鉴别方法的数量没有限制。但不是所有的EAP方法都适用于无线网络。验证接入网络的请求者很重要，这可发现那些欺骗访问点，骗取用户口令的行为。还有，为利用802.1X分发新密码资料的能力，EAP方法必须派生一种对话密钥以保证安全提供新加密密码资料。
802.1X标准建议采用Radius在鉴别器和服务器之间传送EAP，但没有得到批准。一种新协议，EAPoL (EAP over LAN)可在请求者和鉴别器之间传送EAP。EAP和Radius协议传统上都用于有线拨号环境。
在缺少标准的情况下，有些供应商最初提出了结合802.11使用802.1X的方法。思科系统公司开发了一种EAP方法--轻量EAP(LEAP)，它使用基于已知口令的响应。微软公司用EAP-TLS(传输层安全性)作为一种EAP方法，在Windows XP中推出了802.1X。EAP-TLS是安全套接层(SSL)的一种演变，它用证书进行客户端和服务器的鉴别。更新的方法如保护性EAP(REAP)和EAP-通道TLS(EAP-TTLS)也采用TLS，不过与EAP-TLS不同，它们不要求负担每个请求者的客户认证，而采用服务器证书，让请求者验证网络并建立一种安全通道。而后，在此安全通道内，用较简便的口令方法进行请求者鉴别。
自802.1X与802.11最初使用起，基于标准的工作一直在促使这种结合更具互操作性和鲁棒性。IEEE 802.11i工作组已指定802.1X用于802.11待批准的安全增强性。与此同时，802.11i草案的一部分——Wi-Fi联盟的WPA(Wi-Fi保护式访问)也指定使用802.1X。尽管802.1X及其与802.11的一起使用出现了一些安全性问题，但这些问题通过协议的合理使用和选择是可以缓解的。虽然网管们需要考虑基础设施成本，但802.1X是部署安全无线网络的重要组成部分。(锄禾译)