2024年6月2日发(作者:)
无线安全 - 802.1x 和 EAP 类型
按字母表示的 EAP 类型 - MD5、LEAP、PEAP、FAST、TLS 和 TTLS
注: 该数据不适用于家庭或小型办公室用户,他们通常不使用高级安全功能(如本页中讨
论的功能)。不过这些用户可能会发现它很有参考价值。
802.1x 概述
它是一种通过认证保护网络的端口访问协议。 此类型的验证方法在无线环境中因该媒体的
性质而特别有用。 如果无线用户通过 802.1x 网络访问验证,接入点上会打开一个用于通
信的虚拟端口。 如果验证不成功,则不会提供虚拟端口,并将阻断通信。
802.1x 验证分为 3 个基本部分:
1. 请求者 - 在无线工作站上运行的软件客户端
2. 验证者 - 无线接入点
3. 认证服务器 - 一个认证数据库,通常是一个 Radius 服务器(例如 Cisco ACS*、
Funk Steel-Belted RADIUS* 或 Microsoft* IAS*)
EAP (可扩展验证协议) 用于在请求者(无线工作站)和验证服务器((Microsoft IAS 或其它)
之间传输验证信息。 实际验证有 EAP 类型定义和处理。 作为验证者的接入点只是一个允
许请求者和验证服务器之间进行通信的代理。
使用哪一个?
应用哪一类 EAP 或是否应用 802.1x 取决于机构所需的安全级别和期望的管理开支/功能。
此处的说明和比较表将帮助减少了解各种可用 EAP 类型的困难。
可扩展验证协议 (EAP) 验证类型
由于 WLAN 安全是非常必要,EAP 验证类型提供了一种更好地保障 WLAN 连接的方式,
经销商正在迅速开发和添加 EAP 验证类型至他们的 WLAN 接入点。 部分最常部署的
EAP 验证类型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-Fast 和 Cisco LEAP。
EAP-MD-5 (消息摘要) 质询是一种提供基本级别 EAP 支持的 EAP 验证类型。
EAP-MD-5 通常不建议用于无线 LAN 执行,因为它可能衍生用户密码。 它仅提
供单向验证 - 无法进行无线客户端和网络之间的互相验证。 更为重要的是,它不
提供衍生动态、按对话有限对等保密 (WEP)密钥的方法。
EAP-TLS (传输层安全) 提供为客户端和网络提供基于证书及相互的验证。 它依赖
客户断和服务器方面的证书进行验证,可用于动态生成基于用户和通话的 WEP 密
钥以保障 WLAN 客户端和接入点之间的通信。 EAP-TLS 的不足之处在于必须由
客户端和服务器端双方管理证书。 对于较大的 WLAN 安装,则是比较重的任务。
EAP-TTLS (隧道传输层安全)是由 Funk Software and Certicom 开发的,作
为 EAP-TLS 的扩展。 此安全方法通过加密通道(或“隧道”)为客户端和网络之间
提供基于证书的相互验证,同时作为衍生动态及按用户和对话的 WEP 密钥。 与
EAP-TLS 不同,EAP-TTLS 仅需要服务器方面的证书。
EAP-FAST (通过安全隧道灵活认证) 是由 Cisco 开发的。相互认证是通过 PAC
(保护访问资格)而不是使用证书实现的,PAC 可以由认证服务器动态管理,既可
手动也可自动配备(一次性分发)给客户端。手动配备是通过磁盘或可靠的网络分
发方法配送到客户端。自动配备是指带内以无线方式分发。
LEAP (轻型可扩展验证协议) 是一种 EAP 验证类型,主要用于 Cisco Aironet
WLAN。 它使用动态生成的 WEP 密钥对数据传输进行加密,并支持相互验证。 至
于其所有权,Cisco 已通过 Cisco Compatible Extensions 计划,将 LEAP 授
权给其它制造商许可使用。
PEAP (受保护的可扩展验证协议)通过 802.11 无线网络提供了一种安全传输验证
数据的方法,包括传统的密码保护协议。 PEAP 通过使用 PEAP 客户端和验证服
务器之间的“隧道”来实现。 同竞争对手标准“隧道传输层安全”(TTLS) 一样,PEAP
使用服务器单边证书来验证无线 LAN 客户端,从而简化了安全无线 LAN 的执行
和管理。 Microsoft、Cisco 和 RSA Security 都开发了 PEAP。
802.1x
EAP 类
型
功能/优点
需要客户
端证书
需要服务
MD5
---
信息
摘要
5
否
否
是
是
TLS
---
传输层安全
TTLS
---
隧道传
输层安
全
否
否
PEAP
---
受保护的
传输层安
全
否
是
快速
---
通过安全
隧道灵活
验证
不
(PAC)
不
LEAP
---
轻型可扩
展认证协
议
否
否
发布评论