2024年6月2日发(作者:)

用于安全无线联网的IEEE 802.1X

IEEE 802.1X原本专注于有线网络环境,但最近它在无线网络(802.11)中找

到了位置。802.11的安全性失效问题被广泛提出,但该标准在解决此问题上还

未充分发挥作用。原来的802.11有线等效保密(WEP)安全性基于静态加密密钥,

没有任何具体方法进行动态更新。这种密钥扮演双重角色,提供鉴别(确保只有

授权用户有访问权)和加密(确保会话保持私密)。如果施加任何类型的访问限制,

那么通常在MAC地址基础上完成。一部被盗取或遗失的笔记本电脑或一张卡

可以拥有访问网络所需的全部信息。此外,窃听者会收集起足够信息推导出

WEP密钥。IEEE802.1X在获准访问前对网络访问权进行鉴别的功能可完全适

用于无线应用。作为被保护网络的边缘,在802.1X术语中称为鉴别器,可基

于发出请求的用户而非网络地址来做到这一点。毕竟,应被允许进入或禁止访

问网络的是用户。鉴别器向鉴别服务器咨询以验证请求者提出的访问请求。由

于同一鉴别服务器可用于多个鉴别器,因此可将每个访问点对网络的访问管理

转移到一个中央数据库。有线环境中不常用到的一个附加协议特性在无线环境

中更加适用---附加的密钥报文可以更新加密密钥。在信息泄露给攻击者使其破

解一组密钥前,必须准备好新的密钥。802.1X协议采用可扩展鉴别协议(EAP)

传送鉴别报文,所传送鉴别方法的数量没有限制。但不是所有的EAP方法都适

用于无线网络。验证接入网络的请求者很重要,这可发现那些欺骗访问点,骗

取用户口令的行为。还有,为利用802.1X分发新密码资料的能力,EAP方法

必须派生一种对话密钥以保证安全提供新加密密码资料。802.1X标准建议采用

Radius在鉴别器和服务器之间传送EAP,但没有得到批准。一种新协议,

EAPoL (EAP over LAN)可在请求者和鉴别器之间传送EAP。EAP和Radius协

议传统上都用于有线拨号环境。在缺少标准的情况下,有些供应商最初提出了