无线安全x和EAP类型.docVIP

无线安全 － 802.1x 和 EAP 类型 按字母表示的 EAP 类型 - MD5、LEAP、PEAP、FAST、TLS 和 TTLS 注： 该数据不适用于家庭或小型办公室用户，他们通常不使用高级安全功能（如本页中讨论的功能）。不过这些用户可能会发现它很有参考价值。802.1x 概述它是一种通过认证保护网络的端口访问协议。 此类型的验证方法在无线环境中因该媒体的性质而特别有用。 如果无线用户通过 802.1x 网络访问验证，接入点上会打开一个用于通信的虚拟端口。 如果验证不成功，则不会提供虚拟端口，并将阻断通信。 802.1x 验证分为 3 个基本部分： 请求者 - 在无线工作站上运行的软件客户端 验证者 - 无线接入点 认证服务器 - 一个认证数据库，通常是一个 Radius 服务器（例如 Cisco ACS*、Funk Steel-Belted RADIUS* 或 Microsoft* IAS*） EAP (可扩展验证协议) 用于在请求者（无线工作站）和验证服务器（(Microsoft IAS 或其它）之间传输验证信息。 实际验证有 EAP 类型定义和处理。 作为验证者的接入点只是一个允许请求者和验证服务器之间进行通信的代理。 使用哪一个？应用哪一类 EAP 或是否应用 802.1x 取决于机构所需的安全级别和期望的管理开支/功能。 此处的说明和比较表将帮助减少了解各种可用 EAP 类型的困难。 可扩展验证协议 (EAP) 验证类型由于 WLAN 安全是非常必要，EAP 验证类型提供了一种更好地保障 WLAN 连接的方式，经销商正在迅速开发和添加 EAP 验证类型至他们的 WLAN 接入点。 部分最常部署的 EAP 验证类型包括 EAP-MD-5、EAP-TLS、EAP-PEAP、EAP-Fast 和 Cisco LEAP。 EAP-MD-5 (消息摘要) 质询是一种提供基本级别 EAP 支持的 EAP 验证类型。 EAP-MD-5 通常不建议用于无线 LAN 执行，因为它可能衍生用户密码。 它仅提供单向验证 - 无法进行无线客户端和网络之间的互相验证。 更为重要的是，它不提供衍生动态、按对话有限对等保密 (WEP)密钥的方法。 EAP-TLS (传输层安全) 提供为客户端和网络提供基于证书及相互的验证。 它依赖客户断和服务器方面的证书进行验证，可用于动态生成基于用户和通话的 WEP 密钥以保障 WLAN 客户端和接入点之间的通信。 EAP-TLS 的不足之处在于必须由客户端和服务器端双方管理证书。 对于较大的 WLAN 安装，则是比较重的任务。 EAP-TTLS (隧道传输层安全）是由 Funk Software and Certicom 开发的，作为 EAP-TLS 的扩展。 此安全方法通过加密通道（或“隧道”）为客户端和网络之间提供基于证书的相互验证，同时作为衍生动态及按用户和对话的 WEP 密钥。 与 EAP-TLS 不同，EAP-TTLS 仅需要服务器方面的证书。 EAP-FAST (通过安全隧道灵活认证) 是由 Cisco 开发的。相互认证是通过 PAC （保护访问资格）而不是使用证书实现的，PAC 可以由认证服务器动态管理，既可手动也可自动配备（一次性分发）给客户端。手动配备是通过磁盘或可靠的网络分发方法配送到客户端。自动配备是指带内以无线方式分发。 LEAP (轻型可扩展验证协议) 是一种 EAP 验证类型，主要用于 Cisco Aironet WLAN。 它使用动态生成的 WEP 密钥对数据传输进行加密，并支持相互验证。 至于其所有权，Cisco 已通过 Cisco Compatible Extensions 计划，将 LEAP 授权给其它制造商许可使用。 PEAP (受保护的可扩展验证协议)通过 802.11 无线网络提供了一种安全传输验证数据的方法，包括传统的密码保护协议。 PEAP 通过使用 PEAP 客户端和验证服务器之间的“隧道”来实现。 同竞争对手标准“隧道传输层安全”(TTLS) 一样，PEAP 使用服务器单边证书来验证无线 LAN 客户端，从而简化了安全无线 LAN 的执行和管理。 Microsoft、Cisco 和 RSA Security 都开发了 PEAP。 802.1x EAP 类型 功能/优点 MD5---信息摘要 5 TLS---传输层安全 TTLS---隧道传输层安全 PEAP---受保护的传输层安全 快速---通过安全隧道灵活验证 LEAP---轻型可扩展认证协议 需要客户端证书 否 是 否 否 不(PAC) 否 需要服务器证书 否 是 否 是 不(PAC) 否 WEP 密钥管理