无线网络安全指南PEAP验证.PDFVIP

——PDF下载中心 无线网络安全指南：PEAP 验证 对于系统管理员和企业CIO 来说，企业无线局域网的安全问题一直是他们关注的重心。在4 月份中，我们会连续关注企业无线局域网安全，今天我们将介绍Protected Extensible Authentication Protocol (PEAP) Authentication，这是一种基于密码的验证协议，可以 帮助企业实现简单安全的验证功能。 受保护的可扩展身份验证协议 (PEAP) 认证，是一种基于安全密码的认证协议，可以实现简 单而又安全的身份验证功能。虽然PEAP 也可以用于有线网络环境，但是一般来说，主要用 于无线局域网环境的网络接入保护（NAP）甚至Vista 系统中的VPN 认证。 虽然市面上还 有一些验证协议可以实现与PEAP 类似的功能，比如Funk Software 的EAP-TTLS ，但是 由于PEAP 与Windows 操作系统的良好协调性，以及可以通过Windows 组策略进行管理 的特性，使得PEAP 在部署时极其简单。 为何选 PEAP 而不是其它商业验证协议 在非Cisco 设备领域，PEAP 拥有了相当规模的市场占有率。同时，由于LEAP 协议的安全 性较差，不少Cisco 用户也选择了使用PEAP 进行用户验证，尤其是在企业无线局域网市场， PEAP 的应用比例更是远远高出其他竞争对手。最近有些Cisco 用户开始使用新的Cisco EAP-FAST 协议 ，但是这个协议的安全性并不比LEAP 强多少，而且部署相当困难。更糟 的是，很多老型号的Cisco 无线设备都不支持Cisco EAP-FAST 协议，但是却可以支持PEAP 协议。由于PEAP 可以兼容几乎全部厂商的全部设备，可以为企业提供至关重要的“设备级 验证”功能，同时可以在活动目录中自动部署（仅在微软的Windows XP/Vista PEAP 客户 端中。），因此对于企业来说，PEAP 是一个最佳的验证协议。这里需要解释的是，我并没 有劝大家不要使用Cisco 的硬件产品，因为我本身就对Cisco 的硬件可靠性非常满意。我只 是建议大家使用更通行的协议，实现最佳的灵活性、兼容性、稳定性以及更方便部署。 PEAP 和 PKI 公开密钥基础结构(PKI)是公开密钥加密方法(PKC)中的一个组件，采用了数字证书 (x.509 format) 和证书验证方法。PEAP 使用PKI 来确保用户验证过程不会被黑客或恶意人员截获 和破解，这与SSL 采用PKI 来确保网站或其它敏感网络应用在数据交换过程不被截获并破 解的目的是一样的。 虽然从OSI 模型的角度来看，PEAP 和SSL 分别属于不同的等级（第二层和第五层），但 是这两种方式都是依靠服务器端的数字证书来进行密码交换，进而启动一个安全的加密线程， 就算整个过程在黑客的监视下进行，也可以确保足够的安全性。这个安全线程不仅保护了密 码交换，更重要的是可以保护用户的密码验证线程。 PKI 模式采用一个简单的数字文档作为确定拥有者身份的数字证书，实现安全的密码交换。 数字证书本身并没有什么价值，而当这个证书被一个被称作证书授权（CA）的受信机构签名 后，就具有了证明身份的作用。为了让CA 能够被客户（诸如采用SSL 连接进行网络购物的 Page 1 of 3 ——PDF下载中心 笔记本或台式机）所信任，客户端的证书信任列表（CTL）中应该安装包含有该CA 公钥的 “root certificate”，即该CA 的根证书。 目前所有主流操作系统中，都预装了包含可信CA 根证书的CTL，这也就是为什么诸如 VeriSign 这样的公司有权利给全球的服务器颁发证书。采用VeriSign 这样具有公信力的认 证机构来建立PKI 是一件非常简单的事情，因为该证书已经被几乎所有的电脑以及PDA 设 备所接受，但是服务器证书的费用每年可能会有数百美元。采用EAP-TLS 和CA 结合的办 法成本更高，因为你还需要每年为每个客户支付60 美元的数字证书费用。 商业的CA 公司还可以为个人提供签名服务，如果你有足够的相关知识和客观条件，可以拥 有自己的数字证书，并可以建立自己的C