日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

通向WLAN安全的兩條道路

云知道

【通向WLAN安全的兩條道路】 一段時(shí)間來(lái),人們毫無(wú)疑問(wèn)地認(rèn)為:建立安全的無(wú)線(xiàn)局域網(wǎng)(WLAN)的最佳途徑就是通過(guò)驗(yàn)證、授權(quán)和審計(jì)(AAA)服務(wù)器 。AAA服務(wù)器又被稱(chēng)為遠(yuǎn)程驗(yàn)證撥入用戶(hù)服務(wù)(RADIUS)――RADIUS基于因特網(wǎng)工作任務(wù)組(IETF)標(biāo)準(zhǔn)的支持,它能夠?yàn)橄胍L(fǎng)問(wèn)網(wǎng)絡(luò)的用戶(hù)執(zhí)行驗(yàn)證、授權(quán)和審計(jì)等功能 。
正如RADIUS的“拔入”概念所表明的那樣,RADIUS/AAA服務(wù)器的目的不是把無(wú)線(xiàn)網(wǎng)絡(luò)封鎖起來(lái) 。但假如與基于IEEE802.1x標(biāo)準(zhǔn)的安全結(jié)合起來(lái),從而實(shí)現(xiàn)端口訪(fǎng)問(wèn)控制,RADIUS服務(wù)器同樣非常適合于保護(hù)無(wú)線(xiàn)網(wǎng)絡(luò)的安全 。這是因?yàn)闊o(wú)線(xiàn)接入點(diǎn)為試圖通過(guò)其中一項(xiàng)WLAN標(biāo)準(zhǔn)或草案(802.11b、802.11a或802.11g)連接到LAN的客戶(hù)系統(tǒng)充當(dāng)了端口提供者 。
但盡管WLAN的安全堆棧具有明顯的穩(wěn)固性,但在WLAN客戶(hù)機(jī)和RADIUS服務(wù)器應(yīng)該如何處理證書(shū)的安全交換方面爭(zhēng)論不休 。通常,這種交換通過(guò)擴(kuò)展驗(yàn)證協(xié)議(EAP)協(xié)議得以實(shí)現(xiàn) 。攜帶這種證書(shū)信息的任何無(wú)線(xiàn)流量都很輕易被居心不良的人所竊取 。保護(hù)無(wú)線(xiàn)網(wǎng)絡(luò)中的這些證書(shū)需要有另一種協(xié)議――尚未為之制訂標(biāo)準(zhǔn)的一種協(xié)議 。只要存在對(duì)標(biāo)準(zhǔn)的需求,許多廠商愿意積極參與,希望以自己的專(zhuān)利性產(chǎn)品牢牢控制顧客 。
優(yōu)先考慮的有三種方案:LEAP、PEAP和TTLS 。LEAP即輕便型EAP是思科在無(wú)線(xiàn)領(lǐng)域得以成功的重要法寶之一 。早在另兩種方案:PEAP和TTLS開(kāi)始獲得吸引力之前,思科就通過(guò)把支持LEAP的功能嵌入到WLAN適配器和RADIUS/AAA服務(wù)器(CiscoSecureAccessControlServer)當(dāng)中,解決了安全交換證書(shū)信息的問(wèn)題 。因除此之外沒(méi)幾家廠商支持RADIUS/AAA服務(wù)器端或客戶(hù)端的LEAP,早期采用選擇LEAP的WLAN適配器的客戶(hù)最后購(gòu)買(mǎi)了思科的所有設(shè)備 。
然而與微軟合作的思科如今卻又認(rèn)可保護(hù)型EAP(PEAP)作為取代LEAP的兼容性更佳的方案 。同時(shí),其它的RADIUS/AAA解決方案提供商如芬克軟件和Certicom等公司也在推廣名為隧道傳輸層安全協(xié)議(TTLS)的另一種選擇 。PEAP和TTLS都是IETF在考慮的對(duì)象,但迄今為止還沒(méi)有消息傳出誰(shuí)會(huì)成為一項(xiàng)標(biāo)準(zhǔn),或者通過(guò)協(xié)調(diào)消除差異成為單一標(biāo)準(zhǔn) 。
這兩種方案具有相似的架構(gòu) 。各自會(huì)在客戶(hù)機(jī)和RADIUS/AAA服務(wù)器之間建立一條安全隧道,以便安全傳輸證書(shū)信息,不會(huì)被旁人偷竊 。服務(wù)器給客戶(hù)機(jī)發(fā)送證書(shū),客戶(hù)機(jī)就會(huì)知道是在與正確的服務(wù)器對(duì)話(huà) 。一旦得到確認(rèn),雙方就會(huì)建立起可以傳輸證書(shū)的隧道 。
但它們的區(qū)別在于客戶(hù)機(jī)端和服務(wù)器端的靈活性,這也正是芬克軟件公司的副總裁喬·賴(lài)安竭力要讓顧客所明白的 。
賴(lài)安說(shuō):“正確的辦法就是提供一種解決方法,使公司既可以保護(hù)各種無(wú)線(xiàn)客戶(hù)機(jī),又可以使現(xiàn)有的安全基礎(chǔ)設(shè)施維持原狀 。原狀什么樣并不重要 。也許是在各種混合的客戶(hù)機(jī)上使用單因素安全或雙因素安全方案,客戶(hù)機(jī)采用的也許是NT域、活動(dòng)目錄、基于LDAP的目錄或者是SQL數(shù)據(jù)庫(kù) 。據(jù)賴(lài)安聲稱(chēng),這種靈活性正是芬克公司的Odyssey和SteelBeltedRADIUS產(chǎn)品的顯著特色 。
賴(lài)安說(shuō):“假如使用PEAP,完全支持客戶(hù)機(jī)的功能只面向WindowsXP,而PEAP只能依靠NT域或者活動(dòng)目錄(兩者都是微軟的技術(shù))進(jìn)行認(rèn)證 。”假如你的AAA服務(wù)是微軟所提供的,確實(shí)如此,但思科的CiscoSecureACS也支持多個(gè)后端驗(yàn)證數(shù)據(jù)庫(kù) 。
的確,TTLS客戶(hù)機(jī)幾乎適用于每一種操作系統(tǒng)(Linux、MacOSX和Windows95/98/ME/N/2000/XP) 。去年年底在O"ReillyNetwork上發(fā)表的一份文檔全面而客觀地比較了廠商支持TTLS和PEAP的情況 。即便如此,正如思科希望你購(gòu)買(mǎi)它的設(shè)備一樣、微軟希望你使用活動(dòng)目錄而提供RADIUS功能幫助你滿(mǎn)足要求,芬克公司也擁有自己的專(zhuān)利TTLS 。賴(lài)安說(shuō),較之于PEAP,他公司的TTLS提供了另一個(gè)優(yōu)點(diǎn):可伸縮性 。芬克公司的Odyssey客戶(hù)端(只支持幾個(gè)主要版本的Windows和PocketPC)集成了把新的軟件和配置信息推送給客戶(hù)系統(tǒng)的功能 。剛推出的PocketPC客戶(hù)機(jī)缺乏這種推送功能 。

推薦閱讀