IEEE 802.11i
所规范的验证
(authentication)
方式是采用
802.1X
架构
(framework)
来进行验证程序。而
802.1X
又是以
EAP
为基础来制定的。其实可以把
802.1X
拆开成二个部份来看
(
非正式定义
,
只是这样应该会比容易理解
802.1X)
。
第一个是
”
架构
(framework)”
,802.1X
其实就是在定义一个
”
网路存取控制
”(Port-Based Network Access Control)
的架构
,
包括架构里的角色以及
”EAP OVER LAN(EAPOL)”
协定
,EAPOL
这个协定的主要目的除了触发
”
真正
”
的
EAP
交换程序之外
,
另外一个目的就是以
EAPOL-Key
进行协商以衍生
(derivation)
金钥并进行金钥传递
(distribution)
。
第二个是
”
验证
(authentication)”
,802.1X
是以
EAP
为基础所制定的架构
,
当然
EAP(Extensible Authentication Protocol)
就是这个架构下的验证协定。然而
EAP
虽然是一个验证
(authentication)
协定
,
但是它并不处理验证的细节
,
正确的说
,EAP
只是个架构协定
,
它只定义了讯眶格式、要求与回应、验证成功与失败以及验证方式的类型代码。
EAP
将验证的细节处理授权给
”EAP method”
这个附属协定
,
而
EAP
本身以
”
验证方式的类型代码
”
来指定由那个
”EAP method”
来进行接下来的验证程序。为了因应无线局域网
”
开放
”
的特性
,”EAP method”
必须要符合两项要求:
加密的通道
(tunnel
) –
简言之
,
所有的验证程序
,
包括衍生金钥的协商以及金钥的传递
,
都必须是在已经过加密的通道中进行。
互相验证
(mutual authentication)
–
除了验证使用者是否有使用网路的权利之外
,
执行验证工作的服务器在验证使用者之前
,
必须先向使用者证明自己的是
”
合法
”
的服务器
,
如此对使用者而言也提供一份保障
,
防止攻击者以
”
伪装
”
的方式窃取使用者的帐号
(account)
。
”IEEE 802.1X/EAP”
适用在传统的有线局域网或无线局域网的环境
,
以实施网路的存取控制。搭配验证服务器
(Authentication Server)
以使用者为基础
(role based)
的方式进行验证
,
也就是说使用者是以使用者帐号
(account)
或使用者凭证
(certificate)
来证明使用者的身份。相较于
WEP
或
WPA-PSK(WEP
是所有使用者共用同一把金钥;
WPA-PSK
是所有使用者共用同一个
”
通关密语
”),802.1X/EAP
提供了更严谨、更安全、更具弹性的验证方式
,
例如:不想让某个使用者使用无线网路
,
仅需要将某个使用者的帐号
(account)
从无线网路使用者群组
(group)
中拿掉或者撤消
(revocation)
某个使用者凭证
(certificate)
即可。同样的
,
也可以为暂时性的使用者设定一个临时性的帐号
,
于需要时开放该帐号
,
不需要时锁定该帐号。