通过认证来提高无线局域网的安全性

META 趋势：各种无线产品将服务质量、安全性以及基于用户的策略作为其扩展服务，校园网/LAN 中无线技术的使用将越来越广泛（2003/04）。到2002年底，全球2000家公司中的75％正在尝试无线局域网，其中90％将在2005年6月配置使用产品。IEEE 802.11a （欧洲逐渐演变为802.11h）在2003年将成为主要的标准与802.11b并存。2002年3月，各地的无线局域网的安全性在逐步改善的同时，又通过使用外部组件（例如认证服务，虚拟专用网VPN等）来增强安全性。

无线LANs技术安全性的缺乏仍然限制了其在企业中的应用。那些反对配置无线局域网的企业将面临内部网络中越来越多的用户需求，并且要不断处理企业网络内部潜在的不合法访问接口。META Group曾阐述了其认为是足可以保证无线局域网安全的办法。在过去的一年里，无线局域网（WLAN）的产品和标准已经成熟，然而在实现和支持无线局域网安全标准上仍然存在一些的变化。2003年，无线局域网的标准将会有一定的起伏，因为IEEE，Wi-Fi联盟以及个别制造商试图简化标准实施初期的复杂性。由于目前的按照无特殊投资商模式保证无线局域网安全的作法给人们带来很多复杂性,许多企业选择使用虚拟专用网络（VPN，如使用IPSec技术）。然而，META Group相信，在未来的18到24个月内，在新的安全标准获得批准并得到不同平台支持之后，VPN将不是最佳的选择（除了有特殊安全考虑的环境）。

2003年，IEEE 802.11i 标准草案将被批准，该草案结合了TKIP 和AES （先进加密标准）。虽然整个行业仍然开放多层次的通过IEEE 802.1x标准的基于端口的认证类型，但到2004年5月时，集成在微软Windows XP和2000中的PEAP（扩展认证保护协议）将成为事实上的标准。到2007年，使用802.1x扩展认证标准的用户和基于端口的认证将普遍存在于校园网/LAN中，原因是企业对有线和无线设备的认证都依赖于这种方法。802.1x认证的可用性将使得从事网络和安全的专业人员加强基于用户和设备信任的策略，其本质是在端口层允许或者拒绝资源进入整个企业内部。到2005年，对于无线设备后端认证服务器的投资将大大平衡有线领域所占的份额。

无线认证

虽然IEEE 802.1x 是一个已经认可的标准，但在实际实现的过程中仍有很大的变动——尤其对于那些非企业级提供商。用于802.1x 框架的EAP类型随着新协议的开发不断发展，并且现有协议经常保持很高的厂商特点。因而成功配置安全的802.1x 框架将需要进行大量的整合。用户需要对认证的类型（例如：口令、令牌、证书等）、RADIUS的支持以及客户操作系统类型进行评估。所有这些都将在选择哪个802.1x中起主要作用。到2004年第二季度，我们期望不仅802.1x标准能够被大家广泛接受，更重要的是，应该统一EAP技术类型的规格，以利于形成一个或者两个事实上的标准。

认证类型的竞争

尽管市场正在重整旗鼓地开发一种普遍适用于无线局域网的基于安全方法的标准，但许多厂商仍在持续加速开发他们自己的标准。当对特定的EAP类型进行评估的时候，这种状况就更加明显了。微软第一个宣布对EAP-TLS（传输层安全）的支持, 但EAP-TLS仅限于Windows XP系统以及授权客户端证书的使用（例如 PKI），因此大多数企业都没有采用此协议。Cisco公司推出了自己的轻便型扩展认证协议（LEAP），该协议最初只是绑定在Cisco的适配器、访问点以及RADIUS 服务器上，但有很多操作系统支持此协议。于是Cisco采取行动，向第三方提供商发放LEAP许可，目的是为了能够操纵整个市场。客户端对LEAP的成功支持只需使用Cisco适配器以及来自于第三方的软件如Funk Software和Meetinghouse的支持，但这两种情况都会增加无线配置的成本。由于Cisco LEAP依赖于Cisco的硬件，所以它不是一个长期的解决方案。用户或许会使用LEAP作为一个战略性地短期解决方案，但他们最终会配置一个EAP类型的解决方案，这种方案不依赖于特定的提供商的硬件。

有两种EAP 类型：一种如TLS不需要用户证书，TLS在认证的过程中提供安全通道。Funk Software提出了一个EAP-TTLS 协议，此协议得到大量客户端操作系统的支持，并且是通过软件请求来实现。该协议不依赖于具体的硬件，但在Cisco或者微软的RADIUS平台上没有获得支持。作为对Funk Software的EAP-TTLS协议的竞争回应，微软，Cisco，和RSA 提出了PEAP，PEAP和EAP-TTLS协议非常相似。然而，目前只有Windows XP 和Windows 2000 这两个系统支持PEAP，而且Cisco 和微软在具体实现上也大不相同。微软的实现不支持基于令牌的认证，仅仅将用户引导到活动目录或者NT域认证。到2004年，我们希望微软的PEAP能够成为主要标准，而EAP-TTLS 仍然存在，以备非EAP 类型的需求。

来自第三方提供商的帮助

微软在其各种操作系统中支持802.1x和PEAP的动作缓慢，许多第三方提供商想在客户方和服务器方现存的缺口上架桥。Funk Software，目前市场上最知名的提供商，已经提出了EAP-TTLS协议而且同时支持Cisco的LEAP，允许客户在非Cisco的适配器上支持LEAP。Meetinghouse 在PEAP的不同实现上做了大量的工作，但也同时支持LEAP 和EAP-TTLS。客户方的价格在$40到$50之间不等，如果大批量地购买有一定的（50％＋）折扣。到2004年5月，由于微软奋力推广Windows XP以及Windows2000对802.1x的支持，客户方的市场将减少。然而这些提供商将继续关注改善管理及基于RADIUS认证的控制。

商业影响

为了维护企业的完整性，迫切需要提出一个全面提高无线网络安全性的策略。

底线

为了提供无线局域网的安全性，在IEEE 802.1x上使用EAP 认证的基于端口的访问控制日益成为一个可行的、广为推崇的方法。然而，在配置的最初，应该在前端和后端的基础设施上进行全面的综合与仔细的规划。

查看本文的国际来源