通过

The Cable Guy - 2002年4月

  • 项目

发布者 作者:The Cable Guy

用于无线连接的IEEE 802.1X身份验证

cable_guy

欲了解关于The Cable Guy主持的所有专栏的列表和更多信息,请单击此处

IEEE 802.1X标准定义了基于端口的网络访问控制,可用于为以太网络提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证过程失败,使用以太网交换机端口来发送和接收帧的能力就会被拒绝。虽然这个标准是为有线以太网络设计的,但是其已经过改编以便在IEEE 802.11无线局域网上应用。Windows XP支持对所有基于局域网的网络适配器使用IEEE 802.1X身份验证,包括以太网络适配器和无线网络适配器。

802.1X定义了以下术语:

  • 端口访问实体

  • 身份验证者(Authenticator)

  • 申请者(Supplicant)

  • 身份验证服务器

端口访问实体

端口访问实体(port access entity,PAE)也称为局域网端口,是一个与某个端口相关联的支持IEEE 802.1X协议的逻辑实体。局域网端口可以充当身份验证者或申请者的角色,或者同时充当这两个角色。

身份验证者

身份验证者是一个局域网端口,用以在允许访问可那些通过该端口进行访问的服务之前强制身份验证。对于无线连接,身份验证者是无线访问点(AP)上的逻辑局域网端口,操作在基础结构模式下的客户端就通过该端口访问有线网络。

申请者

申请者是一个局域网端口,用以请求访问那些通过身份验证者来访问的服务。对于无线连接,申请者就是无线局域网网络适配器上请求访问有线网络的逻辑局域网端口。它是通过首先与一个身份验证者关联,然后再验证自己的身份来完成访问请求的。

不管它们是用于无线连接还是用于有线以太网连接,申请者和身份验证者都由一个逻辑或物理的点对点局域网网段连接起来。

身份验证服务器

为了检验申请者的凭证,身份验证者使用了一个身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭证,然后向身份验证者作出响应,指出申请者是否被授权访问身份验证者的服务。身份验证服务器可以是:

  • AP的一个组件。

    AP必须使用一组对应于正在尝试连接的客户端的用户凭证集来配置。这对于无线AP来说通常是无法实现的。

  • 一个单独的实体。

    AP把用于连接尝试的凭证转发到一台单独的身份验证服务器。通常,无线AP使用“远程身份验证拔入服务(RADIUS)”协议将连接尝试的参数发送到一台RADIUS服务器。

本页内容

受控和不受控的端口
可扩展身份验证协议
Windows XP对IEEE 802.1X的支持
更多信息

受控和不受控的端口

身份验证者基于端口的访问控制定义了以下类型的逻辑端口,这些逻辑端口通过单个物理局域网端口访问有线局域网:

  • 不受控的端口

    不受控的端口允许身份验证者(即无线AP)和有线网络上的其他网络设备之间进行不受控制的信息交换,而不管无线客户端的授权状态如何。对此,一个很好的例子就是无线AP和有线网络上的RADIUS服务器之间进行的RADIUS消息交换,这种交换提供无线连接的身份验证和授权。无线AP永远不会通过不受控的端口转发无线客户端发送的帧。

  • 受控的端口

    受控的端口允许在无线客户端和有线网络之间发送数据,但前提是该无线客户端必须经过身份验证。在进行身份验证之前,交换机是打开的,没有帧在无线客户端和有线网络之间发送。在无线客户端成功通过IEEE 802.1X身份验证之后,交换机就关闭了,帧将在无线客户端和有线网络上的节点之间转发。

受控和不受控的无线AP端口之间的关系如下图所示。

cg040201.gif

在进行身份验证的以太网交换机上,一旦完成身份验证,有线以太网客户端就能够向有线网络发送帧。交换机通过以太网客户端所连接到的物理端口来识别特定的有线以太网客户端的流量。通常,只有单个以太网客户端连接到以太网交往机上的一个物理端口。

由于多个无线客户端争用相同的通道来访问和发送数据,因此需要基本的IEEE 802.1X协议的一个扩展来允许无线AP识别特定无线客户端的安全流量。这是通过无线客户端和无线AP相互确认针对每个客户端的单播会话密钥来实现的。只有经过身份验证的无线客户才具有正确确定针对每个客户端的单播会话密钥。如果没有有效的单播会话密钥与成功的身份验证相联系,未经过身份验证的无线客户端发送的帧就会自动被无线AP丢弃。

可扩展身份验证协议

为了给IEEE 802.1X提供标准身份验证机制,IEEE选择了可扩展身份验证协议(Extensible Authentication Protocol,EAP)。EAP是一种经改编以用于点对点局域网网段的基于点对点协议(Point-to-Point Protocol,PPP)的身份验证技术。由于EAP消息最初被定义作为PPP帧的有效载荷进行发送,IEEE 802.1X标准定义了LAN上的EAP(EAP over LAN,EAPOL),这是一种封装EAP消息的方法,以便EAP消息能够通过以太网或无线局域网网段来发送。

对于无线连接的身份验证,Windows XP使用EAP传输层协议(EAP-Transport Level Protocol,EAP-TLS)。EAP-TLS是在RFC 2716中定义的,用以在基于证书的安全环境中使用。EAP-TLS消息交换提供了无线客户端和身份验证服务器(RADIUS服务器)之间的相互身份验证、完整性保护密码套件协商以及加密和签名密钥材料的相互确定。在身份验证和授权之后,RADIUS服务器使用RADIUS Access-Accept消息来向无线AP发送加密和签名密钥。

由于如下原因,EAP-TLS与基于注册表的用户和计算机证书相结合,就形成了基于Windows XP的无线连接的身份验证方法:

  • EAP-TLS无需依赖于用户帐户密码。

  • EAP-TLS身份验证是自动进行的,不需要用户的介入。

  • EAP-TLS使用用户证书,从而提供一种强大的身份验证模式。

Windows XP对IEEE 802.1X的支持

在Windows XP中,EAP-TLS身份验证类型的IEEE 802.1X身份验证默认是对所有基于LAN的网络适配器启用的。为了在运行Windows XP的计算机上配置802.1X设置,请使用“网络连接”中某个局域网连接属性对话框上的**“身份验证”**选项卡。

**“身份验证”**选项卡如下图所示。

cg040202.gif

在**“身份验证”**选项卡上,您可以配置以下设置:

  • **“启用使用IEEE 802.1X的网络访问控制”**这个复选框指定您是否想要使用IEEE 802.1X来对这个连接执行身份验证。该选项默认启用。

    Windows XP局域网连接在一次连接尝试中发送三个EAP-Start消息来提示身份验证者(以太网交换机或无线AP)开始基于EAP的身份验证过程。如果接收到一条EAP-Request/Identity消息,IEEE 802.1X身份验证对该端口来说就不是必需的,因此这个局域网连接将发送常规流量来配置网络连接。如果接收到一条EAP-Request/Identity消息,则启动IEEE 802.1X身份验证。

    因此对于以太局域网连接,如果以太网交换机不支持IEEE 802.1X,启用这个设置不会损害连接性能。然而,如果以太网交换机确实需要IEEE 802.1X身份验证,那么禁用这个设置就会损害网络连接性能。

  • EAP类型 您可以使用这个选项来选择将用于IEEE 802.1X身份验证的EAP类型。这个列表对应于安装在计算机上的EAP动态连接库(DLL)。默认的EAP类型是**“MD-5 Challenge”“智能卡或其他证书”“智能卡或其他证书”类型面向EAP-TLS。默认选定“智能卡或其他证书EAP”**,而且必须用于无线访问。

  • **“属性”单击这个按钮,配置选定的EAP类型的属性。“MD-5 Challenge”**EAP类型没有可配置的属性。

  • **“当计算机信息可用时作为计算机进行身份验证”**这个复选框指定在没有用户登录时,该计算机是否要尝试使用计算机凭证(比如:计算机证书)来进行身份验证。这个选项默认启用。

  • **“当计算机信息不可用时作为访客进行身份验证”**这个复选框指定当用户或计算机凭证不可用时,该计算机是否要尝试作为访客来进行身份验证。这个选项默认禁用。

**“智能卡或其他证书属性”**EAP类型的属性(对应于EAP-TLS)如下图所示。

cg040203.gif

在**“智能卡或其他证书属性”**选项卡上,您可以查看和配置以下内容:

  • “连接时” 如要“当前用户或本地计算机”证书中的某个证书进行身份验证,请选择**“使用此计算机上的证书”**(默认已选定)。当安装有多个用户证书时,将提示用户选择某个特定的证书执行第一次关联(association)。证书的使用将被缓冲以便进行重新关联,直至该Windows XP用户会话结束。Windows XP不支持使用智能卡来进行安全无线身份验证。

  • “验证服务器证书” 这个复选框指定您是否想要验证进行身份验证的服务器(通常是一台RADIUS服务器)的计算机证书。这个选项默认启用。

  • **“仅当服务器具有下列名称时才进行连接”**这个复选框指定您是否想要提供必须与身份验证服务器的计算机证书中的名称的最后一部分匹配的文字。这个选项默认禁用。对于大多数使用了多台RADIUS服务器的部署,你可以键入所有RADIUS服务器所共有的域名系统(DNS)名称字段。例如,如果您有两个名为rad1.example.microsoft.com和rad2.example.microsoft.com的RADIUS服务器,则键入文本“example.microsoft.com”。如果启用这个选项并键入错误的文本,无线身份验证就会失败。

  • “可信任的根证书授权” 这个选项使您能够选择身份验证服务器的计算机证书的特定根认证中心(CA)。这个列表对应于您的“可信任的根证书授权”证书存储库中的根CA证书列表。

    默认未选定任何特定的可信任根CA。如果您选择某个不正确的可信任根CA,在身份验证过程中将提示您接受(或拒绝)身份验证服务器证书的根CA。当您接受身份验证服务器的证书时,该可信任的根CA就自动设置为身份验证服务器证书的根CA。

  • **“使用不同的用户名进行连接”**这个复选框指定您是否想要使用一个不同于证书中的用户名称进行身份验证。这个选项默认禁用。如果启用它,即使您仅安装了一个用户证书,也会有一个对话框提示您选择一个用户证书。选定的证书将一直使用,直至该Windows XP用户会话结束。

更多信息

有关Windows XP中的IEEE 802.11和802.1X支持的更多信息,请参考以下资源:

如对本专栏的内容有任何疑问或想发表任何反馈,请致信Microsoft TechNet

欲了解关于The Cable Guy所主持的所有专栏的列表和更多信息,请单击此处