通向WLAN安全的两条道路

　　一段时间来，人们毫无疑问地认为：建立安全的无线局域网（WLAN）的最佳途径就是通过验证、授权和审计（AAA）服务器。

　　AAA服务器又被称为远程验证拨入用户服务（RADIUS）――RADIUS基于因特网工作任务组（IETF）标准的支持，它能够为想要访问网络的用户执行验证、授权和审计等功能。

　　正如RADIUS的“拔入”概念所表明的那样，RADIUS/AAA服务器的目的不是把无线网络封锁起来。但如果与基于IEEE802.1x标准的安全结合起来，从而实现端口访问控制，RADIUS服务器同样非常适合于保护无线网络的安全。这是因为无线接入点为试图通过其中一项WLAN标准或草案(802.11b、802.11a或802.11g)连接到LAN的客户系统充当了端口提供者。

　　但尽管WLAN的安全堆栈具有明显的稳固性，但在WLAN客户机和RADIUS服务器应该如何处理证书的安全交换方面争论不休。通常，这种交换通过扩展验证协议（EAP）协议得以实现。携带这种证书信息的任何无线流量都很容易被居心不良的人所窃取。保护无线网络中的这些证书需要有另一种协议――尚未为之制订标准的一种协议。只要存在对标准的需求，许多厂商愿意积极参与，希望以自己的专利性产品牢牢控制顾客。

　　优先考虑的有三种方案：LEAP、PEAP和TTLS。LEAP即轻便型EAP是思科在无线领域得以成功的重要法宝之一。早在另两种方案：PEAP和TTLS开始获得吸引力之前，思科就通过把支持LEAP的功能嵌入到WLAN适配器和RADIUS/AAA服务器(CiscoSecureAccessControlServer)当中，解决了安全交换证书信息的问题。因除此之外没几家厂商支持RADIUS/AAA服务器端或客户端的LEAP，早期采用选择LEAP的WLAN适配器的客户最后购买了思科的所有设备。

　　然而与微软合作的思科如今却又认可保护型EAP（PEAP）作为取代LEAP的兼容性更佳的方案。同时，其它的RADIUS/AAA解决方案提供商如芬克软件和Certicom等公司也在推广名为隧道传输层安全协议（TTLS）的另一种选择。PEAP和TTLS都是IETF在考虑的对象，但迄今为止还没有消息传出谁会成为一项标准，或者通过协调消除差异成为单一标准。

　　这两种方案具有相似的架构。各自会在客户机和RADIUS/AAA服务器之间建立一条安全隧道，以便安全传输证书信息，不会被旁人偷窃。服务器给客户机发送证书，客户机就会知道是在与正确的服务器对话。一旦得到确认，双方就会建立起可以传输证书的隧道。

　　但它们的区别在于客户机端和服务器端的灵活性，这也正是芬克软件公司的副总裁乔·赖安竭力要让顾客所明白的。

　　赖安说：“正确的办法就是提供一种解决方法，使公司既可以保护各种无线客户机，又可以使现有的安全基础设施维持原状。原状什么样并不重要。也许是在各种混合的客户机上使用单因素安全或双因素安全方案，客户机采用的也许是NT域、活动目录、基于LDAP的目录或者是SQL数据库。据赖安声称，这种灵活性正是芬克公司的Odyssey和SteelBeltedRADIUS产品的显著特色。

　　赖安说：“如果使用PEAP，完全支持客户机的功能只面向WindowsXP，而PEAP只能依赖NT域或者活动目录（两者都是微软的技术）进行认证。”如果你的AAA服务是微软所提供的，确实如此，但思科的CiscoSecureACS也支持多个后端验证数据库。

　　的确，TTLS客户机几乎适用于每一种操作系统（Linux、MacOSX和Windows95/98/ME/N/2000/XP）。去年年底在O\'ReillyNetwork上发表的一份文档全面而客观地比较了厂商支持TTLS和PEAP的情况。即便如此，正如思科希望你购买它的设备一样、微软希望你使用活动目录而提供RADIUS功能帮助你满足要求，芬克公司也拥有自己的专利TTLS。赖安说，较之于PEAP，他公司的TTLS提供了另一个优点：可伸缩性。芬克公司的Odyssey客户端（只支持几个主要版本的Windows和PocketPC）集成了把新的软件和配置信息推送给客户系统的功能。刚推出的PocketPC客户机缺乏这种推送功能。

　　赖安说："我们有一个增强型的客户机产品，为希望配置客户机给许多用户而不是进入每个客户系统的网络管理员增添了预先配置的能力。管理员只要生成一份配置概要文件，就可以推送给所有用户。用户不必对客户机进行任何配置，只要确保客户机已安装。客户机还支持自动扫描网络的功能，以便每个用户都有一份优先网络的列表。这样一来，这些用户在园区或大楼的不同地方移动，或者在“网络”（也就是会计部门到营销部门）之间移动，甚至从办公室移动到家里，我们的自动扫描功能都能发现优先网络。”

　　芬克公司的解决方法具有另一个优点：能够与现有的网络基础设施譬如网络交换机和虚拟专用网（VPN）服务器的售主特定（vendor-specific）的功能兼容。正如事实所证明的那样，PEAP和TTLS都支持的厂商支持大多数两者关系密切的标准，同时利用专利产品或服务增强了这种功能。以VPN（所有VPN都支持一些基本级别的RADIUS/AAA功能）为例，芬克公司的RADIUS/AAA解决方法就可以同专利机制直接结合起来，譬如Nortel、3Com、Checkpoint及其它厂商提供的VPN解决方案当中通过时间或日期限制访问的机制。

　　思科和微软在TTLS方面会向当初在PEAP方面那样往深层方向发展吗？它们没有理由不这样，赖安说：“实现TTLS的所有代码已经完全开放。但最终，我们的解决方案的卖点在于灵活性，即让你所拥有的一切――从客户机、目录到VPN――各就各位，同时可以集中管理的灵活性。”

　　在此期间，我们只能观望究竟是PEAP、TTLS还是两者的结合体会流行起来。