802.11 WLAN 協(xié)議并不是非常安全，而且您也做不了什么。但幸運(yùn)的是，IEEE（以及Microsoft、Cisco和其他行業(yè)領(lǐng)先的公司）發(fā)現(xiàn)了802.11的缺陷；其結(jié)果是，IEEE 802.1x標(biāo)準(zhǔn)為無線局域網(wǎng)（WLAN）和普通局域網(wǎng)提供了一套堅(jiān)固得多的身份驗(yàn)證和安全性機(jī)制。您可以使用Windows 2000或Windows Server 2003域控制器和Windows XP客戶端的組合，來部署802.1x。 802.1x是如何工作的

802.1x實(shí)施基于端口的訪問控制。在WLAN中，端口就是訪問點(diǎn)（AP）和工作站之間的連接。在802.1x中擁有兩種類型的端口：非控制的和控制的。您現(xiàn)在正在使用的可能就是非控制端口：它允許設(shè)備連接到端口，與其他任何網(wǎng)絡(luò)設(shè)備進(jìn)行通訊。相反，控制端口限制了連接設(shè)備所能夠通訊的網(wǎng)絡(luò)地址。您可能已經(jīng)能夠了解到接下來是什么情況了：802.1x允許所有的客戶端連接到控制端口，但是這些端口僅將流量發(fā)送給身份驗(yàn)證服務(wù)器。在客戶端通過身份驗(yàn)證以后，才被允許開始使用非控制端口。802.1x的奧秘在于非控制和控制端口是并存于同一個(gè)物理網(wǎng)絡(luò)端口上的邏輯設(shè)備。

針對(duì)身份驗(yàn)證，802.1x進(jìn)一步為網(wǎng)絡(luò)設(shè)備定義了兩種角色：申請(qǐng)者（supplicant) 和認(rèn)證者（authenticator）。申請(qǐng)者是一個(gè)請(qǐng)求訪問網(wǎng)絡(luò)資源的設(shè)備（例如配備了802.11b網(wǎng)卡的膝上型計(jì)算機(jī)）。認(rèn)證者是對(duì)申請(qǐng)者進(jìn)行身份驗(yàn)證的設(shè)備，由它來決定是否授予申請(qǐng)者訪問權(quán)限。無線 AP 可以作為認(rèn)證者；但是使用行業(yè)標(biāo)準(zhǔn)的遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS) 協(xié)議更靈活一些。這個(gè)協(xié)議包含在 Windows 2000 中；通過 RADIUS，AP 接收身份驗(yàn)證請(qǐng)求，并將請(qǐng)求轉(zhuǎn)發(fā)給 RADIUS 服務(wù)器，由這臺(tái)服務(wù)器來根據(jù) Active Directory 對(duì)用戶進(jìn)行身份驗(yàn)證。

802.1x 在身份驗(yàn)證時(shí)并不使用有線等效隱私（Wired Equivalent Privacy，WEP）；作為替代，它使用行業(yè)標(biāo)準(zhǔn)的可擴(kuò)展身份驗(yàn)證協(xié)議（Extensible Authentication Protocol，EAP）或更新的版本。在任何一種情況下，EAP/PEAP 都擁有其獨(dú)特的優(yōu)勢(shì)：它們?cè)试S選擇身份驗(yàn)證方法。在默認(rèn)情況下，802.1x 使用EAP-TLS (EAP-傳輸層安全性)，此時(shí)所有EAP保護(hù)的流量都由TLS協(xié)議（非常類似于SSL）進(jìn)行加密。整個(gè)身份驗(yàn)證的過程是這樣的：

1.無線工作站嘗試通過非控制端口連接到AP。（由于此時(shí)該工作站還沒有通過身份驗(yàn)證，因此它無法使用控制端口）。該AP向工作站發(fā)送一個(gè)純文本質(zhì)詢。

2.作為響應(yīng)，工作站提供自己的身份證明。

3.AP 將來自工作站的身份信息通過有線 LAN 轉(zhuǎn)發(fā)給使用 RADIUS 的認(rèn)證者。

4.RADIUS服務(wù)器查詢指定帳戶，確定需要何種憑證（例如，您可能將您的RADIUS服務(wù)器配置為僅接受數(shù)字證書）。該信息轉(zhuǎn)換成憑證請(qǐng)求，返回到工作站。

5.工作站通過AP上的非控制端口發(fā)送它的憑證。

6.RADIUS 服務(wù)器對(duì)憑證進(jìn)行驗(yàn)證；如果通過驗(yàn)證，則將身份驗(yàn)證密鑰發(fā)送給AP。這個(gè)密鑰是加密的，因此只有AP能夠?qū)ζ溥M(jìn)行解密。

7.AP 對(duì)密鑰進(jìn)行解密，并用它來為工作站創(chuàng)建一個(gè)新的密鑰。這個(gè)新的密鑰將被發(fā)送給工作站，它被用來加密工作站的主全局身份驗(yàn)證密鑰。

定期的，AP 會(huì)生成新的主全局身份驗(yàn)證密鑰，并將其發(fā)送給客戶端。這很好地解決了802.11中長(zhǎng)壽命固定密鑰的問題，攻擊者能夠很容易地通過暴力破解來攻擊固定密鑰。

在客戶端配置802.1x

在Windows XP中配置802.1x客戶端非常簡(jiǎn)單；在這里我將簡(jiǎn)單扼要地介紹一些基本步驟。

1.打開網(wǎng)絡(luò)連接文件夾，然后在您希望使用802.1x的連接上點(diǎn)擊右鍵，選擇屬性命令。

2.切換到無線網(wǎng)絡(luò)選項(xiàng)卡，然后選擇您希望使用802.1x的WLAN連接。點(diǎn)擊配置按鈕。

3.在無線網(wǎng)絡(luò)屬性對(duì)話框中，切換到身份驗(yàn)證選項(xiàng)卡。

4.確信已經(jīng)選中了'為這個(gè)網(wǎng)絡(luò)啟用IEEE 802.1x身份驗(yàn)證'復(fù)選框，然后選擇合適的EAP類型。通常，企業(yè)網(wǎng)絡(luò)將使用具有智能卡或本地存儲(chǔ)證書的EAP-TLS，小型網(wǎng)絡(luò)則可以使用PEAP（只有您已經(jīng)安裝了Windows XP Service Pack 1以后才可以選擇。）

為小型網(wǎng)絡(luò)部署802.1x

如果您擁有一個(gè)小型網(wǎng)絡(luò)，那么您可能認(rèn)為802.1x是如此的深?yuàn)W難懂。好消息是，即使您沒有一個(gè)完整的公共密鑰基礎(chǔ)構(gòu)架，也不需要很多工作，您就可以部署802.1x。這篇文章介紹了您所需要完成的步驟。簡(jiǎn)單的說，您需要設(shè)置您的 Windows XP SP 1或更新版本的客戶端來使用 PEAP，然后設(shè)置至少一臺(tái)計(jì)算機(jī)運(yùn)行Windows Internet身份驗(yàn)證服務(wù) (IAS)，該服務(wù)將提供 RADIUS 連接性。每個(gè)IAS服務(wù)都必須擁有一個(gè)由您簽署或從第三方證書頒發(fā)機(jī)構(gòu)（CA）購(gòu)買的數(shù)字證書。您所需要做的就這么多了————當(dāng)然，您還需要首先安裝IAS，但這個(gè)過程很簡(jiǎn)單。

為大型企業(yè)部署 802.1x

如果您使用至少擁有一個(gè)域控制器的Windows 2000網(wǎng)絡(luò)，那么您可以設(shè)置一個(gè)更靈活有力的802.1x基礎(chǔ)構(gòu)架，充分利用Active Directory和Windows 2000對(duì)遠(yuǎn)程訪問策略的支持。首先是為您的客戶端獲得數(shù)字證書。幸運(yùn)的是，您可以很方便地通過創(chuàng)建組策略來獲得這些證書，組策略能夠自動(dòng)地為域中的計(jì)算機(jī)請(qǐng)求機(jī)器證書。在完成這個(gè)步驟后，您可以部署所需基礎(chǔ)結(jié)構(gòu)（包括IAS）的剩余部分，將您的無線AP配置為使用 RADIUS 來與 IAS 服務(wù)器進(jìn)行通訊。然后就可以安心休息了，您的 WLAN 流量已經(jīng)被安全地保護(hù)起來。