安全是平的：从身份认证与内网安全说起

来源：pcdog 作者：出处：巧巧读书 2006-11-23 进入讨论组

访问地址 http://www.qqread.com/net-saft/u281150.html

　　协议决定安全

　　PKI是Public Key Infrastructure-公钥基础设施的简称，它是一种基于公开密码学的信息安全技术和体系。在公开密码技术中，信息加密涉及一对密钥(公钥和私钥)。

为了安全发布公钥防止假冒，公钥及公钥持有人姓名等信息被放在X509格式的数字证书中，并且数字证书由一个权威的、可信的第三方数字签名，该可信的第三方称为CA-Certification Authority。通过数字证书可以实现身份鉴别、信息保密及数字签名。

　　EAP是为点对点协议(PPP)设计的身份鉴别协议，它采用Request/Response方式，这点同RADIUS非常类似。EAP涉及三个实体: Peer、Authenticator及Authentication Server。这里的Peer即待接入的终端设备，如计算机;Authenticator是网络接入设备，如接入服务器、交换机、无线接入点AP等; Authentication Server用于完成用户的身份鉴别。

　　在采用EAP协议后，Peer就会连接到Authenticator，而Authenticator会向Peer发出EAP请求，要求Peer提交身份信息，Peer响应身份信息后，Peer与Authentication Server之间交换信息，完成身份鉴别。身份鉴别成功后，Peer即可接入到Authenticator，并连到网络上。

　　在这个过程中，Authenticator与Authentication Server是从功能上划分为二个实体，实际上Authentication Server与Authenticator可在一个设备上实现。当这两个功能在不同设备上实现时，Authenticator相当于Peer和 Authentication Server之间鉴别信息交换的桥梁。如果需要，Authenticator将实现EAP与其他身份鉴别协议间的转换。当这两个功能分开实现时， Authenticator与Authentication Server之间可走RADIUS协议。

　　新协议的基础

　　PKI是目前实际身份鉴别的最好技术，这是因为PKI不但能够实现身份鉴别，而且能够同密钥协商机制有机地结合，实现数据链路层的信息加密。据专家介绍，目前国际上基于PKI的EAP身份鉴别方法有许多种，对于国内用户来说，比较有现实意义的主要集中在EAP-TLS和PEAP两种技术上(目前也有EAP -TTLS技术)。

　　EAP-TLS是一个IETF标准。TLS即传输层安全(Transport Layer Security)，也称为SSL。它原本是一种传输层的安全协议，主要实现两个功能:身份鉴别与信息加密。TLS可实现基于证书的单向身份鉴别(只鉴别服务器)和双向身份鉴别(同时鉴别客户端与服务器)。TLS在完成身份鉴别的同时，还交换密钥信息，通过密钥信息可导出会话密钥用于信息加密。

　　需要指出的是，在这里TLS并不是作为一个安全传输层协议跑在TCP/IP层之上，而是将TLS的Handshake Record直接嵌套在EAP数据包中，作为EAP Request/Response的数据来传送，通过TLS的Handshake Record完成单向或双向的身份鉴别。EAP-TLS只利用了TLS的身份鉴别功能，并没有利用TLS建立的加密通道。

　　为了能够进一步利用TLS建立的安全通道交换EAP身份鉴别信息，IETF随后出台了PEAP(Protected EAP Protocol)标准草案。PEAP不但通过EAP Request/Response数据包传送TLS的Handshake Record完成身份鉴别，并且完成身份鉴别后进一步通过TLS的Data Record再传送EAP身份鉴别协议。

　　这就是说，在使用PKI数字证书进行的身份鉴别协议中，EAP-TLS必须使用客户端证书完成客户端的身份鉴别，而PEAP则可以使用客户端证书，也可以不使用客户端证书，这是因为该协议可在建立起来的TLS加密通道的基础上，进一步采用其他的身份鉴别协议，如口令身份验证、动态口令身份验证等。这种做法既利用了PKI安全的优点，又兼顾了目前口令鉴别应用广泛、简单的特点。

　　“强强联合”促应用

　　对于EAP 结合PKI实现网络的接入控制，主要可以根据控制环境分为三类。

　　第一，PPP网络连接

　　这是目前国内用户应用非常广泛的接入方式，大部分家庭和很多中小企业的互联网接入均采用这种模式。在这种接入环境下，客户端身份鉴别的对象可以是终端设备(比如Modem)，使用设备数字证书进行身份鉴别，只有授权的设备才能接入，身份鉴别的对象也可以是人，使用个人数字证书进行身份鉴别，只有授权的用户才能接入。

　　第二，PPPoE的接入

　　如果网络接入设备，如交换机、接入服务器，支持PPPoE(PPP over Ethernet)协议，那么这种网络也可以使用基于PKI的EAP身份鉴别。同样地，数字证书可以是与用户绑定，只有授权的用户才能接入，也可以是同终端设备绑定，只有授权的设备才能接入。

　　第三，802.1X基于端口的访问控制

　　无疑，802.1X是针对点对点LAN，或者逻辑上具有点对点链接的LAN(WLAN)而设计的一种基于端口的访问控制协议。这里说的端口，主要是指设备与LAN的接入点。所谓基于端口的访问控制，即控制其他设备通过点对点链接连到要访问的端口，并通过端口交换数据，获得该端口提供的服务。这里的端口可以是一个交换机的端口，也可以是一个无线局域网接入点AP的逻辑端口，还可以是一个计算机、服务器与LAN的连接端口(有线或无线的)。

　　从技术上说，802.1X可以把每个LAN端口进一步地在逻辑上分为不受控的端口(Uncontrolled Port)和受控的端口(Controlled Port)。不受控的端口用于交换控制与管理信息(如身份鉴别信息)，受控的端口用于交换数据，只有通过身份鉴别后，其他设备才能访问该端口交换数据。

　　那么，如果802.1X使用EAPOL(EAP Over LAN)进行身份鉴别，在802.1X中Peer称为Supplicant。与EAP相比，EAPOL允许待接入Supplicant(终端设备)发起身份鉴别请求。据悉，IEEE目前正在逐步完善无线局域网的安全标准802.11i，该标准采用802.1X进行身份鉴别。而Wi-Fi联盟则推出了一个针对802.11i的过渡标准WPA(Wi-Fi Protected Access)。WPA支持的鉴别协议包括EAP-TLS、PEAP和EAP-TTLS等。所以说，对于支持802.1X的网络接入，都可以使用PKI数字证书技术实现安全身份鉴别。

　　从国内的情况看，PKI作为保证信息安全的一种成熟技术，目前已在很多领域获得了广泛的应用，并日益受到人们的重视。基于PKI的身份鉴别具有其他身份鉴别技术无法替代的优点。可以预见的是，将来在各种网络接入控制中，PKI无疑会获得越来越多的应用与发展机会。