通常計(jì)算機(jī)組網(wǎng)的傳輸媒介主要依賴銅纜或光纜,構(gòu)成有線局域網(wǎng)。但有線網(wǎng)絡(luò)在某些場(chǎng)合要受到布線的限制:布線、改線工程量大;線路容易損壞;網(wǎng)中的各節(jié)點(diǎn)不可移動(dòng)。特別是當(dāng)要把相離較遠(yuǎn)的節(jié)點(diǎn)聯(lián)接起來(lái)時(shí),架設(shè)專用通信線路的布線施工難度大、費(fèi)用高、耗時(shí)長(zhǎng),對(duì)正在迅速擴(kuò)大的連網(wǎng)需求形成了嚴(yán)重的瓶頸阻塞。WLAN就是解決有線網(wǎng)絡(luò)以上問(wèn)題而出現(xiàn)的, WLAN為Wireless LAN的簡(jiǎn)稱,即無(wú)線局域網(wǎng)。無(wú)線局域網(wǎng)是利用無(wú)線技術(shù)實(shí)現(xiàn)快速接入以太網(wǎng)的技術(shù)。與有線網(wǎng)絡(luò)相比,WLAN最主要的優(yōu)勢(shì)在于不需要布線,可以不受布線條件的限制,因此非常適合移動(dòng)辦公用戶的需要,具有廣闊市場(chǎng)前景。目前它已經(jīng)從傳統(tǒng)的醫(yī)療保健、庫(kù)存控制和管理服務(wù)等特殊行業(yè)向更多行業(yè)拓展開去,甚至開始進(jìn)入家庭以及教育機(jī)構(gòu)等領(lǐng)域。
無(wú)線局域網(wǎng)與傳統(tǒng)有線局域網(wǎng)相比優(yōu)勢(shì)不言而喻,它可實(shí)現(xiàn)移動(dòng)辦公、架設(shè)與維護(hù)更容易等。Frost&Sullivan公司預(yù)測(cè)無(wú)線局域網(wǎng)絡(luò)市場(chǎng)在2005年底將達(dá)到50億美元。在如此巨大的應(yīng)用與市場(chǎng)面前,無(wú)線局域網(wǎng)絡(luò)安全問(wèn)題就顯得尤為重要。人們不禁要問(wèn):通過(guò)電波進(jìn)行數(shù)據(jù)傳輸?shù)臒o(wú)線局域網(wǎng)的安全性有保障嗎?
對(duì)于無(wú)線局域網(wǎng)的用戶提出這樣的疑問(wèn)可以說(shuō)不無(wú)根據(jù),因?yàn)闊o(wú)線局域網(wǎng)采用公共的電磁波作為載體,而電磁波能夠穿越天花板、玻璃、樓層、磚、墻等物體,因此在一個(gè)無(wú)線局域網(wǎng)接入點(diǎn)(Access Point)的服務(wù)區(qū)域中,任何一個(gè)無(wú)線客戶端都可以接收到此接入點(diǎn)的電磁波信號(hào)。這樣,非授權(quán)的客戶端也能接收到數(shù)據(jù)信號(hào)。也就是說(shuō),由于采用電磁波來(lái)傳輸信號(hào),非授權(quán)用戶在無(wú)線局域網(wǎng)(相對(duì)于有線局域網(wǎng))中竊聽或干擾信息就容易得多。所以為了阻止這些非授權(quán)用戶訪問(wèn)無(wú)線局域網(wǎng)絡(luò),從無(wú)線局域網(wǎng)應(yīng)用的第一天開始便引入了相應(yīng)的安全措施。
實(shí)際上,無(wú)線局域網(wǎng)比大多數(shù)有線局域網(wǎng)的安全性更高。無(wú)線局域網(wǎng)技術(shù)早在第二次世界大戰(zhàn)期間便出現(xiàn)了,它源自于軍方應(yīng)用。一直以來(lái),安全性問(wèn)題在無(wú)線局域網(wǎng)設(shè)備開發(fā)及解決方案設(shè)計(jì)時(shí),都得到了充分的重視。目前,無(wú)線局域網(wǎng)絡(luò)產(chǎn)品主要采用的是IEEE(美國(guó)電氣和電子工程師協(xié)會(huì))802.11b國(guó)際標(biāo)準(zhǔn),大多應(yīng)用DSSS(Direct Sequence Spread Spectrum,直接序列擴(kuò)頻)通信技術(shù)進(jìn)行數(shù)據(jù)傳輸,該技術(shù)能有效防止數(shù)據(jù)在無(wú)線傳輸過(guò)程中丟失、干擾、信息阻塞及破壞等問(wèn)題。802.11標(biāo)準(zhǔn)主要應(yīng)用三項(xiàng)安全技術(shù)來(lái)保障無(wú)線局域網(wǎng)數(shù)據(jù)傳輸?shù)陌踩5谝豁?xiàng)為SSID(Service Set Identifier)技術(shù)。該技術(shù)可以將一個(gè)無(wú)線局域網(wǎng)分為幾個(gè)需要不同身份驗(yàn)證的子網(wǎng)絡(luò),每一個(gè)子網(wǎng)絡(luò)都需要獨(dú)立的身份驗(yàn)證,只有通過(guò)身份驗(yàn)證的用戶才可以進(jìn)入相應(yīng)的子網(wǎng)絡(luò),防止未被授權(quán)的用戶進(jìn)入本網(wǎng)絡(luò);第二項(xiàng)為MAC(Media Access Control)技術(shù)。應(yīng)用這項(xiàng)技術(shù),可在無(wú)線局域網(wǎng)的每一個(gè)接入點(diǎn)(Access Point)下設(shè)置一個(gè)許可接入的用戶的MAC地址清單,MAC地址不在清單中的用戶,接入點(diǎn)(Access Point)將拒絕其接入請(qǐng)求;第三項(xiàng)為WEP(Wired Equivalent Privacy)加密技術(shù)。因?yàn)闊o(wú)線局域網(wǎng)絡(luò)是通過(guò)電波進(jìn)行數(shù)據(jù)傳輸?shù)模嬖陔姴ㄐ孤秾?dǎo)致數(shù)據(jù)被截聽的風(fēng)險(xiǎn)。WEP安全技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù),以滿足用戶更高層次的網(wǎng)絡(luò)安全需求。
下面我們從無(wú)線局域網(wǎng)安全技術(shù)的發(fā)展歷程來(lái)對(duì)無(wú)線局域網(wǎng)中采用的主要安全技術(shù)及發(fā)展方向進(jìn)行介紹。
一、 早期基本的無(wú)線局域網(wǎng)安全技術(shù)
無(wú)線網(wǎng)卡物理地址(MAC)過(guò)濾:
每個(gè)無(wú)線工作站網(wǎng)卡都由惟一的物理地址標(biāo)示,該物理地址編碼方式類似于以太網(wǎng)物理地址,是48位。網(wǎng)絡(luò)管理員可在無(wú)線局域網(wǎng)訪問(wèn)點(diǎn)AP中手工維護(hù)一組允許訪問(wèn)或不允許訪問(wèn)的MAC地址列表,以實(shí)現(xiàn)物理地址的訪問(wèn)過(guò)濾。
如果企業(yè)當(dāng)中的AP數(shù)量太多,為了實(shí)現(xiàn)整個(gè)企業(yè)當(dāng)中所有AP統(tǒng)一的無(wú)線網(wǎng)卡MAC地址認(rèn)證,現(xiàn)在的AP也支持無(wú)線網(wǎng)卡MAC地址的集中Radius認(rèn)證。
服務(wù)區(qū)標(biāo)識(shí)符(SSID)匹配:
無(wú)線工作站必須出示正確的SSID,與無(wú)線訪問(wèn)點(diǎn)AP的SSID相同,才能訪問(wèn)AP;如果出示的SSID與AP的SSID不同,那么AP將拒絕他通過(guò)本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個(gè)簡(jiǎn)單的口令,從而提供口令認(rèn)證機(jī)制,實(shí)現(xiàn)一定的安全。
在無(wú)線局域網(wǎng)接入點(diǎn)AP上對(duì)此項(xiàng)技術(shù)的支持就是可不讓AP廣播其SSID號(hào),這樣無(wú)線工作站端就必須主動(dòng)提供正確的SSID號(hào)才能與AP進(jìn)行關(guān)聯(lián)。
有線等效保密(WEP):
有線等效保密(WEP)協(xié)議是由802.11標(biāo)準(zhǔn)定義的,用于在無(wú)線局域網(wǎng)中保護(hù)鏈路層數(shù)據(jù)。WEP使用40位鑰匙,采用RSA開發(fā)的RC4對(duì)稱加密算法,在鏈路層加密數(shù)據(jù)。
WEP加密采用靜態(tài)的保密密鑰,各WLAN終端使用相同的密鑰訪問(wèn)無(wú)線網(wǎng)絡(luò)。WEP也提供認(rèn)證功能,當(dāng)加密機(jī)制功能啟用,客戶端要嘗試連接上AP時(shí),AP會(huì)發(fā)出一個(gè)Challenge Packet給客戶端,客戶端再利用共享密鑰將此值加密后送回存取點(diǎn)以進(jìn)行認(rèn)證比對(duì),只有正確無(wú)誤,才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源。40位WEP具有很好的互操作性,所有通過(guò)Wi-Fi 組織認(rèn)證的產(chǎn)品都可以實(shí)現(xiàn)WEP互操作。現(xiàn)在的WEP一般也支持128位的鑰匙,提供更高等級(jí)的安全加密。
二、 802.11i(WPA)之前的安全解決方案
端口訪問(wèn)控制技術(shù)(IEEE802.1x)和可擴(kuò)展認(rèn)證協(xié)議(EAP):
該技術(shù)也是用于無(wú)線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無(wú)線工作站與無(wú)線訪問(wèn)點(diǎn)AP關(guān)聯(lián)后,是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò),則AP為無(wú)線工作站打開這個(gè)邏輯端口,否則不允許用戶上網(wǎng)。
802.1x要求無(wú)線工作站安裝802.1x客戶端軟件,無(wú)線訪問(wèn)點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理,同時(shí)它還作為Radius客戶端,將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。現(xiàn)主流的PC機(jī)操作系統(tǒng)Win XP 以及Win2000都已經(jīng)有802.1x的客戶端功能。
現(xiàn)在,安全功能比較全的AP在支持IEEE 802.1x 和Radius的集中認(rèn)證時(shí)支持的可擴(kuò)展認(rèn)證協(xié)議類型有:EAP -MD5 & TLS、TTLS和PEAP。
無(wú)線客戶端二層隔離技術(shù):
在電信運(yùn)營(yíng)商的公眾熱點(diǎn)場(chǎng)合,為確保不同無(wú)線工作站之間的數(shù)據(jù)流隔離,無(wú)線接入點(diǎn)AP也可支持其所關(guān)聯(lián)的無(wú)線客戶端工作站二層數(shù)據(jù)隔離,確保用戶的安全。
VPN-Over-Wireless技術(shù):
目前已廣泛應(yīng)用于廣域網(wǎng)絡(luò)及遠(yuǎn)程接入等領(lǐng)域的VPN(Virtual Private Networking)安全技術(shù)也可用于無(wú)線局域網(wǎng)。與IEEE802.11b標(biāo)準(zhǔn)所采用的安全技術(shù)不同,VPN主要采用DES、3DES等技術(shù)來(lái)保障數(shù)據(jù)傳輸?shù)陌踩?duì)于安全性要求更高的用戶,將現(xiàn)有的VPN安全技術(shù)與IEEE802.11b安全技術(shù)結(jié)合起來(lái),是目前較為理想的無(wú)線局域網(wǎng)絡(luò)的安全解決方案之一。
三、 2003年快速發(fā)展的WPA (Wi-Fi 保護(hù)訪問(wèn)) 技術(shù)
在IEEE 802.11i 標(biāo)準(zhǔn)最終確定前,WPA(Wi-Fi Protected Access)技術(shù)將成為代替WEP的無(wú)線安全標(biāo)準(zhǔn)協(xié)議,為IEEE 802.11 無(wú)線局域網(wǎng)提供更強(qiáng)大的安全性能。WPA是IEEE802.11i的一個(gè)子集,其核心就是IEEE 802.1x和TKIP。
新一代的加密技術(shù)TKIP與WEP一樣基于RC4加密算法,且對(duì)現(xiàn)有的WEP進(jìn)行了改進(jìn)。在現(xiàn)有的WEP加密引擎中增加了“密鑰細(xì)分(每發(fā)一個(gè)包重新生成一個(gè)新的密鑰)”、“消息完整性檢查(MIC)”、“具有序列功能的初始向量”和“密鑰生成和定期更新功能”等4種算法,極大地提高了加密安全強(qiáng)度。TKIP與當(dāng)前Wi-Fi 產(chǎn)品向后兼容,而且可以通過(guò)軟件進(jìn)行升級(jí)。從2003年的下半年開始,Wi-Fi組織已經(jīng)開始對(duì)支持WPA的無(wú)線局域網(wǎng)設(shè)備進(jìn)行認(rèn)證。
四、 高級(jí)的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)—IEEE 802.11i
為了進(jìn)一步加強(qiáng)無(wú)線網(wǎng)絡(luò)的安全性和保證不同廠家之間無(wú)線安全技術(shù)的兼容, IEEE802.11工作組目前正在開發(fā)作為新的安全標(biāo)準(zhǔn)的IEEE 802.11i,并且致力于從長(zhǎng)遠(yuǎn)角度考慮解決IEEE 802.11無(wú)線局域網(wǎng)的安全問(wèn)題。IEEE 802.11i標(biāo)準(zhǔn)草案中主要包含加密技術(shù):TKIP (Temporal Key Integrity Protocol) 和 AES(Advanced Encryption Standard),以及認(rèn)證協(xié)議IEEE 802.1x。預(yù)計(jì)完整的IEEE 802.11i的標(biāo)準(zhǔn)將在2004年的上半年得到正式批準(zhǔn),IEEE 802.11i將為無(wú)線局域網(wǎng)的安全提供可信的標(biāo)準(zhǔn)支持。
五、無(wú)線局域網(wǎng)安全技術(shù)的發(fā)展方向
無(wú)線局域網(wǎng)總的發(fā)展方向是速度會(huì)越來(lái)越快(目前已見的是11Mbps的IEEE 802.11b,54Mbps的IEEE 802.11g 與IEEE 802.11a標(biāo)準(zhǔn)),安全性會(huì)越來(lái)越高。當(dāng)然無(wú)線局域網(wǎng)的各項(xiàng)技術(shù)均處在快速的發(fā)展過(guò)程當(dāng)中,但54Mbps的無(wú)線局域網(wǎng)規(guī)范IEEE 802.11g及IEEE 802.1X將是近期整個(gè)無(wú)線局域網(wǎng)業(yè)的熱點(diǎn)。
作為一名網(wǎng)管員來(lái)說(shuō),對(duì)無(wú)線局域網(wǎng)的安全防護(hù)應(yīng)考慮以下防范點(diǎn)和措施:
安全防范點(diǎn): 1. 未經(jīng)授權(quán)用戶的接入 2. 網(wǎng)上鄰居的攻擊 3. 非法用戶截取無(wú)線鏈路中的數(shù)據(jù) 4. 非法AP的接入 5. 內(nèi)部未經(jīng)授權(quán)的跨部門使用
相應(yīng)措施: 1. 使用各種先進(jìn)的身份認(rèn)證措施,防止未經(jīng)授權(quán)用戶的接入 由于無(wú)線信號(hào)是在空氣中傳播的,信號(hào)可能會(huì)傳播到不希望到達(dá)的地方,在信號(hào)覆蓋范圍內(nèi),非法用戶無(wú)需任何物理連接就可以獲取無(wú)線網(wǎng)絡(luò)的數(shù)據(jù),因此,必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問(wèn)題。
2. 利用MAC阻止未經(jīng)授權(quán)的接入 每塊無(wú)線網(wǎng)卡都擁有唯一的一個(gè)MAC 地址,為 AP 設(shè)置基于 MAC 地址的 Access Control(訪問(wèn)控制表),確保只有經(jīng)過(guò)注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。 使用802.1x端口認(rèn)證技術(shù)進(jìn)行身份認(rèn)證 使用802.1x端口認(rèn)證技術(shù)配合后臺(tái)的RADIUS認(rèn)證服務(wù)器,對(duì)所有接入用戶的身份進(jìn)行嚴(yán)格認(rèn)證,杜絕未經(jīng)授權(quán)的用戶接入網(wǎng)絡(luò),盜用數(shù)據(jù)或進(jìn)行破壞。
3. 使用先進(jìn)的加密技術(shù),使得非法用戶即使截取無(wú)線鏈路中的數(shù)據(jù)也無(wú)法破譯基本的WEP加密 WEP是IEEE802.11b無(wú)線局域網(wǎng)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時(shí),WEP可以通過(guò)加密無(wú)線傳輸數(shù)據(jù)來(lái)提供類似有線傳輸?shù)谋Wo(hù)。在簡(jiǎn)便的安裝和啟動(dòng)之后,應(yīng)立即設(shè)置WEP密鑰。
4. 利用對(duì)AP的合法性驗(yàn)證以及定期進(jìn)行站點(diǎn)審查,防止非法AP的接入 在無(wú)線AP接入有線集線器的時(shí)候,可能會(huì)遇到非法AP的攻擊,非法安裝的AP會(huì)危害無(wú)線網(wǎng)絡(luò)的寶貴資源,因此必須對(duì)AP的合法性進(jìn)行驗(yàn)證。AP支持的IEEE802.1x技術(shù)提供了一個(gè)客戶機(jī)和網(wǎng)絡(luò)相互驗(yàn)證的方法,在此驗(yàn)證過(guò)程中不但AP需要確認(rèn)無(wú)線用戶的合法性,無(wú)線終端設(shè)備也必須驗(yàn)證AP是否為虛假的訪問(wèn)點(diǎn),然后才能進(jìn)行通信。通過(guò)雙向認(rèn)證,可以有效的防止非法AP的接入。對(duì)于那些不支持IEEE802.1x的AP,則需要通過(guò)定期的站點(diǎn)審查來(lái)防止非法AP的接入。在入侵者使用網(wǎng)絡(luò)之前,通過(guò)接收天線找到未被授權(quán)的網(wǎng)絡(luò),通過(guò)物理站點(diǎn)的監(jiān)測(cè)應(yīng)當(dāng)盡可能地頻繁進(jìn)行,頻繁的監(jiān)測(cè)可增加發(fā)現(xiàn)非法配置站點(diǎn)的存在幾率,選擇小型的手持式檢測(cè)設(shè)備,管理員可以通過(guò)手持掃描設(shè)備隨時(shí)到網(wǎng)絡(luò)的任何位置進(jìn)行檢測(cè)。
5. 利用ESSID、MAC限制防止未經(jīng)授權(quán)的跨部門使用
利用ESSID進(jìn)行部門分組,可以有效地避免任意漫游帶來(lái)的安全問(wèn)題;MAC地址限制更能控制連接到各部門AP的終端,避免未經(jīng)授權(quán)的用戶使用網(wǎng)絡(luò)資源。
保障整個(gè)網(wǎng)絡(luò)安全是非常重要的,無(wú)論是否有無(wú)線網(wǎng)段,大多數(shù)的局域網(wǎng)都必須要有一定級(jí)別的安全措施。而無(wú)線網(wǎng)絡(luò)相對(duì)來(lái)說(shuō)比較安全,無(wú)線網(wǎng)段即或不能提供比有線網(wǎng)段更多的保護(hù),也至少和它相同。需要注意的是,無(wú)線局域網(wǎng)并不是要替代有線局域網(wǎng),而是有線局域網(wǎng)的替補(bǔ)。使用無(wú)線局域網(wǎng)的最終目標(biāo)不是消除有線設(shè)備,而是盡量減少線纜和斷線時(shí)間,讓有線與無(wú)線網(wǎng)絡(luò)很好地配合工作。
參考:
一、發(fā)展中的IEEE 802.1x無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)
一開始,IEEE 802.11提供了一些基本的安全機(jī)制,這使得無(wú)線網(wǎng)日益增強(qiáng)的自由較少潛在威脅。在802.11規(guī)范中通過(guò)有線同等保密(Wired Equivalent Privacy WEP)算法提供了附加的安全性。這一安全機(jī)制的一個(gè)主要限制是:沒(méi)有規(guī)定一個(gè)分配密鑰的管理協(xié)議。因此,脆弱的安全機(jī)制使它不足以阻擋任何人,更何況是黑客的攻擊。 為了補(bǔ)救WEP在安全性上的不足,需要通過(guò)IEEE 802.1x協(xié)議。802.1x是一個(gè)基于端口的標(biāo)準(zhǔn)草案。網(wǎng)絡(luò)接入控制提供以太網(wǎng)的網(wǎng)絡(luò)接入的鑒權(quán)。這種基于端口的網(wǎng)絡(luò)接入控制使用交換式局域網(wǎng)基礎(chǔ)設(shè)施的物理特性來(lái)認(rèn)證連接到局域網(wǎng)某個(gè)端口的設(shè)備。如果認(rèn)證過(guò)程失敗,端口接入將被阻止。盡管此標(biāo)準(zhǔn)是為有線以太網(wǎng)設(shè)計(jì),它也可用于802.11無(wú)線局域網(wǎng)。
對(duì)無(wú)線網(wǎng)絡(luò)來(lái)說(shuō),802.1x支持遠(yuǎn)程撥號(hào)用戶簽名服務(wù)(Remote Authentication Dial-In Service RADIUS),接入點(diǎn)將采用對(duì)客戶證書認(rèn)證的RADIUS服務(wù)器作為網(wǎng)絡(luò)接入的認(rèn)證者。802.1x還支持集中式的Kerberos用戶簽名、驗(yàn)證和記賬,并且實(shí)現(xiàn)了更強(qiáng)的協(xié)議。通信被允許通過(guò)一個(gè)邏輯"非控制端口"或信道來(lái)驗(yàn)證證書的有效性而通過(guò)一個(gè)邏輯"控制端口"來(lái)獲得接入網(wǎng)絡(luò)的密鑰。新標(biāo)準(zhǔn)為每個(gè)用戶和每個(gè)會(huì)話準(zhǔn)備不同的密匙,并且密匙支持128 bit的長(zhǎng)度。密鑰管理協(xié)議因而得以添加到802.11的安全性中。 這種802.1x方式已被廣泛采用而RADIUS鑒權(quán)的使用也在增加。如果需要的話,RADIUS服務(wù)器可以查詢一個(gè)本地認(rèn)證數(shù)據(jù)庫(kù)。或者,請(qǐng)求也可以被傳送給其他服務(wù)器進(jìn)行有效性驗(yàn)證。當(dāng)RADIUS決定機(jī)器可以進(jìn)入網(wǎng)絡(luò)時(shí),將向接入點(diǎn)發(fā)送消息,接入點(diǎn)則允許數(shù)據(jù)業(yè)務(wù)流入網(wǎng)絡(luò)。
二、Windows XP中針對(duì)以太網(wǎng)或無(wú)線局域網(wǎng)上服務(wù)器的安全性改進(jìn)
Secure Wireless/Ethernet LAN(安全無(wú)線/以太局域網(wǎng))為您增強(qiáng)了開發(fā)安全有線與無(wú)線局域網(wǎng)(LAN)網(wǎng)的能力。這種特性是通過(guò)允許在以太網(wǎng)或無(wú)線局域網(wǎng)上部署服務(wù)器實(shí)現(xiàn)的。借助Secure Wireless/Ethernet LAN,在用戶進(jìn)行登錄前,計(jì)算機(jī)將無(wú)法訪問(wèn)網(wǎng)絡(luò)。然而,如果一臺(tái)設(shè)備具備“機(jī)器身份驗(yàn)證”功能,那么它將能夠在通過(guò)驗(yàn)證并接受IAS/RADIUS服務(wù)器授權(quán)后獲得局域網(wǎng)的訪問(wèn)權(quán)限。 Windows XP中的Secure Wireless/Ethernet LAN在基于IEEE 802.11規(guī)范的有線與無(wú)線局域網(wǎng)上實(shí)現(xiàn)了安全性。這一過(guò)程是通過(guò)對(duì)自動(dòng)注冊(cè)或智能卡所部署的公共證書的使用加以支持的。它允許在公共場(chǎng)所(如購(gòu)物中心或機(jī)場(chǎng))對(duì)有線以太網(wǎng)和無(wú)線IEEE 802.11網(wǎng)絡(luò)實(shí)施訪問(wèn)控制。這種IEEE 802.1X Network Access Control(IEEE 802.1X網(wǎng)絡(luò)訪問(wèn)控制)安全特性還支持Extensible Authentication Protocol(擴(kuò)展身份驗(yàn)證協(xié)議,EAP)運(yùn)行環(huán)境中的計(jì)算機(jī)身份驗(yàn)證功能。IEEE 802.1X允許管理員為獲得有線局域網(wǎng)和無(wú)線IEEE 802.11局域網(wǎng)訪問(wèn)許可的服務(wù)器分配權(quán)限。因?yàn)椋绻慌_(tái)服務(wù)器被放置在網(wǎng)絡(luò)中,管理員肯定希望確保其只能訪問(wèn)那些已在其中通過(guò)身份驗(yàn)證的網(wǎng)絡(luò)。例如,對(duì)會(huì)議室的訪問(wèn)權(quán)限將只被提供給特定服務(wù)器,而來(lái)自其它服務(wù)器的訪問(wèn)請(qǐng)求將被遭到拒絕。
