IEEE 802.1X
802.1X 标准定义了基于端口的网络访问控制,用来为以太网提供经过验证的网络访问 。这种基于端口的网络访问控制使用可交换 LAN 基础设施的物理特性来验证连接到 LAN 端口的设备 。假如验证过程失败,会拒绝对端口的访问 。虽然这个标准最初是为有线以太网设计的,但它同样适用于 802.11 无线 LAN 。
为了给 IEEE 802.1X 提供标准的身份验证机制,选择了可扩展身份验证协议 (EAP) 。EAP 是一种基于点对点协议 (PPP) 的身份验证机制,适用于点对点的 LAN 网段 。EAP 消息一般作为 PPP 帧的有效负荷发送 。为了使 EAP 消息能通过以太网或无线 LAN 网段传送,IEEE 802.1X 标准定义了 EAP over LAN (EAPOL) —— 一种封装 EAP 消息的标准方法 。
EAP-TLS 身份验证
EAP 传输层级安全性 (EAP-TLS) 是 RFC 2716 中描述的一种 EAP 类型,用在基于证书的安全环境中 。假如使用智能卡进行远程访问验证,则必须使用 EAP-TLS 身份验证方法 。EAP-TLS 身份验证过程交换安装在访问客户端和验证服务器的证书,并提供交互式身份验证、完整性保护密码组合协商以及安全的密钥交换和鉴定 。EAP-TLS 提供了一种非常强壮的身份验证方法 。
远程验证拨号用户服务 (RADIUS)
远程验证拨号用户服务 (RADIUS) 是一种广泛部署的协议,实现了集中式的身份验证、授权以及网络访问计数 。RADIUS 在 RFC 2865 中被描述为“远程验证拨号用户服务 (RADIUS)”(IETF 草案标准),在 RFC 2866 中的描述为“RADIUS 计数”(参考) 。
最初,RADIUS 是为远程拨号访问而开发的,但是现在 RADIUS 已经广受支持,其中包括无线 AP、以太网验证交换机、虚拟专用网 (VPN) 服务器、数字用户线路 (DSL) 访问服务器以及其他网络访问服务器 。
windows 2000 Server 和 Windows Server 2003 家族提供的 Internet 身份验证服务 (IAS) 是 Microsoft 对 RADIUS 服务器和 RADIUS 代理 (适用于 Windows Server 2003 家族) 的一种实现 。IAS 为多种类型的网络访问进行集中的连接身份验证、授权和计数,包括无线、相互身份验证、拨号和虚拟专用网 (VPN) 远程访问以及路由器到路由器的连接 。IAS 支持 RFC 2865 和 RFC 2866,还支持额外的 RADIUS 扩展 RFC 以及 Internet 草案 。IAS 中答应使用不同种类的无线、交换、远程访问或 VPN 设备,可以和 Windows 2000 Server 或 Windows Server 2003 路由及远程访问服务一起使用 。
IAS 服务器作为基于 Active Directory 的域的成员时,IAS 使用 Active Directory 作为其用户计数数据库并将其作为单一登录解决方案的一部分 。网络访问控制 (对网络的身份验证和授权访问) 使用同一套证书登录到基于 Active Directory 的主域访问资源 。
Active Directory
Active Directory 是为分布式计算环境设计的一种目录服务 。当作为网络安全治理中心时,Active Directory 答应企业集中治理以及共享网络资源和用户信息 。除了提供 Windows 环境下的综合目录服务外,Active Directory 还被设计作为一种合并机制,用于隔离、迁移、集中治理和减少目录的数量 。
为了进行无线访问,Active Directory 主域包含了要验证的用户和计算机的帐户,以及用于部署计算机证书的“组策略”设置 。
证书
证书是一种使用公共密钥加密技术的数字签名声明,公共密钥加密技术绑定了对持有私有密钥的个人、设备或服务进行识别的公共密钥值 。证书由证书颁发机构 (CA) 发布 。公共密钥加密技术使用“公共密钥和私有密钥对”对消息进行加密或数字签名 。有关公共密钥加密技术以及 Windows 2000 公共密钥基础设施的更多信息,请参见 Windows 2000 安全性服务网站.
设计和部署注重事项
推荐阅读
- 有机肥和复合肥能一起施肥吗
- 丝瓜和鸡蛋打汤可以吃吗 丝瓜和鸡蛋打汤能一起吃吗
- 无线网络中客户端和接入结点设置详解
- 8x7和五的差积是多少
- 黑虎虾和基围虾区别
- 途锐和途昂谁更有优势
- 祁姓的来源和历史 祁姓的由来和历史
- 购票怎么知道是复兴号还是和谐号
- 菱形和正方形的区别 菱形和正方形有什么区别
- 征信和芝麻分有关系吗