可以使用此信息作为实施解决方案的基础。 逻辑设计基于 802.1X WLAN 网络硬件、远程身份验证拨入用户服务 （RADIUS） 身份验证和公钥基础结构 （PKI）。

　　本章先决条件

　　您应了解 IT 基础结构设计概念，并熟悉形成设计的一部分的关键组件。 关键组件是：WLAN 和网络组件、RADIUS、Active Directory目录服务和 PKI. 不需要这些项目的详细知识。

　　本章概述

　　本章旨在：

　　概念性概述基于 802.1X 和 EAP ? TLS 协议功能的安全 WLAN 解决方案如何工作，以及这类解决方案的关键组件。

　　为逻辑设计和稍后的详细技术设计阶段定义解决方案设计标准。

　　产生一致的逻辑设计，该逻辑设计构成了后续各章中详细设计的基础。

　　说明如何伸缩解决方案来满足不同规模组织的需要。

　　详细描述扩展建议的设计或将它用作构建其他网络访问解决方案（包括虚拟专用网 （VPN） 和有线网络访问控制）的基础的一些方法，并讨论如何在设计中使用 PKI 组件作为各种安全应用的基础。

　　后续各章将描述逻辑设计的主要组件（WLAN、RADIUS 和 PKI）的详细设计流程，以便为构建和操作解决方案做准备。

　　概念设计

　　如前一章所述，无线网络有一些固有的严重安全漏洞。 如电气与电子工程师协会 （IEEE） 802.11 标准中指定的那样，这些缺陷最多有一部分能通过使用有线对等保密 （WEP） 来解决。 本指南中建议的解决方案解决如何提高无线网络通信安全的问题。 为此，理想的解决方案需要有以下功能：

　　强健的无线客户端身份验证。 应包括客户端、无线访问点 （AP） 和 RADIUS 服务器之间的相互身份验证。

　　确定允许访问无线网络的授权流程的人员。

　　仅允许授权客户端的网络访问的访问控制。

　　无线网络通信量的强加密。

　　加密密钥的安全管理。

　　拒绝服务 （DoS） 攻击的复原能力。

　　组合使用网络访问控制的 802.1X 协议标准与安全身份验证方法（如 EAP-TLS）可满足上述部分要求。 高强度 WEP 提供了相对安全的网络通信量加密，但在密钥管理方面比较薄弱。 管理 802.1X 和 EAP 中固有的 WEP 加密密钥的方法比 802.11 基本标准所允许的方法更安全。 WiFi 保护访问 （WPA） 标准是行业标准集，其中包括了 802.1X 和 EAP（在其他改善中）以及称作“临时密钥完整性协议”（TKIP） 的密钥管理标准化协议。 WPA 标准代表迈向 WLAN 安全的重大一步，并已获得大多数分析师和供应商的认可。

　　注：WPA 改进没有解决 802.11 和 802.1X 中固有的一些 DoS 缺陷。 DoS 缺陷并不像任何其他 WEP 缺陷那样严重，几乎所有论证过的 DoS 攻击都只导致临时的网络中断。 但 DoS 攻击威胁仍是某些组织极其关注的问题，也是 IEEE 802.11i 标准发布（预计 2004 年内）之前不太可能解决的一个问题。

　　虽然 WPA 现在获得广泛支持，仍然有许多现有设备和系统不支持它。 因此，本指南的解决方案设计成可与动态 WEP 和 WPA 一起工作。 大多数网络硬件供应商销售用动态 WEP 密钥和 WPA 支持 802.1X 的产品。 为了达到此设计目的，本章交替介绍这两种方法，究竟选择哪一种方法对设计没有显著影响。

　　下图显示了解决方案（802.1X EAP-TLS 身份验证）的概念图。

　　图 3.1 基于 802.1X EAP-TLS 身份验证的解决方案概念(点击小图看大图)

　　该图描绘了四个主要组件：

　　无线客户端。 该组件是运行需要访问网络资源的应用程序的计算机或设备。 客户端可加密网络通信量、存储并安全交换凭据（如密钥或密码）。

　　无线 AP. 在一般的网络术语中，该组件称作“网络访问服务”（NAS），但无线标准称它为 AP. 无线 AP 实施访问控制功能来允许或拒绝网络访问，并提供加密无线通信量的能力。 AP 还可安全地与客户端共享加密密钥，以确保网络通信流的安全。 最后，它可查询身份验证和授权服务，然后作出授权决定。

　　身份验证服务 （AS）。 该组件存储和验证有效用户的凭据，并根据访问策略作出授权决定。 此外，还可收集客户端访问网络的记帐信息和审核信息。 RADIUS 服务器是 AS 的主要组件，但目录和 CA 也用于实现此功能。

　　内部网络。 该组件是联网服务的安全区域，无线客户端应用需要获得对它的访问权限。

　　图表中的数字说明了网络访问流程，下列步骤将进行详细描述：

　　1.在建立无线网络访问之前，无线客户端必须与 AS 建立它的凭据。 （可以借助一些特殊手段完成此操作 ― 例如，通过软盘交换 ― 或者在有线或其他安全网络中执行。）

　　2.当客户端计算机在无线 AP 的范围内时，它会尝试连接到 AP 上活动的 WLAN. 通过“服务设置标识符”（SSID） 来识别 WLAN. 客户端检测 WLAN SSID 并使用它确定要用于此 WLAN 的正确设置和凭据类型。

　　无线 AP 已配置为仅允许安全的（通过身份验证 802.1X）连接。 当客户端尝试连接到 AP 时，AP 对客户端发出质询。 然后，AP 建立一个受限通道，允许客户端仅与 RADIUS 服务器通信。 该通道阻止对网络其余部分进行访问。 RADIUS 服务器将仅接受来自受信任的无线 AP 或已配置为 Microsoft Internet 验证服务 （IAS） 服务器上的 RADIUS 客户端的无线 AP 以及为该 RADIUS 客户端提供共享机密的无线 AP 的连接。

　　客户端试图使用 802.1X 通过受限通道向 RADIUS 服务器进行身份验证。 作为 EAP ? TLS 协商的一部分，客户端与 RADIUS 服务器建立传输层安全性 （TLS） 会话。 使用 TLS 会话有以下用途：

　　允许客户端对 RADIUS 服务器进行身份验证，这意味着客户端将仅与持有该客户端信任的证书的服务器建立会话。

　　允许客户端提供自己的证书凭据给 RADIUS 服务器。

　　保护身份验证交换不被数据包侦听。

　　TLS 会话协商生成客户端和 RADIUS 服务器可用于建立公用主密钥的密钥。 这些密钥用于派生用于加密 WLAN 通信的密钥。

　　在此交换期间，TLS 隧道内的通信量只对客户端和 RADIUS 服务器可见且绝不暴露给无线 AP.

　　3.RADIUS 服务器根据目录验证客户端凭据。 如果客户端成功通过身份验证，则 RADIUS 服务器收集允许它决定是否授权客户端使用 WLAN 的信息。 它使用来自目录（如组成员身份）和它的访问策略中定义的约束（例如，允许 WLAN 访问的时间段）的信息，来授予或拒绝授予访问权限给客户端。 然后，RADIUS 将访问决策中继传递给 AP.

　　4.如果客户端被授予访问权限，则 RADIUS 服务器将客户端主密钥传输给无线 AP. 客户端和 AP 现在共享公用密钥信息，这些信息用来加密和解密在它们之间传递的 WLAN 通信。

　　当使用动态 WEP 加密通信流时，需要定期更改主密钥以阻止 WEP 密钥恢复攻击。 RADIUS 服务器通过定期强制客户端重新进行身份验证并生成新的密钥集来实现此目的。

　　如果使用 WPA 来确保通信安全，则使用主密钥信息派生数据加密密钥，可为每个传输的数据包更改该密钥。 WPA 不需要强制频繁的重新身份验证来确保密钥安全。

　　5.然后，AP 建立到内部 LAN 的客户端 WLAN 连接，允许客户端不受限制地访问内部网络上的系统。 客户端和 AP 之间发送的通信流现在已加密。

　　6.如果客户端需要 IP 地址，它现在可以向 LAN 上的服务器请求动态主机配置协议 （DHCP） 租用。 分配到 IP 地址之后，客户端就可以开始与网络其余地方的系统正常交换信息。

　　下图详细显示了此流程。

　　图 3.2 802.1X EAP-TLS 访问流程(点击小图看大图)

　　该图详细显示了各个组件。 本章以后各节将回到此图作进一步讲解。 现在，您应注意 AS 的子组件：证书颁发机构 （CA）、目录和 RADIUS 服务器。 虽然从概念上讲，这些子组件执行的是相对简单的任务集，但要使用一种可伸缩、可管理、可靠的方法来安全地执行这些操作，则需要相当复杂的基础结构。 本指南的其余各章详细描述了所需的大多数规划、实施和管理措施。

　　解决方案设计标准

　　现在已描述完解决方案的基本概念，可开始讨论解决方案的关键设计标准。 这些标准提供的指导可将解决方案概念转化为可真正实现的设计。

　　设计标准是从实施本解决方案的典型组织的要求派生出来的。 以下各节描述该组织及其主要技术要求。

　　目标组织

　　本节的组织描述仅用于提供设计标准的背景。 当评估组织解决方案的适用性时，应重点关注设计标准是否有意义，而不是组织是否与本章描述的组织完全相似。

　　解决方案的目标组织可