Возврат
ТелекомВести

Предыдущая новость26 сентября 2001 г.



Аутентификация в беспроводных сетях 802.11 на базе будущего стандарта 802.1x


25 сентября ("Телеком-Форум")

I-я Рабочая группа комитета IEEE 802.11 работает над стандартом IEEE 802.1x, который обеспечит систему централизованной аутентификации пользователей. Новый стандарт позволит наращивать масштабы беспроводных локальных сетей (WLAN) до сотен и тысяч рабочих станций, обеспечив централизованную аутентификацию как пользователей, так и рабочих станций. Он достаточно гибок и предоставляет возможность применения нескольких алгоритмов аутентификации. А поскольку IEEE 802.1x является открытым стандартом, производители смогут вводить новшества и предлагать свои усовершенствования.

В основе 802.1x лежит протокол расширенной аутентификации EAP (Extensible Authentication Protocol). 802.1x привязывает EAP, который опирается на PPP, к физической среде, будь это Ethernet, Token Ring или WLAN. Сообщения EAP инкапсулируются в сообщения 802.1x и обозначаются как EAPOL (EAP over LAN).

В процессе аутентификации на основе 802.1x в беспроводных локальных сетях участвуют три основные стороны. Это вызывающая сторона (supplicant), в качестве которой обычно выступает клиентское ПО, сторона (authenticator), определяющая идентичность пользователя, обычно - это точка доступа и сервер аутентификации (как правило, RADIUS, хотя стандарт 802.1x не требует обязательного использования этого протокола).

Когда клиентская станция пытается подключиться к точке доступа, та обнаруживает ее и активизирует свой клиентский порт. При этом последний начинает функционировать в неавторизованном режиме, который обеспечивает пропуск только трафика 802.1x, трафик других протоколов (DHCP, HTTP, FTP, SMTP и POP-3) блокируется. Клиент передаёт инициализирующее сообщение EAP-start. Точка доступа, чтобы идентифицировать клиента, в ответ посылает запрос EAP-request. После чего на сервер аутентификации передаётся ответный пакет EAP-response клиента, содержащий его идентификатор.

Сервер аутентификации определяет идентичность клиента и направляет точке доступа пакет с отказом или разрешением на сеанс связи. В последнем случае точка доступа переводит клиентский порт в авторизованное состояние, и начинается передача трафика.

При отсоединении от сети клиент посылает сообщение EAP-logoff. По этому сообщению точка доступа переводит клиентский порт в неавторизованный режим.

Стандарт 802.1x для WLAN не предполагает распределения ключей и управления ими. Эти функции реализуются производителями самостоятельно.

Потенциально стандарт 802.1x упростит управление безопасностью крупномасштабных беспроводных сетей 802.11.

Дополнительная информация

WLAN - хорошо, но безопасность... (23 апреля 2001 г.)