正如对许多宝贵资源一样,对于谁可以访问并使用你的无线媒介必须有所限制。有的情况下,比如为了吸引用户而提供无线访问时,这些限制可能非常小。而在其它情况下,我们却需要最好的保护。3A架构就是控制对计算机资源访问的典型实例:分别是认证(Authentication)、授权(Authorization)和计算(Accounting)。
认证是通过验证一系列分配的证书来识别系统或网络用户的能力。如果在你开启计算机时,需要输入用户名和密码,这就是一个认证的过程。授权定义了特定用户执行某些任务的能力,比如创建或删除文件,这发生在认证过程之后。计算让我们可以测量并记录对网络资源或系统资源的消耗。3A架构不仅适用于其它的计算机资源,同样适用于无线网络访问控制。
RADIUS
RADIUS是基于3A架构的,是用于认证远程用户的非常流行的C-S方法。为了达到认证的目的,RADIUS协议要求终端用户向网络访问服务器(NAS,Network Access Server)提供自己的证书。NAS实际上是RADIUS服务器的一个客户端。RADIUS服务器控制用户对NAS服务的访问,负责接收终端用户的请求、认证用户,并向NAS提供认证结果,以便NAS可以决定要不要提供服务。RADIUS可以使用多个数据库管理系统和目录协议,来控制网络用户及其权限的列表。这种认证方法可以提供一种安全的集中的控制对网络资源的访问权的方法。但是,这和无线网络又有什么关系呢?
EAP
扩展认证协议(EAP,Extensible Authentication Protocol)被用于无线接入点执行认证过程。用户请求访问AP时,EAP会向用户要求身份认证,并把认证消息传递给像RADIUS这样的认证服务器。
EAP很容易部署,因为它可以和像RADIUS这样的后台认证服务器一起使用,并可以支持像Kerberos、PKI等多种认证方法。
EAP有多种类型,各类型用不同的方法传递认证信息,不过我们只需要知道EAP是存在于无线层的认证过程的一部分。
LDAP
LDAP(Lightweight Directory Access Protocol)是一种直接定义信息被组织及访问的方式的技术。作为一个协议,LDAP实际上是一套通信规则的集合。部署了LDAP,网络管理员就可以将用户信息集中管理、很方便地保证用户信息的安全。LDAP也可以和RADIUS一起使用。
RADIUS+EAP+LDAP:坚固的无线网络认证体系
虽然这并不是惟一的为无线网络客户提供认证的解决方案,但RADIUS、EAP和LDAP的联合使用却是最应用最广、最容易实现的借鉴方案。每一部分都有开源的软件,网络管理员可以免费下载、配置、使用。这样,在已经有了硬件的情况下,安装一个认证系统基本不需要什么费用。
除此之外,另一个比较流行的方法是NoCat,最初是作为社区项目被开发出来的,是一个不太专业的无线网络认证方案,不需要时间和消耗资源的RADIUS服务器,也不需要建立用户数据库。NoCat使用一个无线访问接入点和一个Linux路由器或网关进行访问控制。
不管你决定采用哪种认证方法,一定要记住,你的首要目的是在现有的条件下,最为有效地保护宝贵的资源。