如果在公共场合访问无线局域网,出于安全考虑,无线网络接入需要进行安全认证。访问基于802.1x认证方式的网络,有两种开源软件可供选择:xsupplicant和wpa_supplicant。下面接受Linux杂志采访的克里斯-海辛(Chris Hessing)就是xsupplicant项目开发领导人。
1)您参加过什么标准组织和会议?
我定期参加Interop大会,去年秋天还去圣地亚哥参加了第60届互联网工程任务组(The Internet Engineering Task Force,简称IETF)会议。
2)您能否介绍一下在IETF设计网络安全的工作?
我们设计了一种经过加密、可允许匿名访问的无线网络,它同时支持TTLS(隧道传输层安全协议)和PEAP(保护可扩展身份验证协议)。
TTLS协议设计非常简洁。我们设置了RADIUS(remote authentication dial in user service)服务器用以接收任何用户名和密码,随后返回一个确认消息,以允许用户登录。PEAP由于协议设计上的问题,无法这样做。PEAP一般使用微软CHAP认证协议鉴别用户,而微软的CHAP协议要求通信双方共享秘密密钥。我们建议Windows用户使用支持802.1x TTLS认证的客户端软件SecureW2,但我们还设置了一个公用帐号,给那些只想用PEAP的用户使用。
3)这些标准对您正在进行的开发工作有多重要?
这些标准,尤其是IETF的标准,对xsupplicant很重要。无线安全领域最有趣的工作是新的EAP类型和混合捆绑问题,这对我的代码编写方向有很大影响。IEEE标准就没那么重要了,大多数有趣的工作是在IETF。
IETF标准对我白天在大学里的工作也很重要。我们对在无线校园网推广安全认证很感兴趣,新的EAP类型会提供无需TLS的密钥就可以使用用户名和密码的办法。大多数用户不觉得输入用户名和密码麻烦,但对他们中很多人来说, 理解允许你访问的认证文件很难。
现在有两种EAP模型允许无需TLS的密钥就可以访问网络。一种是由法国电信的弗罗伦特·伯萨尼(Florent Bersani)设计的。他有朋友想访问他的无线局域网,结果他开发了和WPA-PSK不同的EAP-PSK。与此同时,玛里兰大学的T.查尔斯·克兰西(T. Charles Clancy)也抱同样想法,他设计的协议是EAP-PAX。
4)您说要在网络推广安全认证,进展怎么样了?大学里的每一端口是否都要有信任证书?
是的。校园里每一个无线接入点都要有802.1x认证。这是我们明确的目标。
1
2
下一页>>
