该协议可在建立起来的TLS加密通道的基础上，进一步采用其他的身份鉴别协议，如口令身份验证、动态口令身份验证等。这种做法既利用了PKI安全的优点，又兼顾了目前口令鉴别应用广泛、简单的特点。

　　“强强联合”促应用

　　对于EAP 结合PKI实现网络的接入控制，主要可以根据控制环境分为三类。

　　第一，PPP网络连接

　　这是目前国内用户应用非常广泛的接入方式，大部分家庭和很多中小企业的互联网接入均采用这种模式。在这种接入环境下，客户端身份鉴别的对象可以是终端设备(比如Modem)，使用设备数字证书进行身份鉴别，只有授权的设备才能接入，身份鉴别的对象也可以是人，使用个人数字证书进行身份鉴别，只有授权的用户才能接入。

　　第二，PPPoE的接入

　　如果网络接入设备，如交换机、接入服务器，支持PPPoE(PPP over Ethernet)协议，那么这种网络也可以使用基于PKI的EAP身份鉴别。同样地，数字证书可以是与用户绑定，只有授权的用户才能接入，也可以是同终端设备绑定，只有授权的设备才能接入。

　　第三，802.1X基于端口的访问控制

　　无疑，802.1X是针对点对点LAN，或者逻辑上具有点对点链接的LAN(WLAN)而设计的一种基于端口的访问控制协议。这里说的端口，主要是指设备与LAN的接入点。所谓基于端口的访问控制，即控制其他设备通过点对点链接连到要访问的端口，并通过端口交换数据，获得该端口提供的服务。这里的端口可以是一个交换机的端口，也可以是一个无线局域网接入点AP的逻辑端口，还可以是一个计算机、服务器与LAN的连接端口(有线或无线的)。

　　从技术上说，802.1X可以把每个LAN端口进一步地在逻辑上分为不受控的端口(Uncontrolled Port)和受控的端口(Controlled Port)。不受控的端口用于交换控制与管理信息(如身份鉴别信息)，受控的端口用于交换数据，只有通过身份鉴别后，其他设备才能访问该端口交换数据。

　　那么，如果802.1X使用EAPOL(EAP Over LAN)进行身份鉴别，在802.1X中Peer称为Supplicant。与EAP相比，EAPOL允许待接入Supplicant(终端设备)发起身份鉴别请求。据悉，IEEE目前正在逐步完善无线局域网的安全标准802.11i，该标准采用802.1X进行身份鉴别。而Wi-Fi联盟则推出了一个针对802.11i的过渡标准WPA(Wi-Fi Protected Access)。WPA支持的鉴别协议包括EAP-TLS、PEAP和EAP-TTLS等。所以说，对于支持802.1X的网络接入，都可以使用PKI数字证书技术实现安全身份鉴别。

　　从国内的情况看，PKI作为保证信息安全的一种成熟技术，目前已在很多领域获得了广泛的应用，并日益受到人们的重视。基于PKI的身份鉴别具有其他身份鉴别技术无法替代的优点。可以预见的是，将来在各种网络接入控制中，PKI无疑会获得越来越多的应用与发展机会。

单点登录化繁为简

　　单点登录优化了上海移动与合作伙伴的交流，促进了业务的发展，同时还降低了上海移动的管理成本，大大减轻了管理员的工作负担。

　　目前，上海移动正在进行业务流程的整合工作，其中企业应用集成(EAI)是一个重点，上海移动的目标是实现从C/S结构向B/S结构的转变。以上海移动的运维支撑系统(OSS)门户为例，其中有网管应用、OA应用和电子运维系统等应用，上海移动的战略合作伙伴、分包公司通过这个门户来访问不同的应用。

　　难题:访问不同应用

　　一个现实的情况是，用户往往在多个应用中均拥有独立的账号和口令，许多情况下，为了便于记忆，用户不得不将账号和口令写在纸上，这样的做法使这些账号和口令的安全性受到了极大影响。同时，经常有用户忘记口令而要求重置，这也加大了管理员的工作负担。

　　另外，管理员需要在不同的应用中维护独立的用户身份和存取管理，这是很麻烦的工作。例如有新员工加入企业以后，管理员需要在每一个应用中添加此用户信息，根据此用户的角色分配不同的权限;当用户的角色发生变化时，需要在不同的应用中修改此用户的权限。

　　上海移动的工程师曹玮说:“以前，登录不同的应用要输入不同的用户名和密码，非常烦琐。”为了保证应用中核心资产信息的安全，并便于合作伙伴访问不同应用，上海移动决定对这些应用的访问进行整合，实现统一的身份管理和安全的单点登录(Single-Sign On，SSO)，同时对用户进行高度个性化的设置。上海移动对单点登录解决方案的要求是:

　　● 必须能够将企业中所有的用户账号统一起来，一个用户在访问所有应用时只使用同一个账号，同时在一个应用中认证过后，再访问其他应用时不需要再次认证，简化用户的使用环境。

　　● 解决方案必须通过集中的基于策略的方法，使管理员可以很容易地维护系统以及对访问权限进行快速地更改和更新。这样，安全管理的成本就得到了降低，企业也可以快速地对各种安全事件做出反应。

　　“单点登录解决方案还必须能够快速高效整合现有的应用程序。”曹玮说，“因为这些应用程序开发时间较早，每个应用都需要维护自己的一套用户身份和权限管理系统，这给开发人员带来了一大堆难题。”

　　开发人员需要在所有的应用中写入认证和访问管理代码，这加大了应用的开发量，延长了开发周期。例如需要考虑不同用户访问不同的内容，还要兼容不同的认证方式，包括:目录口令认证、SecurID令牌认证、数字证书认证等。而这些代码往往由于开发人员的疏忽或者未经过彻底的测试，很可能存在较大的安全隐患和漏洞。另外，当企业的组织结构发生重大变化或者并购时，这些应用由于无法满足新的业务策略，往往需要修改程序。所以新的解决方案需要将开发人员从重复而烦琐的开发任务中解脱出来，只要开发应用界面和功能模块，不用考虑复杂的认证和存取管理，从而加快电子商务计划的推出和更新速度。

　　

　　解题:单点+双因素

　　在一次和RSA公司交流的过程中，上海移动接触到了ClearTrust解决方案。ClearTrust解决方案的设计目的就是把用户管理与Web访问管理结合起来，从而为用户提供一个综合身份管理系统。它使企业能够以较低的成本进行有效的用户管理，同时保护对局域网、外联网、门户网站和交互基础架构内 Web应用的访问，利用透明的单点登录访问获得更好的用户体验。

　　以上海移动为例，利用ClearTrust解决方案实现单点登录之后，如果一个用户具有访问OA应用的权限，那么在登录门户后，该用户就可以通过门户直接访问OA应用，而不需要再次输入密码。

　　RSA ClearTrust软件正是上海移动寻求的理想门户应用整合解决方案，于是双方立即开展了合作。上海移动现有的应用程序有些运行在BEA WebLogic应用架构上，有些则运行在Web服务器平台上;操作系统也是既有Unix环境，也有Windows环境，集成起来比较复杂，这也正是曹玮担心的地方。ClearTrust用实际表现打消了曹玮的疑虑。ClearTrust实现了与复杂的多供应商运行环境的紧密整合，其中包括Web服务器和应用服务器，从而提供了真正意义上统一的安全管理解决方案。

　　当初上海移动的系统集成商在开发各个应用程序的时候已经定义好LDAP的规划，对用户的存储和属性都有严格的要求。ClearTrust可以和现有的LDAP规划兼容，这样就彻底避免了需要另外创建一套用户数据的麻烦，充分利用了现有的LDAP投资。

　　曹玮认为，单点登录优化了上海移动与合作伙伴的交流，促进了业务的发展，并提升了员工的工作效率。同样重要的是，降低了上海移动的管理成本，大大减轻了管理员的工作负担。现在，管理员对用户的创建和管理变得异常简单。通过一个统一的用户管理界面，管理员修改完账号信息后，所有的身份和权限就会自动同步到各自应用程序中。

　　除了实施单点登录，上海移动还考虑到了另外一个问题，那就是登录门户的用户的密码管理问题。曹玮说:“静态密码存在着太多的漏洞，攻击者有很多手段获得静态密码，离职员工所掌握的密码也可能带来隐患。如果不能很好地管理密码，可能会有大量的非法登录，这样不但不能起到信息传递的作用，相反，可能造成一些商业信息的泄露。所以，一定要有措施来保证登录者的身份。”

　　恰好，RSA能够提供双因素认证解决方案，从而帮助上海移动解决了后顾之忧。RSA SecurID 双因素认证技术是基于你所知道的东西(密码)，以及你所拥有的东西(例如硬件令牌)建立的。RSA SecurID硬件令牌提供比静态密码和重复使用密码更强的安全和保护，它是一个比较小的设备，能够很容易地串在钥匙环上，并且每60秒就能产生一个新的和独特的一次性动态密码，用户可以把动态密码和他们的个人识别码一起输入。由于动态密码每隔一分钟就会更新，因此黑客没有足够的时间来进行破解。

　　动态密码系统由用户端的密码令牌和应用系统端的认证服务器软件组成。认证服务器软件是一个企业级认证软件解决方案，可以支持几百万个用户和几百个同时在线的用户。认证服务器软件是整个系统的核心部分，与应用系统服务器通过局域网相连，对所有上网用户进行身份认证。用户登录应用系统时，依据安全算法，认证系统会在密码令牌的专用芯片和认证服务器上同时生成动态密码，经过比较，若双方密码相同，则为合法用户，否则为非法用户，确保其高度安全性。

　　上海移动已经向其各类合作伙伴分发了RSA SecurID硬件令牌，提供双因素认证服务。曹玮说:“上海移动的管理层非常支持采用双因素认证解决方案，合作伙伴们也都感到使用起来既方便又安全。”

　　智能卡能做更多的事

　　目标:消除网络口令

　　到明年1月，Chevron公司在全世界200个国家和1800个办公机构中的用户手中将只剩下惟一一种能用于登录网络并获得资源访问权的手段，这就是 Chevron SmartBadge。SmartBadge是一张带三块芯片的塑料卡，可以支持办公室门禁和网络访问、桌面登录和面向近3000种应用的单点登录。

　　口令的最终消亡是该公司4年来不懈努力的结果，也是一项具有里程碑意义的事件。在这段时间里，这家石油业巨头一直在广泛建设SmartBadge系统及其基础设施，这套系统可以在单张卡片上支持双因素验证，并以此作为企业身份、隐私和安全标准。

　　

　　其他公司也将门禁和网络访问权集合到证章中，但Chevron却将桌面登录、数字签名认证和加密，还有单点登录等功能也集合到证章中，并且在业界中处于领先的地位。

　　Chevron公司信息技术分公司新兴技术小组主任Edmund Yee说:“该项目已经实施了很长时间，我们希望通过循序渐进的方式来达到可实现的阶段性目标，然后再逐步推广到全公司范围内。”

　　Yee和该项目的系统集成商Schlumberger公司都坚信自己采取的是正确的方法，而且双方还用了一年的时间对治理和策略标准进行了详细的定义。 Schlumberger公司经理Greg Salyards说:“这种安全技术使用户能够安全地进入系统并且获得数字签名、驱动器加密和数据加密。该技术能够触及企业的业务流程并且帮助用户进行正式的事件审查和建立认可。”

　　Salyards认为，SmartBadge使Chevron公司能够将关键的企业决定从书面形式转化为数字记录。另外，这项技术的另外一个结果是，Chevron公司将每月约4000个口令重置数量减少了70%。

　　Salyards指出，在这套系统中，如果不算服务的话，每位用户的卡片、读卡器和软件成本约为50美元。Chevron不愿透露公司在SmartBadge的总体支出和节省下来的总体成本，但Yee指出，这个项目带来的投资回报是立竿见影的。

　　安全新起点

　　Yee说，在2000年时Chevron公司开始更新服务器、桌面机和网络安全技术。在差不多一年之后，当Chevron与Texaco合并时，由于需要为新员工制作证章，该项目开始逐渐升温。另外，911事件也加快了这个项目的发展步伐。当时，Chevron公司的董事会开展了一项双因素验证研究

本文引用地址：http://www.ipmotor.net/news/jishu/2006/1201/content_83.htm

[1] [2] [3] [4]

责任编辑：