1、介紹

　　802.1X是一個IEEE標準，通過對用戶進行基於端口的安全認證和對密鑰的動態管理，從而實現保護用戶用戶的位置隱私和身份隱私以及有效保護通信過程中信息安全的目的。

　　在802.1X協議中，只有具備了以下三個元素才能夠完成基於端口的訪問控制的用戶認證和授權。

　　1、客戶端

　　一般安裝在用戶的工作站上，當用戶有上網需求時，激活客戶端程序，輸入必要的用戶名和口令，客戶端程序將會送出連接請求。

　　2、認證系統

　　在以太網系統中認證交換機，其主要作用是完成用戶認證信息的上傳、下達工作，並根據認證的結果打開或關閉端口。在無線網絡中就是無線接入點。

　　3、認證服務器

　　通過檢驗客戶端發送來的身份標識（用戶名和口令）來判斷用戶是否有權使用網絡系統提供的網絡服務，並根據認證結果向交換機發出打開或保持端口關閉的狀態。

2、802.1X認證步驟

　　802.1X中EAP-TLS認證在實現的具體交互內容：

　　1、最初的802.1X通訊開始以一個非認證客戶端設備嘗試去連接一個認證端（如AP)，客戶端發送一個EAP起始消息。然後開始客戶端認證的一連串消息交換。

　　2、AP回復EAP請求身份消息。

　　3、客戶端發送給認證服務器的EAP的響應信息包裏包含了身份信息。AP通過激活一個允許從客戶端到AP有線端的認證服務器的EAP包的端口，並關閉可其他所有的傳輸，像HTTP、DHCP和POP3包，直到AP通過認證服務器來驗證用戶端的身份。

　　4、認證服務器使用一種特殊的認證算法去驗證客戶端身份。同樣它也可以通過使用數字認證或其他類型的EAP認證。

　　5、認證服務器會發送同意或拒絕信息給這個AP。

　　6、AP發送一個EAP成功信息包（或拒絕信息包）給客戶端

　　7、如果認證服務器認可這個客戶端，那麽AP將轉換這個客戶端到授權狀態並轉發其他的通信。最重要的是，這個AP的軟件是支持認證服務器裏特定的EAP類型的，並且用戶端設備的操作系統裏或“Supplicant"(客戶端設備）應用軟件也要支持它。AP為802.1X消息提供了“透明傳輸”。這就意味著可以指定任一EAP類型，而不需要去升級一個自適應802.1X的AP。

3、802.1X支持的認證類型

　　802.1X可擴展身份驗證協議（EAP）類型提供的支持，允許用戶為無線客戶端和服務器從多種身份驗證方法中選擇身份驗證方法。

　　所支持認證類型包括：

　　EAP TLS、EAP GTC、EAP MD5、EAP MSCHAPV2、PEAP GTC、PEAP MD5等等。

4、802.1X和IAS

　　在Windows下，要支持身份驗證、授權以及無線網絡連接記賬，可以將802.1X與IAS一起使用。IAS是微軟設計的遠程身份驗證撥號用戶服務（RADIUS)服務器和代理服務器的實現。執行RADIUS時，無線訪問點阻止在沒有有效身份驗證密鑰的情況下把數據通信轉發到有線網絡或另一個無線客戶端。獲取有效身份驗證密鑰的過程如下：

　　1、無線客戶端在某個無線訪問點的有效範圍內時，該無線訪問點質詢客戶端。

　　2、無線客戶端把其標識發送到無線訪問點，無線訪問點再將此信息轉發到RADIUS服務器。

　　3、RADIUS服務器請求無線客戶端的憑據來驗證客戶端的身份。作為此請求的組成部分，RADIUS服務器指定所需憑據的類型。

　　4、無線客戶端將其憑據發送到RADIUS服務器。

　　5、RADIUS服務器驗證無線客戶端的憑據。如果憑據有效，RADIUS服務器會把一個加密的身份驗證密鑰發送到無線訪問點。

　　6、無線訪問點使用此身份驗證密鑰，安全地把每站單播會話和多身份驗證密鑰傳輸到無線客戶端。

5、AAA與RADIUS

　　AAA是鑒別、授權和記賬的簡稱，它是運行於NAS上的客戶端程序，提供了一個用來對鑒別、授權和記賬這三種安全功能進行配置的一致的框架。AAA的配置實際上是對網絡安全的一種管理，這裏的網絡安全主要指訪問控制，包括哪些用戶可以訪問網絡服務器，具有訪問權的用戶可以得到哪些服務，如果對正在使用網絡資源的用戶進行記賬。

　　待續。。。

IEEE 802.1X標準