網(wǎng)絡(luò)之中，對于接入用戶我們是需要有身份驗(yàn)證的。那么對于局域網(wǎng)的IEEE 802.1x協(xié)議的相關(guān)認(rèn)證體系我們就來詳細(xì)的敘述一下。通過對這方面的認(rèn)證過程的學(xué)習(xí)，相信大家對這個內(nèi)容能有一個比較清晰的流程概念。

802.1x協(xié)議的體系

IEEE 802.1x協(xié)議起源于802.11， 其主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。802.1x 協(xié)議又稱為基于端口的訪問控制協(xié)議，可提供對802.11無線局域網(wǎng)和對有線以太網(wǎng)絡(luò)的驗(yàn)證的網(wǎng)絡(luò)訪問權(quán)限。802.1x協(xié)議僅僅關(guān)注端口的打開與關(guān)閉，對于合法用戶接入時，打開端口;對于非法用戶接入或沒有用戶接入時，則端口處于關(guān)閉狀態(tài)。

IEEE 802.1x協(xié)議的體系結(jié)構(gòu)主要包括三部分實(shí)體：客戶端Supplicant System、認(rèn)證系統(tǒng)Authenticator System、認(rèn)證服務(wù)器Authentication Server System。

（1）客戶端：一般為一個用戶終端系統(tǒng)，該終端系統(tǒng)通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發(fā)起IEEE 802.1x協(xié)議的認(rèn)證過程。

（2）認(rèn)證系統(tǒng)：通常為支持IEEE 802.1x協(xié)議的網(wǎng)絡(luò)設(shè)備。該設(shè)備對應(yīng)于不同用戶的端口有兩個邏輯端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。***個邏輯接入點(diǎn)（非受控端口），允許驗(yàn)證者和 LAN 上其它計(jì)算機(jī)之間交換數(shù)據(jù)，而無需考慮計(jì)算機(jī)的身份驗(yàn)證狀態(tài)如何。非受控端口始終處于雙向連通狀態(tài)（開放狀態(tài)），主要用來傳遞EAPOL協(xié)議幀，可保證客戶端始終可以發(fā)出或接受認(rèn)證。第二個邏輯接入點(diǎn)（受控端口），允許經(jīng)驗(yàn)證的 LAN 用戶和驗(yàn)證者之間交換數(shù)據(jù)。受控端口平時處于關(guān)閉狀態(tài)，只有在客戶端認(rèn)證通過時才打開，用于傳遞數(shù)據(jù)和提供服務(wù)。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用程序。如果用戶未通過認(rèn)證，則受控端口處于未認(rèn)證（關(guān)閉）狀態(tài)，則用戶無法訪問認(rèn)證系統(tǒng)提供的服務(wù)。

（3）認(rèn)證服務(wù)器：通常為RADIUS服務(wù)器，該服務(wù)器可以存儲有關(guān)用戶的信息，比如用戶名和口令、用戶所屬的VLAN、優(yōu)先級、用戶的訪問控制列表等。當(dāng)用戶通過認(rèn)證后，認(rèn)證服務(wù)器會把用戶的相關(guān)信息傳遞給認(rèn)證系統(tǒng)，由認(rèn)證系統(tǒng)構(gòu)建動態(tài)的訪問控制列表，用戶的后續(xù)數(shù)據(jù)流就將接受上述參數(shù)的監(jiān)管。

802.1x協(xié)議的認(rèn)證過程

利用IEEE 802.1x可以進(jìn)行身份驗(yàn)證，如果計(jì)算機(jī)要求在不管用戶是否登錄網(wǎng)絡(luò)的情況下都訪問網(wǎng)絡(luò)資源，可以指定計(jì)算機(jī)是否嘗試訪問該網(wǎng)絡(luò)的身份驗(yàn)證。以下步驟描述了利用接入點(diǎn)AP和RADIUS服務(wù)器對移動節(jié)點(diǎn)進(jìn)行身份驗(yàn)證的基本方法。如果沒有有效的身份驗(yàn)證密鑰，AP會禁止所有的網(wǎng)絡(luò)流量通過。

（1）當(dāng)一個移動節(jié)點(diǎn)（申請者）進(jìn)入一個無線AP認(rèn)證者的覆蓋范圍時，無線AP會向移動節(jié)點(diǎn)發(fā)出一個問詢。

（2）在受到來自AP的問詢之后，移動節(jié)點(diǎn)做出響應(yīng)，告知自己的身份。

（3）AP將移動節(jié)點(diǎn)的身份轉(zhuǎn)發(fā)給RADIUS身份驗(yàn)證服務(wù)器，以便啟動身份驗(yàn)證服務(wù)。

（4）RADIUS服務(wù)器請求移動節(jié)點(diǎn)發(fā)送它的憑據(jù)，并且指定確認(rèn)移動節(jié)點(diǎn)身份所需憑據(jù)的類型。

（5）移動節(jié)點(diǎn)將它的憑據(jù)發(fā)送給RADIUS。

（6）在對移動節(jié)點(diǎn)憑據(jù)的有效性進(jìn)行了確認(rèn)之后，RADIUS服務(wù)器將身份驗(yàn)證密鑰發(fā)送給AP。該身份驗(yàn)證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動節(jié)點(diǎn)和RADIUS服務(wù)器之間傳遞的請求通過AP的“非控制”端口進(jìn)行傳遞，因?yàn)橐苿庸?jié)點(diǎn)不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動節(jié)點(diǎn)通過“受控制”端口傳送數(shù)據(jù)，因?yàn)樗€沒有經(jīng)過身份驗(yàn)證。）

（7）AP使用從RADIUS服務(wù)器處獲得的身份驗(yàn)證密鑰保護(hù)移動節(jié)點(diǎn)數(shù)據(jù)的安全傳輸--特定于移動節(jié)點(diǎn)的單播會話密鑰以及多播/全局身份驗(yàn)證密鑰。

IEEE 802.1x協(xié)議的全局身份驗(yàn)證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個加密密鑰，這也是身份驗(yàn)證過程的一個組成部分。傳輸層安全TLS（Transport Level Security）協(xié)議提供了兩點(diǎn)間的相互身份驗(yàn)證、完整性保護(hù)、密鑰對協(xié)商以及密鑰交換。我們可以使用EAP-TLS在EAP內(nèi)部提供TLS機(jī)制。移動節(jié)點(diǎn)可被要求周期性地重新認(rèn)證以保持一定的安全級。