|
IEEE 802.1X 是一种为受保护网络提供认证、用户流量控制以及动态密钥分配等服务的有效机制。802.1X 将可扩展身份认证协议 EAP 捆绑到有线和无线局域网媒体上,以支持多重认证方法。如标记卡 token cards、Kerberos、一次性口令 one-time passwords、证书 certificates 以及公开密钥认证 public key authentication 等。
802.1x 结构主要有三部分组成:
- 申请者 supplicant:想得到认证的用户或客户;
- 认证服务器 authentication server:典型例子为 RADIUS 服务器;
- 认证系统 authenticator:对端间设备,如无线接入点。
802.1x 中主要涉及 LANs(EAPOL)上的 EAP 封装协议,最近它被定义来用于 Ethernet-like LANs,包括 802.11 无线、令牌环 LANs(包括 FDDI)。802.1X 中操作过程如下:
- 申请者(如客户机无线网卡)发送一个“EAP 响应/身份认证” 数据包给认证系统(如 802.11 接入点),然后传送至认证服务器(RADIUS 服务器,位于接入点有线端)。
- 认证服务器发回一个挑战给认证系统,认证系统通过 IP 接收该挑战并将它重组为 EAPOL,然后再发送给申请者。
- 申请者响应认证系统发送来的挑战,并将响应传送给认证服务器。认证服务器使用特定认证算法来检验客户身份,这可以通过数字证书或 EAP 认证类型实现。
如果申请者提供的身份正确,认证服务器便响应一个成功信息,并将该信息返回给申请者。为了申请者能够访问 LAN,认证系统基于认证服务器返回的信息属性开放一个端口。
对于是否实施 802.11 WEP 密钥机制或完全没有提供加密技术并不重要,因为 802.1X(EAPOL)协议提供了有效认证机制。如果 802.1X 服务器能够实现动态密钥交换,那么它便能连同接收信息和会话密钥一起返回给接入点。接入点使用会话密钥建立、标记和加密 EAP 密钥信息,一旦发送完成功信息,该 EAP 密钥信息就会被立即发送给客户机。客户机通过密钥信息内容来定义可应用加密密钥。
802.1X(EAPOL)实际上是一种传送机制,而不是认证机制。当采用 802.1X 时,必须选择如传输层安全协议 EAP-TLS 或 EAP 隧道传输层安全协议 EAP-TTLS 这样的 EAP 类型,EAP-TLS 或 EAP-TTLS 定义了认证过程的进行。特定类型的 EAP 位于认证服务器中或客户机操作系统或应用软件里。接入点作为 802.1X 信息的“通过”路径,这意味着在支持 802.1X 的接入点不需要升级的情况下,可以指定使用任意类型的 EAP。 | 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)