IEEE802.1X标准

IEEE802.1X标准
1、介绍
802.1X是⼀个IEEE标准，通过对⽤户进⾏基于端⼝的安全认证和对密钥的动态管理，从⽽实现保护⽤户⽤户的位置隐私和⾝份隐私以及有效保护通信过程中信息安全的⽬的。

在802.1X协议中，只有具备了以下三个元素才能够完成基于端⼝的访问控制的⽤户认证和授权。

1、客户端
⼀般安装在⽤户的⼯作站上，当⽤户有上⽹需求时，激活客户端程序，输⼊必要的⽤户名和⼝令，客户端程序将会送出连接请求。

2、认证系统
在以太⽹系统中认证交换机，其主要作⽤是完成⽤户认证信息的上传、下达⼯作，并根据认证的结果打开或关闭端⼝。

在⽆线⽹络中就是⽆线接⼊点。

3、认证服务器
通过检验客户端发送来的⾝份标识（⽤户名和⼝令）来判断⽤户是否有权使⽤⽹络系统提供的⽹络服务，并根据认证结果向交换机发出打开或保持端⼝关闭的状态。

2、802.1X认证步骤
802.1X中EAP-TLS认证在实现的具体交互内容：
1、最初的802.1X通讯开始以⼀个⾮认证客户端设备尝试去连接⼀个认证端（如AP)，客户端发送⼀个EAP起始消息。

然后开始客户端认证的⼀连串消息交换。

2、AP回复EAP请求⾝份消息。

3、客户端发送给认证服务器的EAP的响应信息包⾥包含了⾝份信息。

AP通过激活⼀个允许从客户端到AP有线端的认证服务器的EAP 包的端⼝，并关闭可其他所有的传输，像HTTP、DHCP和POP3包，直到AP通过认证服务器来验证⽤户端的⾝份。

4、认证服务器使⽤⼀种特殊的认证算法去验证客户端⾝份。

同样它也可以通过使⽤数字认证或其他类型的EAP认证。

5、认证服务器会发送同意或拒绝信息给这个AP。

6、AP发送⼀个EAP成功信息包（或拒绝信息包）给客户端
7、如果认证服务器认可这个客户端，那么AP将转换这个客户端到授权状态并转发其他的通信。

最重要的是，这个AP的软件是⽀持认证服务器⾥特定的EAP类型的，并且⽤户端设备的操作系统⾥或“Supplicant"(客户端设备）应⽤软件也要⽀持它。

AP为802.1X消息提供
了“透明传输”。

这就意味着可以指定任⼀EAP类型，⽽不需要去升级⼀个⾃适应802.1X的AP。

3、802.1X⽀持的认证类型
802.1X可扩展⾝份验证协议（EAP）类型提供的⽀持，允许⽤户为⽆线客户端和服务器从多种⾝份验证⽅法中选择⾝份验证⽅法。

所⽀持认证类型包括：
EAP TLS、EAP GTC、EAP MD5、EAP MSCHAPV2、PEAP GTC、PEAP MD5等等。

4、802.1X和IAS
在Windows下，要⽀持⾝份验证、授权以及⽆线⽹络连接记账，可以将802.1X与IAS⼀起使⽤。

IAS是微软设计的远程⾝份验证拨号⽤户服务（RADIUS)服务器和代理服务器的实现。

执⾏RADIUS时，⽆线访问点阻⽌在没有有效⾝份验证密钥的情况下把数据通信转发到有线⽹络或另⼀个⽆线客户端。

获取有效⾝份验证密钥的过程如下：
1、⽆线客户端在某个⽆线访问点的有效范围内时，该⽆线访问点质询客户端。

2、⽆线客户端把其标识发送到⽆线访问点，⽆线访问点再将此信息转发到RADIUS服务器。

3、RADIUS服务器请求⽆线客户端的凭据来验证客户端的⾝份。

作为此请求的组成部分，RADIUS服务器指定所需凭据的类型。

4、⽆线客户端将其凭据发送到RADIUS服务器。

5、RADIUS服务器验证⽆线客户端的凭据。

如果凭据有效，RADIUS服务器会把⼀个加密的⾝份验证密钥发送到⽆线访问点。

6、⽆线访问点使⽤此⾝份验证密钥，安全地把每站单播会话和多⾝份验证密钥传输到⽆线客户端。

5、AAA与RADIUS
AAA是鉴别、授权和记账的简称，它是运⾏于NAS上的客户端程序，提供了⼀个⽤来对鉴别、授权和记账这三种安全功能进⾏配置的⼀致的框架。

AAA的配置实际上是对⽹络安全的⼀种管理，这⾥的⽹络安全主要指访问控制，包括哪些⽤户可以访问⽹络服务器，具有访问权的⽤户可以得到哪些服务，如果对正在使⽤⽹络资源的⽤户进⾏记账。

待续。