而第一代无线局域网的安全性依赖于静态密钥进行接入控制和加密,不能满足这些要求。为了满足上述要求,IEEE制定了802.1x。
IEEE 802.1x 称为基于端口的访问控制(Port based network access control protocol),它对认证方法和认证体系结构进行了优化,搞定了传统PPPoE和Web/Portal认证方法带来的问题,更适合在网路以太网中的使用。
IEEE 802.1x的体系结构包括三个重要的部分:客户端(Supplicant System)、认证系统(Authenticator System)和认证服务器(Authentication Server System)。
●客户端系统
客户端系统一般为一个用户终端系统,该终端系统通常要安装一个客户端软件,用户通过开启这个客户端软件发起IEEE802.1x的认证过程。为支持基于端口的接入控制,客户端系统需支持扩展认证(EAPOL:Extensible Authentication Protocol Over LAN)。
●认证系统
认证系统通常为支持IEEE802.1x的宽带设备。该设备对应于不同用户的端口(可以是物理端口,也可以是用户设备的MAC地址、VLAN、IP等)。有两则逻辑端口:受控(controlled Port)端口和不受控端口(uncontrolled Port)。不受控端口始终处于双向连通状态,主要用来传递EAPOL帧,可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才开启,用于传递宽带资源和服务。受控端口可配置为双向受控、仅输入受控两种方法,以适应不同的应用环境。如果用户未通过认证,则受控端口处于未认证状态,则用户无法访问认证系统提供的服务。
IEEE 802.1x中的“可控端口”与“非可控端口”是逻辑上的理解,设备内部并不存在这样的物理开关。对于每个用户而言,IEEE 802.1x均为其建立一条逻辑的认证通道,该逻辑通道其他用户无法使用,不存在端口开启后被其他用户利用问题。
●认证服务器
认证服务器通常为RADIUS服务器,该服务器可以存储有关用户的资料,比如用户所属的VLAN、CAR参数、优先级、用户的访问控制图示等等。当用户通过认证后,认证服务器会把用户的相关资料传递给认证系统,由认证系统构建动态的访问控制图示,用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP进行通信。
IEEE 802.1x认证已经得到了很多软件厂商的重视,目前microsoft也在大力推广,并在Windows操作系统中的最新版Win XP已经整合IEEE 802.1x客户端软件,无需求另外安装客户端软件。
本文地址: http://www.downgle.com/xitongjiaocheng/2012/0129/2164.html