802.1x認(rèn)證協(xié)議的應(yīng)用

IEEE 802.1x 使用標(biāo)準(zhǔn)安全協(xié)議（如RADIUS）提供集中的用戶標(biāo)識、身份驗證、動態(tài)密鑰管理和記帳。802.1x身份驗證可以增強(qiáng)安全性。IEEE 802.1x身份驗證提供對802.11無線網(wǎng)絡(luò)和對有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗證的訪問權(quán)限。IEEE 802.1x 通過提供用戶和計算機(jī)標(biāo)識、集中的身份驗證以及動態(tài)密鑰管理，可將無線網(wǎng)絡(luò)安全風(fēng)險減小到最低程度。在此執(zhí)行下，作為 RADIUS 客戶端配置的無線接入點將連接請求和記帳郵件發(fā)送到中央 RADIUS 服務(wù)器。中央 RADIUS 服務(wù)器處理此請求并準(zhǔn)予或拒絕連接請求。如果準(zhǔn)予請求，根據(jù)所選身份驗證方法，該客戶端獲得身份驗證，并且為會話生成密鑰。IEEE 802.1x為可擴(kuò)展的身份驗證協(xié)議 EAP 安全類型提供的支持使您能夠使用諸如智能卡、證書以及 Message Digest 5 （MD5） 算法這樣的身份驗證方法。
    擴(kuò)展身份驗證協(xié)議EAP是一個支持身份驗證信息通過多種機(jī)制進(jìn)行通信的協(xié)議。利用802.1x，EAP可以用來在申請者和身份驗證服務(wù)器之間傳遞驗證信息。這意味著EAP消息需要通過LAN介質(zhì)直接進(jìn)行封裝。認(rèn)證者負(fù)責(zé)在申請者和身份驗證服務(wù)器之間轉(zhuǎn)遞消息。身份驗證服務(wù)器可以是一臺遠(yuǎn)程身份驗證撥入用戶服務(wù)（RADIUS）服務(wù)器。
    以下舉一個例子，說明對申請者進(jìn)行身份驗證所需經(jīng)過的步驟：
    （1）認(rèn)證者發(fā)送一個EAP - Request/Identity（請求/身份）消息給申請者。
    （2）申請者發(fā)送一個EAP - Response/Identity（響應(yīng)/身份）以及它的身份給認(rèn)證者。認(rèn)證者將收到的消息轉(zhuǎn)發(fā)給身份驗證服務(wù)器。
    （3）身份驗證服務(wù)器利用一個包含口令問詢的EAP - Request消息通過認(rèn)證者對申請者做出響應(yīng)。
    （4）申請者通過認(rèn)證者將它對口令問詢的響應(yīng)發(fā)送給身份驗證服務(wù)器。
    （5）如果身份驗證通過，授權(quán)服務(wù)器將通過認(rèn)證者發(fā)送一個EAP - Success響應(yīng)給申請者。認(rèn)證者可以使用“Success”（成功）響應(yīng)將受控制端口的狀態(tài)設(shè)置為“已授權(quán)”。