802.1x協(xié)議的認證過程

利用IEEE 802.1x可以進行身份驗證，如果計算機要求在不管用戶是否登錄網(wǎng)絡的情況下都訪問網(wǎng)絡資源，可以指定計算機是否嘗試訪問該網(wǎng)絡的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務器對移動節(jié)點進行身份驗證的基本方法。如果沒有有效的身份驗證密鑰，AP會禁止所有的網(wǎng)絡流量通過。
    （1）當一個移動節(jié)點（申請者）進入一個無線AP認證者的覆蓋范圍時，無線AP會向移動節(jié)點發(fā)出一個問詢。
    （2）在受到來自AP的問詢之后，移動節(jié)點做出響應，告知自己的身份。
    （3）AP將移動節(jié)點的身份轉發(fā)給RADIUS身份驗證服務器，以便啟動身份驗證服務。
    （4）RADIUS服務器請求移動節(jié)點發(fā)送它的憑據(jù)，并且指定確認移動節(jié)點身份所需憑據(jù)的類型。
    （5）移動節(jié)點將它的憑據(jù)發(fā)送給RADIUS.
    （6）在對移動節(jié)點憑據(jù)的有效性進行了確認之后，RADIUS服務器將身份驗證密鑰發(fā)送給AP.該身份驗證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動節(jié)點和RADIUS服務器之間傳遞的請求通過AP的“非控制”端口進行傳遞，因為移動節(jié)點不能直接與RADIUS服務器建立聯(lián)系。AP不允許STA移動節(jié)點通過“受控制”端口傳送數(shù)據(jù)，因為它還沒有經(jīng)過身份驗證。）
    （7）AP使用從RADIUS服務器處獲得的身份驗證密鑰保護移動節(jié)點數(shù)據(jù)的安全傳輸——特定于移動節(jié)點的單播會話密鑰以及多播/全局身份驗證密鑰。
    全局身份驗證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個加密密鑰，這也是身份驗證過程的一個組成部分。傳輸層安全TLS（Transport Level Security）協(xié)議提供了兩點間的相互身份驗證、完整性保護、密鑰對協(xié)商以及密鑰交換。我們可以使用EAP-TLS在EAP內部提供TLS機制。
    移動節(jié)點可被要求周期性地重新認證以保持一定的安全級。