802.1x協(xié)議的認(rèn)證過(guò)程

利用IEEE 802.1x可以進(jìn)行身份驗(yàn)證，如果計(jì)算機(jī)要求在不管用戶是否登錄網(wǎng)絡(luò)的情況下都訪問(wèn)網(wǎng)絡(luò)資源，可以指定計(jì)算機(jī)是否嘗試訪問(wèn)該網(wǎng)絡(luò)的身份驗(yàn)證。以下步驟描述了利用接入點(diǎn)AP和RADIUS服務(wù)器對(duì)移動(dòng)節(jié)點(diǎn)進(jìn)行身份驗(yàn)證的基本方法。如果沒(méi)有有效的身份驗(yàn)證密鑰，AP會(huì)禁止所有的網(wǎng)絡(luò)流量通過(guò)。
    （1）當(dāng)一個(gè)移動(dòng)節(jié)點(diǎn)（申請(qǐng)者）進(jìn)入一個(gè)無(wú)線AP認(rèn)證者的覆蓋范圍時(shí)，無(wú)線AP會(huì)向移動(dòng)節(jié)點(diǎn)發(fā)出一個(gè)問(wèn)詢。
    （2）在受到來(lái)自AP的問(wèn)詢之后，移動(dòng)節(jié)點(diǎn)做出響應(yīng)，告知自己的身份。
    （3）AP將移動(dòng)節(jié)點(diǎn)的身份轉(zhuǎn)發(fā)給RADIUS身份驗(yàn)證服務(wù)器，以便啟動(dòng)身份驗(yàn)證服務(wù)。
    （4）RADIUS服務(wù)器請(qǐng)求移動(dòng)節(jié)點(diǎn)發(fā)送它的憑據(jù)，并且指定確認(rèn)移動(dòng)節(jié)點(diǎn)身份所需憑據(jù)的類型。
    （5）移動(dòng)節(jié)點(diǎn)將它的憑據(jù)發(fā)送給RADIUS.
    （6）在對(duì)移動(dòng)節(jié)點(diǎn)憑據(jù)的有效性進(jìn)行了確認(rèn)之后，RADIUS服務(wù)器將身份驗(yàn)證密鑰發(fā)送給AP.該身份驗(yàn)證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動(dòng)節(jié)點(diǎn)和RADIUS服務(wù)器之間傳遞的請(qǐng)求通過(guò)AP的“非控制”端口進(jìn)行傳遞，因?yàn)橐苿?dòng)節(jié)點(diǎn)不能直接與RADIUS服務(wù)器建立聯(lián)系。AP不允許STA移動(dòng)節(jié)點(diǎn)通過(guò)“受控制”端口傳送數(shù)據(jù)，因?yàn)樗€沒(méi)有經(jīng)過(guò)身份驗(yàn)證。）
    （7）AP使用從RADIUS服務(wù)器處獲得的身份驗(yàn)證密鑰保護(hù)移動(dòng)節(jié)點(diǎn)數(shù)據(jù)的安全傳輸——特定于移動(dòng)節(jié)點(diǎn)的單播會(huì)話密鑰以及多播/全局身份驗(yàn)證密鑰。
    全局身份驗(yàn)證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個(gè)加密密鑰，這也是身份驗(yàn)證過(guò)程的一個(gè)組成部分。傳輸層安全TLS（Transport Level Security）協(xié)議提供了兩點(diǎn)間的相互身份驗(yàn)證、完整性保護(hù)、密鑰對(duì)協(xié)商以及密鑰交換。我們可以使用EAP-TLS在EAP內(nèi)部提供TLS機(jī)制。
    移動(dòng)節(jié)點(diǎn)可被要求周期性地重新認(rèn)證以保持一定的安全級(jí)。