IEEE 802.1XIEEE制定关于用户接入网络的认证标准(注意:此处X是大写[1]),全称是“基于端口的网络接入控制”,属于IEEE 802.1网络协议组的一部分。于2001年标准化,之后为了配合无线网络的接入进行修订改版,于2004年完成。它为想要连接到LANWLAN的装置提供了一种认证机制。

IEEE 802.1X协议在用户接入网络(可以是以太网802.3或者WLAN网)之前运行,运行于网络中的数据链路层,通过EAP协议实现认证、由RADIUS协议控制授权。

IEEE 802.1X定义了在IEEE 802上运行EAP协议的封装方式(EAP over LAN,EAPOL[2][3][4]。EAPOL最初被定义在802.1X-2001,设计对象为IEEE 802.3以太网,但是后来为了适应其他IEEE 802 LAN技术,如IEEE 802.11无线和光纤分布式数据接口(FDDI)(ISO 9314-2),在802.1X-2004中又做了澄清[5]。为了与IEEE 802.1AE (“MACsec”)和IEEE 802.1AR (Secure Device Identity, DevID)一起使用,EAPOL协议在802.1X-2010中还进行了修改[6][7],以支持服务识别和在本地LAN段上的可选点对点加密。

概述

Thumb
EAP数据首先被封装在EAPOL帧中,传输于申请者(Supplicant)和验证者(Authenticator)之间。随后又封装在RADIUS或Diameter,传输于验证者和验证伺服器(Authentication server)之间。

802.1X验证涉及到三个部分:申请者、验证者和验证伺服器。申请者是一个需要连接到LAN/WAN的客户端装置(如便携机),同时也可以指运行在客户端上,提供凭据给验证者的软件。验证者是一个网络装置,如以太网交换机或无线接入点。验证伺服器通常是一个运行着支持RADIUSEAP协议的主机。

验证者就像是一个受保护网络的警卫。申请者(如客户端装置)不允许通过验证者访问到受保护一侧的网络,直到申请者的身份被验证和授权。这就像是允许进入一个国家之前要在机场的入境处提供一个有效的签证一样。使用802.1X基于端口的验证,申请者向验证者提供凭据,如用户名/密码或者数码证书,验证者将凭据转发给验证伺服器来进行验证。如果验证伺服器认为凭据有效,则申请者(客户端装置)就被允许访问被保护侧网络的资源[8]

参考资料

外部链接

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.