IEEE 802.1 X身份验证

IEEE规范，它描述通过生成扩展树来阻止风桥回路的一种算法。该算法是由数字设备公司（Digital Equipment Corporation）发明的。Digital算法和IEEE802.1算法并不完全相同，也不兼容。 

这个最好别选上,因为这个是用来进行身份验证的,有时候会给你找一些麻烦.

802.1X的主要作用是做给接入设备做端口验证，防止没有经过认证的PC/笔记本电脑接入到网络中。除非接入设备例如交换机、AP上设置了802.1x认证，否则在笔记本或者PC上不需要勾选它。一般来说，如果接入设备启用了802.1x认证，那么管理员会给每一个用户分配一个用户名和密码来保证合法的设备能够接入到网络中。所以，如果没有特别的说明，那么你是不用勾选它的。

 

IEEE 802.1X

　 　IEEE 802.1X标准定义了基于端口的网络访问控制，可用于为以太网络提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证过程失败，使用以太网交换机端口来发送和接收帧的能力就会被拒绝。虽然这个标准是为有线以太网络设计的，但是其已经过改编以便在IEEE 802.11无线局域网上应用。Windows XP支持对所有基于局域网的网络适配器使用IEEE 802.1X身份验证，包括以太网络适配器和无线网络适配器。

　　802.1X定义了以下术语：

　　• 端口访问实体

　　• 身份验证者（Authenticator）

　　• 申请者（Supplicant）

　　• 身份验证服务器

　　端口访问实体

　　端口访问实体（port access entity，PAE）也称为局域网端口，是一个与某个端口相关联的支持IEEE 802.1X协议的逻辑实体。局域网端口可以充当身份验证者或申请者的角色，或者同时充当这两个角色。

　　身份验证者

　　身份验证者是一个局域网端口，用以在允许那些通过该端口进行访问的服务之前强制身份验证。对于无线连接，身份验证者是无线访问点（AP）上的逻辑局域网端口，操作在基础结构模式下的客户端就通过该端口访问有线网络。

　　申请者

　　申请者是一个局域网端口，用以请求访问那些通过身份验证者来访问的服务。对于无线连接，申请者就是无线局域网网络适配器上请求访问有线网络的逻辑局域网端口。它是通过首先与一个身份验证者关联，然后再验证自己的身份来完成访问请求的。

　　不管它们是用于无线连接还是用于有线以太网连接，申请者和身份验证者都由一个逻辑或物理的点对点局域网网段连接起来。

　　身份验证服务器

　　为了检验申请者的凭证，身份验证者使用了一个身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭证，然后向身份验证者作出响应，指出申请者是否被授权访问身份验证者的服务。身份验证服务器可以是：

　　• AP的一个组件。

　　AP必须使用一组对应于正在尝试连接的客户端的用户凭证集来配置。这对于无线AP来说通常是无法实现的。

　　• 一个单独的实体。

　　AP把用于连接尝试的凭证转发到一台单独的身份验证服务器。通常，无线AP使用“远程身份验证拔入服务（RADIUS）”协议将连接尝试的参数发送到一台RADIUS服务器。

 

---------------------------------------------

对于IEEE 802.1x协议在前面我们对它的基本情况已经做了介绍。大家这个局域网的认证协议的概念应该有所掌握了，现在我们再来介绍一下它的特点以及不足之处，之后我们在对他的应用进行介绍。

　　IEEE 802.1x协议的特点

　　IEEE 802.1x具有以下主要优点：

　　(1)实现简单。IEEE 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。

　　(2)认证和业务数据分离。IEEE 802.1x的认证体系结构中采用了“受控端口”和“非受控端口”的逻辑功能，从而可以实现业务与认证的分离。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。

　　IEEE 802.1x协议同时具有以下不足

　　802.1x认证是需要网络服务的系统和网络之间的会话，这一会话使用IETF的EAP(Extensible Authentication Protocol)认证协议。协议描述了认证机制的体系结构框架使得能够在802.11实体之间发送EAP包，并为在AP和工作站间的高层认证协议建立了必要条件。对MAC地址的认证对802.1x来说是最基本的，如果没有高层的每包认证机制，认证端口没有办法标识网络申请者或其包。而且实验证明802.1x由于其设计缺陷其安全性已经受到威胁，常见的攻击有中间人MIM攻击和会话攻击。

　　所以802.11与802.1x的简单结合并不能提供健壮的安全无线环境，必须有高层的清晰的交互认证协议来加强。幸运的是，802.1x为实现高层认证提供了基本架构。

　　IEEE 802.1x协议的应用

　　IEEE 802.1x协议使用标准安全协议(如RADIUS)提供集中的用户标识、身份验证、动态密钥管理和记帐。802.1x身份验证可以增强安全性。IEEE 802.1x身份验证提供对802.11无线网络和对有线以太网网络的经验证的访问权限。IEEE 802.1x通过提供用户和计算机标识、集中的身份验证以及动态密钥管理，可将无线网络安全风险减小到最低程度。在此执行下，作为 RADIUS客户端配置的无线接入点将连接请求和记帐邮件发送到中央 RADIUS 服务器。中央 RADIUS服务器处理此请求并准予或拒绝连接请求。如果准予请求，根据所选身份验证方法，该客户端获得身份验证，并且为会话生成唯一密钥。IEEE 802.1x协议为可扩展的身份验证协议EAP安全类型提供的支持使您能够使用诸如智能卡、证书以及Message Digest 5(MD5) 算法这样的身份验证方法。

　　扩展身份验证协议EAP是一个支持身份验证信息通过多种机制进行通信的协议。利用802.1x，EAP可以用来在申请者和身份验证服务器之间传递验证信息。这意味着EAP消息需要通过LAN介质直接进行封装。认证者负责在申请者和身份验证服务器之间转递消息。身份验证服务器可以是一台远程身份验证拨入用户服务(RADIUS)服务器。

　　以下举一个例子，说明对申请者进行身份验证所需经过的步骤：

　　(1)认证者发送一个EAP - Request/Identity(请求/身份)消息给申请者。

　　(2)申请者发送一个EAP - Response/Identity(响应/身份)以及它的身份给认证者。认证者将收到的消息转发给身份验证服务器。

　　(3)身份验证服务器利用一个包含口令问询的EAP - Request消息通过认证者对申请者做出响应。

　　(4)申请者通过认证者将它对口令问询的响应发送给身份验证服务器。

　　(5)IEEE 802.1x协议规定如果身份验证通过，授权服务器将通过认证者发送一个EAP - Success响应给申请者。认证者可以使用“Success”(成功)响应将受控制端口的状态设置为“已授权”。

--------------------------------------------