最新無線局域網標準（3）

　　 
　　而第一代無線局域網的安全性依賴于靜態密鑰進行接入控制和加密，不能滿足這些要求。為了滿足上述要求，IEEE制定了802.1x協議。

　　IEEE 802.1x 稱為基于端口的訪問控制協議（Port based.network aclearcase/" target="_blank" >ccess control protocol），它對認證方式和認證體系結構進行了優化，解決了傳統PPPoE和Web/Portal認證方式帶來的問題，更適合在寬帶以太網中的使用。
　　IEEE 802.1x協議的體系結構包括三個重要的部分：客戶端（Supplicant System）、認證系統（Authenticator System）和認證服務器（Authentication Server System）。
　　●客戶端系統
　　客戶端系統一般為一個用戶終端系統，該終端系統通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起IEEE802.1x協議的認證過程。為支持基于端口的接入控制，客戶端系統需支持擴展認證協議（EAPOL：Extensible Authentication Protocol Over LAN）。
　　●認證系統
　　認證系統通常為支持IEEE802.1x協議的網絡設備。該設備對應于不同用戶的端口（可以是物理端口，也可以是用戶設備的MAC地址、VLAN、IP等）。有兩個邏輯端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始終處于雙向連通狀態，主要用來傳遞EAPOL協議幀，可保證客戶端始終可以發出或接受認證。受控端口只有在認證通過的狀態下才打開，用于傳遞網絡資源和服務。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用環境。如果用戶未通過認證，則受控端口處于未認證狀態，則用戶無法訪問認證系統提供的服務。
　　IEEE 802.1x協議中的“可控端口”與“非可控端口”是邏輯上的理解，設備內部并不存在這樣的物理開關。對于每個用戶而言，IEEE 802.1x協議均為其建立一條邏輯的認證通道，該邏輯通道其他用戶無法使用，不存在端口打開后被其他用戶利用問題。
　　●認證服務器
　　認證服務器通常為RADIUS服務器，該服務器可以存儲有關用戶的信息，比如用戶所屬的VLAN、CAR參數、優先級、用戶的訪問控制列表等等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續流量就將接受上述參數的監管。認證服務器和RADIUS服務器之間通過EAP協議進行通信。
　　IEEE 802.1x認證協議已經得到了很多軟件廠商的重視，目前Microsoft也在大力推廣，并在Windows操作系統中的最新版Windows XP已經整合IEEE 802.1x客戶端軟件，無需要另外安裝客戶端軟件。

原文轉自：http://www.kjueaiud.com