3.802.1x协议的认证过程

　　利用IEEE 802.1x可以进行身份验证，如果计算机要求在不管用户是否登录网络的情况下都访问网络资源，可以指定计算机是否尝试访问该网络的身份验证。以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。如果没有有效的身份验证密钥，AP会禁止所有的网络流量通过。

　　（1）当一个移动节点（申请者）进入一个无线AP认证者的覆盖范围时，无线AP会向移动节点发出一个问询。

　　（2）在受到来自AP的问询之后，移动节点做出响应，告知自己的身份。

　　（3）AP将移动节点的身份转发给RADIUS身份验证服务器，以便启动身份验证服务。

　　（4）RADIUS服务器请求移动节点发送它的凭据，并且指定确认移动节点身份所需凭据的类型。

　　（5）移动节点将它的凭据发送给RADIUS。

　　（6）在对移动节点凭据的有效性进行了确认之后，RADIUS服务器将身份验证密钥发送给AP。该身份验证密钥将被加密，只有AP能够读出该密钥。（在移动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递，因为移动节点不能直接与RADIUS服务器建立联系。AP不允许STA移动节点通过“受控制”端口传送数据，因为它还没有经过身份验证。）

　　（7）AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输–特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。

　　全局身份验证密钥必须被加密。这要求所使用的EAP方法必须能够生成一个加密密钥，这也是身份验证过程的一个组成部分。传输层安全TLS（Transport Level Security）协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以使用EAP-TLS在EAP内部提供TLS机制。

　　移动节点可被要求周期性地重新认证以保持一定的安全级。

　　4.802.1x协议的特点

　　IEEE 802.1x具有以下主要优点：

　　（1）实现简单。IEEE 802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本。

　　（2）认证和业务数据分离。IEEE 802.1x的认证体系结构中采用了“受控端口”和“非受控端口”的逻辑功能，从而可以实现业务与认证的分离。用户通过认证后，业务流和认证流实现分离，对后续的数据包处理没有特殊要求，业务可以很灵活，尤其在开展宽带组播等方面的业务有很大的优势，所有业务都不受认证方式限制。

　　IEEE 802.1x同时具有以下不足

　　802.1x认证是需要网络服务的系统和网络之间的会话，这一会话使用IETF的EAP（Extensible Authentication Protocol）认证协议。协议描述了认证机制的体系结构框架使得能够在802.11实体之间发送EAP包，并为在AP和工作站间的高层认证协议建立了必要条件。对MAC地址的认证对802.1x来说是最基本的，如果没有高层的每包认证机制，认证端口没有办法标识网络申请者或其包。而且实验证明802.1x由于其设计缺陷其安全性已经受到威胁，常见的攻击有中间人MIM攻击和会话攻击。