IEEE 802.1X

IEEE 802.1X是IEEE制定關於用戶接入網絡的認證標準（注意：此處X是大寫^[1]），全稱是「基於端口的網絡接入控制」，屬於IEEE 802.1網絡協議組的一部分。於2001年標準化，之後為了配合無線網絡的接入進行修訂改版，於2004年完成。它為想要連接到LAN或WLAN的設備提供了一種認證機制。

IEEE 802.1X協議在用戶接入網絡（可以是以太網／802.3或者WLAN網）之前運行，運行於網絡中的數據鏈路層，通過EAP協議實現認證、由RADIUS協議控制授權。

IEEE 802.1X定義了在IEEE 802上運行EAP協議的封裝方式（EAP over LAN，EAPOL^[2]）^[3]^[4]。EAPOL最初被定義在802.1X-2001，設計對象為IEEE 802.3以太網，但是後來為了適應其他IEEE 802 LAN技術，如IEEE 802.11無線和光纖分布式數據接口（FDDI）（ISO 9314-2），在802.1X-2004中又做了澄清^[5]。為了與IEEE 802.1AE (「MACsec」)和IEEE 802.1AR (Secure Device Identity, DevID)一起使用，EAPOL協議在802.1X-2010中還進行了修改^[6]^[7]，以支持服務識別和在本地LAN段上的可選點對點加密。

概述[編輯]

EAP數據首先被封裝在EAPOL幀中，傳輸於申請者（Supplicant）和驗證者（Authenticator）之間。隨後又封裝在RADIUS或Diameter，傳輸於驗證者和驗證服務器（Authentication server）之間。

802.1X驗證涉及到三個部分：申請者、驗證者和驗證服務器。申請者是一個需要連接到LAN/WAN的客戶端設備（如便攜機），同時也可以指運行在客戶端上，提供憑據給驗證者的軟件。驗證者是一個網絡設備，如以太網交換機或無線接入點。驗證服務器通常是一個運行着支持RADIUS和EAP協議的主機。

驗證者就像是一個受保護網絡的警衛。申請者（如客戶端設備）不允許通過驗證者訪問到受保護一側的網絡，直到申請者的身分被驗證和授權。這就像是允許進入一個國家之前要在機場的入境處提供一個有效的簽證一樣。使用802.1X基於端口的驗證，申請者向驗證者提供憑據，如用戶名/密碼或者數字證書，驗證者將憑據轉發給驗證服務器來進行驗證。如果驗證服務器認為憑據有效，則申請者（客戶端設備）就被允許訪問被保護側網絡的資源^[8]。

參考資料[編輯]

^ IEEE关于命名的解释. [2006-11-14]. （原始內容存檔於2006-11-16）.
^ IEEE 802.1X-2001, § 7
^ RFC 3748, § 3.3
^ RFC 3748, § 7.12
^ IEEE 802.1X-2004, § 3.2.2
^ IEEE 802.1X-2010, page iv
^ IEEE 802.1X-2010, § 5
^ 802.1X Port-Based Authentication Concepts. [2008-07-30]. （原始內容存檔於2008-08-18）.

外部連結[編輯]

（英文）Get IEEE 802®（頁面存檔備份，存於網際網路檔案館）
WIRE1x（頁面存檔備份，存於網際網路檔案館）

[1] IEEE关于命名的解释. [2006-11-14]. （原始內容存檔於2006-11-16）.

[2] IEEE 802.1X-2001, § 7

[3] RFC 3748, § 3.3

[4] RFC 3748, § 7.12

[5] IEEE 802.1X-2004, § 3.2.2

[802.1X-2010_seciv-6] IEEE 802.1X-2010, page iv

[802.1X-2010_sec5-7] IEEE 802.1X-2010, § 5

[8] 802.1X Port-Based Authentication Concepts. [2008-07-30]. （原始內容存檔於2008-08-18）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]