无线局域网安全协议之802.1X认证阶段

(2) 802.1X认证阶段

802.11i使用802.1X协议来实现用户认证和密钥管理。.802.1X本身只是一个框架，采用IETF制定的可扩展认证协议(Extensihle Authentication Protocol，EAP)作为核心协议，EAP 属于一种框架协议，可适用于不同的链路层类型，如EAP over LAN、EAP over PPP等，并允许设计人员制定自己的EAP认证方式，常用的EAP认证方式有TLS、AKA/SIM、1VID5等，可扩展和灵活性是EAP的最大优点。

802.1X基于端口实现网络访问控制，定义了三个组件：申请访问者(supplicant)、认证者( authenticator)和认证服务器(Authentication Server，AS)。申请者是指请求访问网络资源的客户端，网络访问由认证者控制，认证者只负责链路层的认证交互过程，并不维护任何用户信息，任何认证请求均会被转送至认证服务器（如Radius服务器）进行处理，

整个认证交换过程在逻辑上是通过认证服务器和申请者的交互完成，认证者只是扮演中介的角色。申请者与认证者之间使用EAP over LAN（简称EAPoL）协议，认证者与认证服务器之间通过网络协议（如RADIUS协议）封包来传递EAP协议报文(如RADIUS称之为EAP overRADIUS)。

AS通常是有线网络中的独立设备，但也可以在AP中实现。根据802.1X协议框架，申请访问者(STA)向认证者( AP)发送EAP认证请求，AP通过RADIUS消息验证用户合法性。

一旦STA通过了802.1X身份验证之后，AS会产生一个主会话密钥(MSK)，也称被作AAA key，将它传送给STA。以后STA和AP的通信的所有加密密钥都由此MSK生成。