淺談802.1X在WinXP下是如何工作的

　　802.1X協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。由于環(huán)境問題致使它在安全性問題上一直是討論的焦點，當(dāng)然802.1X也有它自身的優(yōu)點，許多研究網(wǎng)絡(luò)的朋友都會對802.1X產(chǎn)生興趣，那么802.1X在WinXP下是如何工作的呢?如果你還不知道的話，那么下面這篇教程就能為你解答。

　　推薦：最新WinXP系統(tǒng)

　　WinXP系統(tǒng)下802.1X是如何工作的?

　　回答這個問題我們首先要知道802.1X實施基于端口的訪問控制。在WLAN中，端口就是訪問點(AP)和工作站之間的連接。在802.1x中擁有兩種類型的端口：非控制的和控制的。您現(xiàn)在正在使用的可能就是非控制端口：它允許設(shè)備連接到端口，與其他任何網(wǎng)絡(luò)設(shè)備進行通訊。相反，控制端口限制了連接設(shè)備所能夠通訊的網(wǎng)絡(luò)地址。您可能已經(jīng)能夠了解到接下來是什么情況了：802.1X允許所有的客戶端連接到控制端口，但是這些端口僅將流量發(fā)送給身份驗證服務(wù)器。在客戶端通過身份驗證以后，才被允許開始使用非控制端口。802.1x的奧秘在于非控制和控制端口是并存于同一個物理網(wǎng)絡(luò)端口上的邏輯設(shè)備。

　　針對身份驗證，802.1X進一步為網(wǎng)絡(luò)設(shè)備定義了兩種角色：申請者(supplicant) 和認(rèn)證者(authenticator)。申請者是一個請求訪問網(wǎng)絡(luò)資源的設(shè)備(例如配備了802.11b網(wǎng)卡的膝上型計算機)。認(rèn)證者是對申請者進行身份驗證的設(shè)備，由它來決定是否授予申請者訪問權(quán)限。無線 AP 可以作為認(rèn)證者;但是使用行業(yè)標(biāo)準(zhǔn)的遠程身份驗證撥入用戶服務(wù)(RADIUS) 協(xié)議更靈活一些。這個協(xié)議包含在 WinXP中;通過 RADIUS，AP 接收身份驗證請求，并將請求轉(zhuǎn)發(fā)給 RADIUS 服務(wù)器，由這臺服務(wù)器來根據(jù) Active Directory 對用戶進行身份驗證。

　　802.1X在身份驗證時并不使用有線等效隱私(Wired Equivalent Privacy，WEP);作為替代，它使用行業(yè)標(biāo)準(zhǔn)的可擴展身份驗證協(xié)議(Extensible Authentication Protocol，EAP)或更新的版本。在任何一種情況下，EAP/PEAP 都擁有其獨特的優(yōu)勢：它們允許選擇身份驗證方法。在默認(rèn)情況下，　　802.1X在身份驗證時并不使用有線等效隱私(Wired Equivalent Privacy，WEP);作為替代，它使用行業(yè)標(biāo)準(zhǔn)的可擴展身份驗證協(xié)議(Extensible Authentication Protocol，EAP)或更新的版本。在任何一種情況下，EAP/PEAP 都擁有其獨特的優(yōu)勢：它們允許選擇身份驗證方法。在默認(rèn)情況下，802.1X使用EAP-TLS (EAP-傳輸層安全性)，此時所有EAP保護的流量都由TLS協(xié)議(非常類似于SSL)進行加密。

　　整個身份驗證的過程是這樣的：

　　1.無線工作站嘗試通過非控制端口連接到AP。(由于此時該工作站還沒有通過身份驗證，因此它無法使用控制端口)。該AP向工作站發(fā)送一個純文本質(zhì)詢。

　　2.作為響應(yīng)，工作站提供自己的身份證明。

　　3.AP 將來自工作站的身份信息通過有線 LAN 轉(zhuǎn)發(fā)給使用 RADIUS 的認(rèn)證者。

　　4.RADIUS服務(wù)器查詢指定帳戶，確定需要何種憑證(例如，您可能將您的RADIUS服務(wù)器配置為僅接受數(shù)字證書)。該信息轉(zhuǎn)換成憑證請求，返回到工作站。

　　5.工作站通過AP上的非控制端口發(fā)送它的憑證。

　　6.RADIUS 服務(wù)器對憑證進行驗證;如果通過驗證，則將身份驗證密鑰發(fā)送給AP。這個密鑰是加密的，因此只有AP能夠?qū)ζ溥M行解密。

　　7.AP 對密鑰進行解密，并用它來為工作站創(chuàng)建一個新的密鑰。這個新的密鑰將被發(fā)送給工作站，它被用來加密工作站的主全局身份驗證密鑰。

　　8.定期的AP 會生成新的主全局身份驗證密鑰，并將其發(fā)送給客戶端。這很好地解決了802.11中長壽命固定密鑰的問題，攻擊者能夠很容易地通過暴力破解來攻擊固定密鑰。

　　以上就是802.1X在WinXP下的工作過程，大家看完后相信都有了初步的了解，這方面的學(xué)問是比較深的，有興趣的朋友可以往下繼續(xù)挖掘，推薦大家看看《WinXP部署802.1X的簡單方法》，相信會對你有很大的幫助。