最新无线局域网标准（3）

而第一代无线局域网的安全性依赖于静态密钥进行接入控制和加密，不能满足这些要求。为了满足上述要求，IEEE制定了802.1x协议。

IEEE 802.1x 称为基于端口的访问控制协议（Port based network access control protocol），它对认证方式和认证体系结构进行了优化，解决了传统PPPoE和Web/Portal认证方式带来的问题，更适合在宽带以太网中的使用。

IEEE 802.1x协议的体系结构包括三个重要的部分：客户端（Supplicant System）、认证系统（Authenticator System）和认证服务器（Authentication Server System）。

●客户端系统

客户端系统一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，用户通过启动这个客户端软件发起IEEE802.1x协议的认证过程。为支持基于端口的接入控制，客户端系统需支持扩展认证协议（EAPOL：Extensible Authentication Protocol Over LAN）。

●认证系统

认证系统通常为支持IEEE802.1x协议的网络设备。该设备对应于不同用户的端口（可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等）。有两个逻辑端口：受控（controlled Port）端口和不受控端口（uncontrolled Port）。不受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。

IEEE 802.1x协议中的“可控端口”与“非可控端口”是逻辑上的理解，设备内部并不存在这样的物理开关。对于每个用户而言，IEEE 802.1x协议均为其建立一条逻辑的认证通道，该逻辑通道其他用户无法使用，不存在端口打开后被其他用户利用问题。

●认证服务器

认证服务器通常为RADIUS服务器，该服务器可以存储有关用户的信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。当用户通过认证后，认证服务器会把用户的相关信息传递给认证系统，由认证系统构建动态的访问控制列表，用户的后续流量就将接受上述参数的监管。认证服务器和RADIUS服务器之间通过EAP协议进行通信。

IEEE 802.1x认证协议已经得到了很多软件厂商的重视，目前Microsoft也在大力推广，并在Windows操作系统中的最新版Windows XP已经整合IEEE 802.1x客户端软件，无需要另外安装客户端软件。