最近,在无线LAN接入点和LAN交换机的广告中常常会出现“IEEE802.1X”的字样。IEEE802.1X正如其名,是IEEE802委员会制定的LAN标准中的一个,是一种应用于LAN交换机和无线LAN接入点的用户认证技术。
作者:zdnet安全频道 来源:论坛整理 2008年11月14日
关键字: 802.1x
最近,在无线LAN接入点和LAN交换机的广告中常常会出现“IEEE802.1X”的字样。IEEE802.1X正如其名,是IEEE(美国电气电子工程师学会)802委员会制定的LAN标准中的一个,是一种应用于LAN交换机和无线LAN接入点的用户认证技术。虽说如此,恐怕还是有很多人对IEEE802.1X不很了解。下面我们就来看一下IEEE802.1X的基本架构。
IEEE802.1X是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用LAN。不过,支持802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证,LAN交换机就可以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。
了解到上述基本原理以后,我们来看一下使用IEEE802.1X所必需的一些设备和软件。
位于中枢位置的是支持IEEE802.1X的LAN交换机和无线LAN接入点。上述设备在802.1X标准中被称为“认证装置”和“认证者(Authenticator)”。这些设备可与个人电脑交换认证信息,并具有根据结果通过或屏蔽个人电脑发送的信息的功能。
接受认证的个人电脑需要安装名为“申请者(Supplicant)”的认证客户端软件。Windows 2000(SP4以后)、WindowsXP、Mac OS X等都标准配备申请者功能。申请者的作用是将认证必需的信息按照一定的顺序进行交换。认证一旦成功,用户就可以通过认证装置来使用LAN了。
实际上,对用户的认证是由“认证服务器”完成的。认证装置将从申请者那里接收到的认证信息传送到认证服务器上,再由它来判断是否允许使用LAN。认证服务器的主体是RADIUS服务器。RADIUS与包括802.1X在内的许多技术配合使用,应用于对认证用户的集中管理。
构筑使用802.1X认证的网络时,最起码要具备三个要素——申请者、认证装置、认证服务器。而且,有的情况下还需要认证局(CA)。认证局本身和802.1X的认证流程没有直接关系,但是为了充分确保认证的可靠性,需要使用认证局发行的数码认证书。