IEEE 802.1X

IEEE 802.1X是IEEE制定关于用户接入网络的认证标准（注意：此处X是大写^[1]），全称是“基于端口的网络接入控制”，属于IEEE 802.1网络协议组的一部分。于2001年标准化，之后为了配合无线网络的接入进行修订改版，于2004年完成。它为想要连接到LAN或WLAN的设备提供了一种认证机制。

IEEE 802.1X协议在用户接入网络（可以是以太网／802.3或者WLAN网）之前运行，运行于网络中的数据链路层，通过EAP协议实现认证、由RADIUS协议控制授权。

IEEE 802.1X定义了在IEEE 802上运行EAP协议的封装方式（EAP over LAN，EAPOL^[2]）^[3]^[4]。EAPOL最初被定义在802.1X-2001，设计对象为IEEE 802.3以太网，但是后来为了适应其他IEEE 802 LAN技术，如IEEE 802.11无线和光纤分布式数据接口（FDDI）（ISO 9314-2），在802.1X-2004中又做了澄清^[5]。为了与IEEE 802.1AE (“MACsec”)和IEEE 802.1AR (Secure Device Identity, DevID)一起使用，EAPOL协议在802.1X-2010中还进行了修改^[6]^[7]，以支持服务识别和在本地LAN段上的可选点对点加密。

概述

EAP数据首先被封装在EAPOL帧中，传输于申请者（Supplicant）和验证者（Authenticator）之间。随后又封装在RADIUS或Diameter，传输于验证者和验证服务器（Authentication server）之间。

802.1X验证涉及到三个部分：申请者、验证者和验证服务器。申请者是一个需要连接到LAN/WAN的客户端设备（如便携机），同时也可以指运行在客户端上，提供凭据给验证者的软件。验证者是一个网络设备，如以太网交换机或无线接入点。验证服务器通常是一个运行着支持RADIUS和EAP协议的主机。

验证者就像是一个受保护网络的警卫。申请者（如客户端设备）不允许通过验证者访问到受保护一侧的网络，直到申请者的身分被验证和授权。这就像是允许进入一个国家之前要在机场的入境处提供一个有效的签证一样。使用802.1X基于端口的验证，申请者向验证者提供凭据，如用户名/密码或者数字证书，验证者将凭据转发给验证服务器来进行验证。如果验证服务器认为凭据有效，则申请者（客户端设备）就被允许访问被保护侧网络的资源^[8]。

参考資料

^ IEEE关于命名的解释. [2006-11-14]. （原始内容存档于2006-11-16）.
^ IEEE 802.1X-2001, § 7
^ RFC 3748, § 3.3
^ RFC 3748, § 7.12
^ IEEE 802.1X-2004, § 3.2.2
^ IEEE 802.1X-2010, page iv
^ IEEE 802.1X-2010, § 5
^ 802.1X Port-Based Authentication Concepts. [2008-07-30]. （原始内容存档于2008-08-18）.

外部連結

（英文）Get IEEE 802®（页面存档备份，存于互联网档案馆）
WIRE1x（页面存档备份，存于互联网档案馆）

[1] IEEE关于命名的解释. [2006-11-14]. （原始内容存档于2006-11-16）.

[2] IEEE 802.1X-2001, § 7

[3] RFC 3748, § 3.3

[4] RFC 3748, § 7.12

[5] IEEE 802.1X-2004, § 3.2.2

[802.1X-2010_seciv-6] IEEE 802.1X-2010, page iv

[802.1X-2010_sec5-7] IEEE 802.1X-2010, § 5

[8] 802.1X Port-Based Authentication Concepts. [2008-07-30]. （原始内容存档于2008-08-18）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]