IEEE 802.1X
IEEE 802.1X标准定义了基于端口的网络访问控制,可用于为以太网络提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证过程失败,使用以太网交换机端口来发送和接收帧的能力就会被拒绝。虽然这个标准是为有线以太网络设计的,但是其已经过改编以便在IEEE 802.11无线局域网上应用。Windows XP支持对所有基于局域网的网络适配器使用IEEE 802.1X身份验证,包括以太网络适配器和无线网络适配器。
802.1X定义了以下术语:
• 端口访问实体
• 身份验证者(Authenticator)
• 申请者(Supplicant)
• 身份验证服务器
端口访问实体
端口访问实体(port access entity,PAE)也称为局域网端口,是一个与某个端口相关联的支持IEEE 802.1X协议的逻辑实体。局域网端口可以充当身份验证者或申请者的角色,或者同时充当这两个角色。
身份验证者
身份验证者是一个局域网端口,用以在允许那些通过该端口进行访问的服务之前强制身份验证。对于无线连接,身份验证者是无线访问点(AP)上的逻辑局域网端口,操作在基础结构模式下的客户端就通过该端口访问有线网络。
申请者
申请者是一个局域网端口,用以请求访问那些通过身份验证者来访问的服务。对于无线连接,申请者就是无线局域网网络适配器上请求访问有线网络的逻辑局域网端口。它是通过首先与一个身份验证者关联,然后再验证自己的身份来完成访问请求的。
不管它们是用于无线连接还是用于有线以太网连接,申请者和身份验证者都由一个逻辑或物理的点对点局域网网段连接起来。
身份验证服务器
为了检验申请者的凭证,身份验证者使用了一个身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭证,然后向身份验证者作出响应,指出申请者是否被授权访问身份验证者的服务。身份验证服务器可以是:
• AP的一个组件。
AP必须使用一组对应于正在尝试连接的客户端的用户凭证集来配置。这对于无线AP来说通常是无法实现的。
• 一个单独的实体。
AP把用于连接尝试的凭证转发到一台单独的身份验证服务器。通常,无线AP使用“远程身份验证拔入服务(RADIUS)”协议将连接尝试的参数发送到一台RADIUS服务器。