網絡之中，對于接入用戶我們是需要有身份驗證的。那么對于局域網的IEEE 802.1x協議的相關認證體系我們就來詳細的敘述一下。通過對這方面的認證過程的學習，相信大家對這個內容能有一個比較清晰的流程概念。

802.1x協議的體系

IEEE 802.1x協議起源于802.11， 其主要目的是為了解決無線局域網用戶的接入認證問題。802.1x 協議又稱為基于端口的訪問控制協議，可提供對802.11無線局域網和對有線以太網絡的驗證的網絡訪問權限。802.1x協議僅僅關注端口的打開與關閉，對于合法用戶接入時，打開端口;對于非法用戶接入或沒有用戶接入時，則端口處于關閉狀態。

IEEE 802.1x協議的體系結構主要包括三部分實體：客戶端Supplicant System、認證系統Authenticator System、認證服務器Authentication Server System。

（1）客戶端：一般為一個用戶終端系統，該終端系統通常要安裝一個客戶端軟件，用戶通過啟動這個客戶端軟件發起IEEE 802.1x協議的認證過程。

（2）認證系統：通常為支持IEEE 802.1x協議的網絡設備。該設備對應于不同用戶的端口有兩個邏輯端口：受控（controlled Port）端口和非受控端口（uncontrolled Port）。***個邏輯接入點（非受控端口），允許驗證者和 LAN 上其它計算機之間交換數據，而無需考慮計算機的身份驗證狀態如何。非受控端口始終處于雙向連通狀態（開放狀態），主要用來傳遞EAPOL協議幀，可保證客戶端始終可以發出或接受認證。第二個邏輯接入點（受控端口），允許經驗證的 LAN 用戶和驗證者之間交換數據。受控端口平時處于關閉狀態，只有在客戶端認證通過時才打開，用于傳遞數據和提供服務。受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用程序。如果用戶未通過認證，則受控端口處于未認證（關閉）狀態，則用戶無法訪問認證系統提供的服務。

（3）認證服務器：通常為RADIUS服務器，該服務器可以存儲有關用戶的信息，比如用戶名和口令、用戶所屬的VLAN、優先級、用戶的訪問控制列表等。當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給認證系統，由認證系統構建動態的訪問控制列表，用戶的后續數據流就將接受上述參數的監管。

802.1x協議的認證過程

利用IEEE 802.1x可以進行身份驗證，如果計算機要求在不管用戶是否登錄網絡的情況下都訪問網絡資源，可以指定計算機是否嘗試訪問該網絡的身份驗證。以下步驟描述了利用接入點AP和RADIUS服務器對移動節點進行身份驗證的基本方法。如果沒有有效的身份驗證密鑰，AP會禁止所有的網絡流量通過。

（1）當一個移動節點（申請者）進入一個無線AP認證者的覆蓋范圍時，無線AP會向移動節點發出一個問詢。

（2）在受到來自AP的問詢之后，移動節點做出響應，告知自己的身份。

（3）AP將移動節點的身份轉發給RADIUS身份驗證服務器，以便啟動身份驗證服務。

（4）RADIUS服務器請求移動節點發送它的憑據，并且指定確認移動節點身份所需憑據的類型。

（5）移動節點將它的憑據發送給RADIUS。

（6）在對移動節點憑據的有效性進行了確認之后，RADIUS服務器將身份驗證密鑰發送給AP。該身份驗證密鑰將被加密，只有AP能夠讀出該密鑰。（在移動節點和RADIUS服務器之間傳遞的請求通過AP的“非控制”端口進行傳遞，因為移動節點不能直接與RADIUS服務器建立聯系。AP不允許STA移動節點通過“受控制”端口傳送數據，因為它還沒有經過身份驗證。）

（7）AP使用從RADIUS服務器處獲得的身份驗證密鑰保護移動節點數據的安全傳輸--特定于移動節點的單播會話密鑰以及多播/全局身份驗證密鑰。

IEEE 802.1x協議的全局身份驗證密鑰必須被加密。這要求所使用的EAP方法必須能夠生成一個加密密鑰，這也是身份驗證過程的一個組成部分。傳輸層安全TLS（Transport Level Security）協議提供了兩點間的相互身份驗證、完整性保護、密鑰對協商以及密鑰交換。我們可以使用EAP-TLS在EAP內部提供TLS機制。移動節點可被要求周期性地重新認證以保持一定的安全級。