IEEE 802.1X

IEEE 802.1X是IEEE制定關於用戶接入網絡的認證標準（注意：此處X是大寫^[1]），全稱是「基於埠的網絡接入控制」，屬於IEEE 802.1網絡協定組的一部分。於2001年標準化，之後為了配合無線網絡的接入進行修訂改版，於2004年完成。它為想要連接到LAN或WLAN的裝置提供了一種認證機制。

IEEE 802.1X協定在用戶接入網絡（可以是乙太網路／802.3或者WLAN網）之前執行，執行於網絡中的數據鏈路層，通過EAP協定實現認證、由RADIUS協定控制授權。

IEEE 802.1X定義了在IEEE 802上執行EAP協定的封裝方式（EAP over LAN，EAPOL^[2]）^[3]^[4]。EAPOL最初被定義在802.1X-2001，設計對象為IEEE 802.3乙太網路，但是後來為了適應其他IEEE 802 LAN技術，如IEEE 802.11無線和光纖分散式數據介面（FDDI）（ISO 9314-2），在802.1X-2004中又做了澄清^[5]。為了與IEEE 802.1AE (「MACsec」)和IEEE 802.1AR (Secure Device Identity, DevID)一起使用，EAPOL協定在802.1X-2010中還進行了修改^[6]^[7]，以支援服務辨識和在本地LAN段上的可選對等加密。

概述

EAP數據首先被封裝在EAPOL幀中，傳輸於申請者（Supplicant）和驗證者（Authenticator）之間。隨後又封裝在RADIUS或Diameter，傳輸於驗證者和驗證伺服器（Authentication server）之間。

802.1X驗證涉及到三個部分：申請者、驗證者和驗證伺服器。申請者是一個需要連接到LAN/WAN的客戶端裝置（如可攜式機），同時也可以指執行在客戶端上，提供憑據給驗證者的軟件。驗證者是一個網絡裝置，如乙太網路交換機或無線存取點。驗證伺服器通常是一個執行着支援RADIUS和EAP協定的主機。

驗證者就像是一個受保護網絡的警衛。申請者（如客戶端裝置）不允許通過驗證者訪問到受保護一側的網絡，直到申請者的身份被驗證和授權。這就像是允許進入一個國家之前要在機場的入境處提供一個有效的簽證一樣。使用802.1X基於埠的驗證，申請者向驗證者提供憑據，如用戶名/密碼或者數碼證書，驗證者將憑據轉發給驗證伺服器來進行驗證。如果驗證伺服器認為憑據有效，則申請者（客戶端裝置）就被允許訪問被保護側網絡的資源^[8]。

參考資料

^ IEEE关于命名的解释. [2006-11-14]. （原始內容存檔於2006-11-16）.
^ IEEE 802.1X-2001, § 7
^ RFC 3748, § 3.3
^ RFC 3748, § 7.12
^ IEEE 802.1X-2004, § 3.2.2
^ IEEE 802.1X-2010, page iv
^ IEEE 802.1X-2010, § 5
^ 802.1X Port-Based Authentication Concepts. [2008-07-30]. （原始內容存檔於2008-08-18）.

外部連結

（英文）Get IEEE 802®（頁面存檔備份，存於互聯網檔案館）
WIRE1x（頁面存檔備份，存於互聯網檔案館）

[1] IEEE关于命名的解释. [2006-11-14]. （原始內容存檔於2006-11-16）.

[2] IEEE 802.1X-2001, § 7

[3] RFC 3748, § 3.3

[4] RFC 3748, § 7.12

[5] IEEE 802.1X-2004, § 3.2.2

[802.1X-2010_seciv-6] IEEE 802.1X-2010, page iv

[802.1X-2010_sec5-7] IEEE 802.1X-2010, § 5

[8] 802.1X Port-Based Authentication Concepts. [2008-07-30]. （原始內容存檔於2008-08-18）.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]