1 无线802.1X认证概述
无线网络的数据传输是利用电磁波在空气中辐射传布
，只有在AP（Access Point
，无线接入点）覆盖的领域内
，所有的无线认证客户端都能够接管到无线信号。无线网络的这种电磁辐射的传输方式是无线网络安全保密尤为凸起的重要原因。
802.1X和谈是基于端口的Client/Server模式的网络接入节造和谈（Port based networkaccess control protocol）。通过其EAP（Extensible Authentication Protocol
，可扩大认证和谈）的认证框架
，可实此刻局域网接入接口这一级对所有入网客户端进行身份验证并节造其网络接见权限。
当802.1X利用在无线网接入认证时
，在认证客户端和认证服务器间通过PEAP证书技术的加密机造成立一个安全通路
，确保EAP内部的数据是使用证书加密的
，从而提高802.1X认证在无线网利用中的安全性和靠得住性。通常合用于新建网络、用户集中并且信息安全要求严格的场景。

2 无线802.1X认证的工作道理
2.1   无线802.1X认证系统
图2-1    无线802.1X认证系统（Fit AP场景）
  

图2-2    无线802.1X认证系统（Fat AP场景）
  

无线802.1X认证系统为典型的Client/Server结构
，蕴含三个角色：认证客户端、接入设备和认证服务器。在无线802.1X认证和谈中
，必要以下三个角色同时参加才可能实现对无线网的接见节造以及对无线客户端的认证和授权。
●    认证客户端
通常指接入无线网络并提议接入认证的客户端设备
，好比笔记本、装置有无线网卡的幼我推算机、PDA手持终端、打印机、智能移动终端等。用户在认证客户端上关联无线802.1X认证的无线网络信号
，输入必要的用户名和密码来触发认证。认证客户端必须运行切合802.1X客户端尺度软件（如操作系统自带的802.1X客户端或者iSlot官方网站网络推出的切合尺度的RG Supplicant软件）。
●    接入设备
接入设备通常是指支持802.1X和谈的网络设备。在Fit AP无线场景中
，接入设备是指AC设备（如图2-1）
，在Fat AP无线场景中
，接入设备是指AP设备（如图2-2）。它为认证客户端提供接入无线网的端口（该端口可所以物理接口或者逻辑接口）
，充任认证客户端和认证服务器之间的中介。其重要作用是实现客户端认证信息的上传、下达工作
，并凭据客户端的身份验证状态节造其对网络的接见权限。
●   认证服务器
通过检验客户端发送来的身份标识（用户名和密码）来判断客户端是否有权使用网络系统提供的服务
，并可凭据网络现实部署必要实现对客户端授权与计费。

2.2   无线802.1X认证流程
无线802.1X认证的认证流程蕴含关联、认证、认证通过和下线4个阶段
，下面简要介绍每个阶段的工作过程。
2.2.1  关联阶段
STA（Station
，工作站点）上的认证客户端在探测到AP开释的无线信号后
，自动提议关联要求
，与接入设备交互协商出双方支持的通用速度、数据传输的密钥传递方式、加密方式等信息
，实现关联过程。本阶段蕴含的报文交互过程如图2-3所示。
图2-3    关联阶段

2.2.2  认证阶段
无线802.1X的认证过程蕴含认证肇始阶段、TLS通路成立阶段和通路内认证阶段3个过程。
●    在认证肇始阶段
，认证系统的3个角色之间通过EAP和谈和Radius和谈交互用户信息（含用户ID和用户名）
，其报文交互过程如图2-4中编号（1）~（7）所示。
●    在TLS通路成立阶段
，认证系统的3个角色之间通过协商PEAP认证并成立TLS安全通路
，其报文交互过程如图2-4中的编号（8）~（16）所示。
●   通路内认证阶段：在PEAP和谈的TLS安全通路成立成功之后
，认证系统的3个角色在TLS安全通路内实现接入认证过程
，其报文交互过程如图2-4中的编号（17）~（28）所示。
图2-4    无线802.1X认证阶段

2.2.3  认证通过阶段
接入设备在接管到认证服务器的“Access Accept”报文之后
，意味着本次认证通过。接入设备给认证服务器提议记账起头报文
，通知服务器起头对该认证客户端进行计费
，具体报文交互过程
，如图2-5所示。
图2-5    80.21x认证成功阶段流程图
  

2.2.4  下线阶段
在认证下线阶段
，认证客户端自动开释IP地址
，发送下线报文“EAP Logoff”给接入设备。接入设备通过提议记账实现要求来通知认证服务器
，终止该认证客户端的记账过程
，具体报文交互过程
，如图2-6所示。
图2-6    无线80.21x认证下线阶段
  
 
3 无线802.1X认证的技术优势
在办公网、出产网等总部-分支无线网场景中
，为不影响业务产出效能
，网络治理员对网络的靠得住性提出更高的要求。通过部署无线802.1X认证逃生规划不仅保障网络安全性
，也提升了企业网络的靠得住性
，常见部署环境如图3-1所示。
图3-1    总部-分支无线网认证场景

无线802.1X认证逃生规划的关键部署战术：在AC上部署两个无线信号下发给AP
，其中一个信号启用802.1X认证职能
，另一个信号设置为默认情况下对用户不私见
，当CAPWAP断开链路后自动对用户可见。
在该场景下开启无线802.1X认证具备如下技术优势：
●    保障网络的安全性
由于无线客户端数据报文与有线相比
，使用空气作为传输媒介
，安全性较差。而无线802.1X和谈通过认证客户端与认证服务器之间协商出空口密钥
，对客户端数据报文进行加密
，使得无线网络的安全性得到有效提高。
●   提升业务网的靠得住性
目前绝大无数的认证客户端都具备自动保留认证账号密码的职能
，因而
，使用无线802.1X认证也只需在第一次认证上线时输入账号密码
，后续再次关联无线信号时
，无需再次提交账号密码
，由认证客户端自动提议认证。在总部-分支无线网场景中
，阐发为当CAPWAP隧路从断开复原为链接状态后
，已认证通过的老用户可自动沉新接入
，对用户而言是无感知的
，很好地保险了无线网的射频靠得住性。

4 结论
本文对无线802.1X认证系统中蕴含的认证角色和认证流程进行具体地注明。单一来说
，无线802.1X认证的最终主张
，就是确定接入到无线网络中的移动终端用户是否能被授权通过
，占有网络的接见权限
，进而实现对接入实体的管控。
 

有关链接

第七代无线技术802.11ax详解

企业办公网接入认证技术详解