802.1X協議是基於Client/Server的訪問控制和認證協議。由於環境問題致使它在安全性問題上一直是討論的焦點,當然802.1X也有它自身的優點,許多研究網路的朋友都會對802.1X產生興趣,那麼802.1X在WinXP下是如何工作的呢?如果你還不知道的話,那麼下面這篇教程就能為你解答。
WinXP系統下802.1X是如何工作的?
回答這個問題我們首先要知道802.1X實施基於埠的訪問控制。在WLAN中,埠就是訪問點(AP)和工作站之間的連線。在802.1x中擁有兩種型別的埠:非控制的和控制的。您現在正在使用的可能就是非控制埠:它允許裝置連線到埠,與其他任何網路裝置進行通訊。相反,控制埠限制了連線裝置所能夠通訊的網路地址。您可能已經能夠了解到接下來是什麼情況了:802.1X允許所有的客戶端連線到控制埠,但是這些埠僅將流量傳送給身份驗證伺服器。在客戶端通過身份驗證以後,才被允許開始使用非控制埠。802.1x的奧祕在於非控制和控制埠是並存於同一個物理網路埠上的邏輯裝置。
針對身份驗證,802.1X進一步為網路裝置定義了兩種角色:申請者(supplicant) 和認證者(authenticator)。申請者是一個請求訪問網路資源的裝置(例如配備了802.11b網絡卡的膝上型計算機)。認證者是對申請者進行身份驗證的裝置,由它來決定是否授予申請者訪問許可權。無線 AP 可以作為認證者;但是使用行業標準的遠端身份驗證撥入使用者服務(RADIUS) 協議更靈活一些。這個協議包含在 WinXP中;通過 RADIUS,AP 接收身份驗證請求,並將請求轉發給 RADIUS 伺服器,由這臺伺服器來根據 Active Directory 對使用者進行身份驗證。
802.1X在身份驗證時並不使用有線等效隱私(Wired Equivalent Privacy,WEP);作為替代,它使用行業標準的可擴充套件身份驗證協議(Extensible Authentication Protocol,EAP)或更新的`版本。在任何一種情況下,EAP/PEAP 都擁有其獨特的優勢:它們允許選擇身份驗證方法。在預設情況下, 802.1X在身份驗證時並不使用有線等效隱私(Wired Equivalent Privacy,WEP);作為替代,它使用行業標準的可擴充套件身份驗證協議(Extensible Authentication Protocol,EAP)或更新的版本。在任何一種情況下,EAP/PEAP 都擁有其獨特的優勢:它們允許選擇身份驗證方法。在預設情況下,802.1X使用EAP-TLS (EAP-傳輸層安全性),此時所有EAP保護的流量都由TLS協議(非常類似於SSL)進行加密。
整個身份驗證的過程是這樣的:
1.無線工作站嘗試通過非控制埠連線到AP。(由於此時該工作站還沒有通過身份驗證,因此它無法使用控制埠)。該AP向工作站傳送一個純文字質詢。
2.作為響應,工作站提供自己的身份證明。
將來自工作站的身份資訊通過有線 LAN 轉發給使用 RADIUS 的認證者。
US伺服器查詢指定帳戶,確定需要何種憑證(例如,您可能將您的RADIUS伺服器配置為僅接受數字證書)。該資訊轉換成憑證請求,返回到工作站。
5.工作站通過AP上的非控制埠傳送它的憑證。
US 伺服器對憑證進行驗證;如果通過驗證,則將身份驗證金鑰傳送給AP。這個金鑰是加密的,因此只有AP能夠對其進行解密。
對金鑰進行解密,並用它來為工作站建立一個新的金鑰。這個新的金鑰將被髮送給工作站,它被用來加密工作站的主全域性身份驗證金鑰。
8.定期的AP 會生成新的主全域性身份驗證金鑰,並將其傳送給客戶端。這很好地解決了802.11中長壽命固定金鑰的問題,攻擊者能夠很容易地通過暴力破解來攻擊固定金鑰。
以上就是802.1X在WinXP下的工作過程,大家看完後相信都有了初步的瞭解,這方面的學問是比較深的,有興趣的朋友可以往下繼續挖掘,推薦大家看看《WinXP部署802.1X的簡單方法》,相信會對你有很大的幫助。
