802.1X/EAP

    802.1X和EAP都是IEEE认可的标准，被用来针对有线和无线网络提供改进的认证方式，尽管它们主要应用于无线网络部分中。它们不是基于密码的技术，因此不会作为WEP、TKIP等的直接替代者，而是作为它们的一种扩展功能，可以提供更强的安全保护。

    • IEEE 802.1X：

    通常被认为是对端口级别的访问控制，802.1X创建一个从无线客户端到访问点的虚拟端口，用于通信。假若这个通信被认为是未经授权的，那么这个端口就被禁用，通信就被中止。

    • EAP：

    可扩展认证协议，或EAP，通常与802.1X联合使用以为无线连接提供认证方法。它包括所需要的用户证书（密码或证书），所使用的协议（WPA、WEP等等）和对密钥产生的支持。

    任何使用基于802.1X/EAP认证的无线网络通常可以被分解为三个主要部分。（如下图）

    • 请求者系统：安装在无线工作站上的客户端
    • 认证系统：无线访问点
    • 认证服务器系统：认证数据库，通常是RADIUS服务器，诸如微软的IAS和思科的ACS

802.1X认证过程

    一个典型的802.1X认证过程通常是这样的：

    无线客户端向访问接入点（AP）发一个EAPOL-Start的包提出认证请求，访问接入点（AP）收到后会向无线客户端作出回应（EAPRequest/Identity包），之后两者之间就会开始更多的EAP交互。但在这个过程中访问接入点（AP）基本上是一个透明的转发者。

    它把从无线客户端收到的EAP包，翻译并封装成RADIUS包转发给RADIUS服务器。RADIUS服务器回的包同样也会被翻译回EAP的包送给客户端。整个交互完成后，访问接入点（AP）会最终从RADIUS学到认证是否成功，从而决定是否给予无线客户端以访问权限。

    基于802.1X/EAP的无线安全措施的使用最适合于企业级别的无线网络。小型网络可以将802.1X与诸如WPA或TKIP等标准加密协议混合使用，而对于大型的安全需求更高的网络来说，则可以考虑是将802.1X与基于证书的认证系统捆绑使用。