1 無線802.1X認證概述
無線網絡的數據傳輸是利用電磁波在空氣中輻射傳播，只要在AP（Access Point，無線接入點）覆蓋的范圍內，所有的無線認證客戶端都可以接收到無線信號。無線網絡的這種電磁輻射的傳輸方式是無線網絡安全保密尤為突出的主要原因。
802.1X協議是基于端口的Client/Server模式的網絡接入控制協議（Port based networkaccess control protocol）。通過其EAP（Extensible Authentication Protocol，可擴展認證協議）的認證框架，可實現在局域網接入接口這一級對所有入網客戶端進行身份驗證并控制其網絡訪問權限。
當802.1X應用在無線網接入認證時，在認證客戶端和認證服務器間通過PEAP證書技術的加密機制建立一個安全通道，確保EAP內部的數據是使用證書加密的，從而提高802.1X認證在無線網應用中的安全性和可靠性。一般適用于新建網絡、用戶集中并且信息安全要求嚴格的場景。

2 無線802.1X認證的工作原理
2.1   無線802.1X認證系統
圖2-1    無線802.1X認證系統（Fit AP場景）
  

圖2-2    無線802.1X認證系統（Fat AP場景）
  

無線802.1X認證系統為典型的Client/Server結構，包括三個角色：認證客戶端、接入設備和認證服務器。在無線802.1X認證協議中，需要以下三個角色同時參與才能夠完成對無線網的訪問控制以及對無線客戶端的認證和授權。
●    認證客戶端
一般指接入無線網絡并發起接入認證的客戶端設備，比如筆記本、安裝有無線網卡的個人計算機、PDA手持終端、打印機、智能移動終端等。用戶在認證客戶端上關聯無線802.1X認證的無線網絡信號，輸入必要的用戶名和密碼來觸發認證。認證客戶端必須運行符合802.1X客戶端標準軟件（如操作系統自帶的802.1X客戶端或者銳捷網絡推出的符合標準的RG Supplicant軟件）。
●    接入設備
接入設備通常是指支持802.1X協議的網絡設備。在Fit AP無線場景中，接入設備是指AC設備（如圖2-1），在Fat AP無線場景中，接入設備是指AP設備（如圖2-2）。它為認證客戶端提供接入無線網的端口（該端口可以是物理接口或者邏輯接口），充當認證客戶端和認證服務器之間的中介。其主要作用是完成客戶端認證信息的上傳、下達工作，并根據客戶端的身份驗證狀態控制其對網絡的訪問權限。
●   認證服務器
通過檢驗客戶端發送來的身份標識（用戶名和密碼）來判別客戶端是否有權使用網絡系統提供的服務，并可根據網絡實際部署需要實現對客戶端授權與計費。

2.2   無線802.1X認證流程
無線802.1X認證的認證流程包含關聯、認證、認證通過和下線4個階段，下面簡要介紹每個階段的工作過程。
2.2.1  關聯階段
STA（Station，工作站點）上的認證客戶端在探測到AP釋放的無線信號后，主動發起關聯請求，與接入設備交互協商出雙方支持的通用速率、數據傳輸的密鑰傳遞方式、加密方式等信息，完成關聯過程。本階段包含的報文交互過程如圖2-3所示。
圖2-3    關聯階段

2.2.2  認證階段
無線802.1X的認證過程包含認證起始階段、TLS通道建立階段和通道內認證階段3個過程。
●    在認證起始階段，認證系統的3個角色之間通過EAP協議和Radius協議交互用戶信息（含用戶ID和用戶名），其報文交互過程如圖2-4中編號（1）~（7）所示。
●    在TLS通道建立階段，認證系統的3個角色之間通過協商PEAP認證并建立TLS安全通道，其報文交互過程如圖2-4中的編號（8）~（16）所示。
●   通道內認證階段：在PEAP協議的TLS安全通道建立成功之后，認證系統的3個角色在TLS安全通道內完成接入認證過程，其報文交互過程如圖2-4中的編號（17）~（28）所示。
圖2-4    無線802.1X認證階段

2.2.3  認證通過階段
接入設備在接收到認證服務器的“Access Accept”報文之后，意味著本次認證通過。接入設備給認證服務器發起記賬開始報文，通知服務器開始對該認證客戶端進行計費，詳細報文交互過程，如圖2-5所示。
圖2-5    80.21x認證成功階段流程圖
  

2.2.4  下線階段
在認證下線階段，認證客戶端主動釋放IP地址，發送下線報文“EAP Logoff”給接入設備。接入設備通過發起記賬結束請求來通知認證服務器，終止該認證客戶端的記賬過程，詳細報文交互過程，如圖2-6所示。
圖2-6    無線80.21x認證下線階段
  
 
3 無線802.1X認證的技術優勢
在辦公網、生產網等總部-分支無線網場景中，為不影響業務產出效率，網絡管理員對網絡的可靠性提出更高的要求。通過部署無線802.1X認證逃生方案不僅保證網絡安全性，也提升了企業網絡的可靠性，常見部署環境如圖3-1所示。
圖3-1    總部-分支無線網認證場景

無線802.1X認證逃生方案的關鍵部署策略：在AC上部署兩個無線信號下發給AP，其中一個信號啟用802.1X認證功能，另一個信號設置為默認情況下對用戶不可見，當CAPWAP斷開鏈路后自動對用戶可見。
在該場景下開啟無線802.1X認證具備如下技術優勢：
●    保證網絡的安全性
由于無線客戶端數據報文與有線相比，使用空氣作為傳輸媒介，安全性較差。而無線802.1X協議通過認證客戶端與認證服務器之間協商出空口密鑰，對客戶端數據報文進行加密，使得無線網絡的安全性得到有效提高。
●   提升業務網的可靠性
目前絕大多數的認證客戶端都具備自動保存認證賬號密碼的功能，因此，使用無線802.1X認證也只需在第一次認證上線時輸入賬號密碼，后續再次關聯無線信號時，無需再次提交賬號密碼，由認證客戶端自動發起認證。在總部-分支無線網場景中，表現為當CAPWAP隧道從斷開恢復為鏈接狀態后，已認證通過的老用戶可自動重新接入，對用戶而言是無感知的，很好地保障了無線網的射頻可靠性。

4 結論
本文對無線802.1X認證系統中包含的認證角色和認證流程進行詳細地說明。簡單來說，無線802.1X認證的最終目的，就是確定接入到無線網絡中的移動終端用戶是否能被授權通過，擁有網絡的訪問權限，進而實現對接入實體的管控。
 

相關鏈接

第七代無線技術802.11ax詳解

企業辦公網接入認證技術詳解