浅谈IEEE 802.1X/EAP架构(一)



IEEE 802.1X 为一个 网路存取控制 (Port-Based Network Access Control)” 的架构。在 802.1X 的架构里 , 有三种基本角色 , 分别是申请者 (supplicant) 、验证者 (authenticator) 、验证服务器 (Authentication Server, AS)

申请者 (supplicant) 就是想要对网路进行存取的使用者机器 , WLAN 环境里 , 就是指支持无线局域网的 Notebook PC 、手持装置。事实上 , 验证阶段就是由申请者提出验证要求 (EAPOL-Start) 后开始进行一连串的验证程序。 ( 严格来说 , 除了安装无线网卡之外 , 要成为 supplicant 还必须安装支持特定 EAP method supplicant 软体 , 由于 Windows XP 已经内建有支持部份 EAP method supplicant 机制 , 所以在使用上没有明显的感觉 , 但是有些 Linux 的版本 , 在安装无线网路卡后 , 还必须安装 supplicant 软体 , 才能成为 supplicant)

验证者 (authenticator) 其实就是网路存取控制器 , 在有线网路环境中 , 它可能是一台交换器 (switch HUB) ;在 WLAN 环境中 (infrastructure mode), 它应该就是一台 AP 或是一台无线交换器。验证者虽然是网路存取的控制者 , 但是它并不维护使用者资讯 ( 目前有些较先进的企业型 AP, 提供管理者可以直接于 AP 建立使用者帐号 , 不过这种方式仅限小规模的应用 ), 也就是说在验证阶段 , 验证使用者的工作是交由验证服务器来负责 , 而验证者仅负责转送申请者和验证服务器之间的验证交换讯息 , 当然这个时候 , 除了验证的交换讯息之外 , 验证者会将其他的讯息丢弃 (dropped) ( 其实在 802.1X 规格书中 , 于验证阶段时 , 验证者除了允许转送验证交换讯息外 , 亦允许使用 DHCP 以及其他初始化讯息 )

验证服务器 (Authentication Server, AS) 在验证阶段里 , 验证服务器担负起真正验证使用者的工作 ( 验证服务器可能维护着使用者资讯 , 当然 , 在大规模的布署里 , 使用者资料库也有可能是建立在 LDAP 服务器或是 Microsoft AD) 。不管验证成功或失败 , 验证服务器都会通知验证者 , 验证者再根据验证成功与否来决定是否授与申请者使用网路的权利。另外 , 为了因应无线局域网的应用 , 避免使用者遭到 伪装 攻击而因此被窃取使用者帐号 , 验证服务器在验证使用者之前 , 必须先向使用者提出身份证明 , 以证明自己是 合法 的验证服务器 , 并间接证明验证者也是 合法 验证者。

posted on 2007-03-22 07:37 C. H. 阅读(1915) 评论(0)  编辑 收藏 引用 所属分类: WLAN无线乐园

只有注册用户登录后才能发表评论。
<2013年1月>
303112345
6789101112
13141516171819
20212223242526
272829303112
3456789

导航

统计

公告

我相信-
科技始终来自于人性
科技的目的是要让”不可能”成为”可能”

我来自于台湾
现于江苏省-镇江市落脚
我是C. H.

----------------------------------

MSN: iceliao618@hotmail.com

留言簿(2)

随笔分类(22)

随笔档案(22)

相册

玩转科技时尚-3C数码

搜索

积分与排名

最新评论

阅读排行榜