IEEE 802.1X
为一个
”
网路存取控制
(Port-Based Network Access Control)”
的架构。在
802.1X
的架构里
,
有三种基本角色
,
分别是申请者
(supplicant)
、验证者
(authenticator)
、验证服务器
(Authentication Server, AS)
。
申请者
(supplicant)
:
就是想要对网路进行存取的使用者机器
,
在
WLAN
环境里
,
就是指支持无线局域网的
Notebook
、
PC
、手持装置。事实上
,
验证阶段就是由申请者提出验证要求
(EAPOL-Start)
后开始进行一连串的验证程序。
(
严格来说
,
除了安装无线网卡之外
,
要成为
supplicant
还必须安装支持特定
EAP method
的
supplicant
软体
,
由于
Windows XP
已经内建有支持部份
EAP method
的
supplicant
机制
,
所以在使用上没有明显的感觉
,
但是有些
Linux
的版本
,
在安装无线网路卡后
,
还必须安装
supplicant
软体
,
才能成为
supplicant)
验证者
(authenticator)
:
其实就是网路存取控制器
,
在有线网路环境中
,
它可能是一台交换器
(switch HUB)
;在
WLAN
环境中
(infrastructure mode),
它应该就是一台
AP
或是一台无线交换器。验证者虽然是网路存取的控制者
,
但是它并不维护使用者资讯
(
目前有些较先进的企业型
AP,
提供管理者可以直接于
AP
建立使用者帐号
,
不过这种方式仅限小规模的应用
),
也就是说在验证阶段
,
验证使用者的工作是交由验证服务器来负责
,
而验证者仅负责转送申请者和验证服务器之间的验证交换讯息
,
当然这个时候
,
除了验证的交换讯息之外
,
验证者会将其他的讯息丢弃
(dropped)
。
(
其实在
802.1X
规格书中
,
于验证阶段时
,
验证者除了允许转送验证交换讯息外
,
亦允许使用
DHCP
以及其他初始化讯息
)
验证服务器
(Authentication Server, AS)
:
在验证阶段里
,
验证服务器担负起真正验证使用者的工作
(
验证服务器可能维护着使用者资讯
,
当然
,
在大规模的布署里
,
使用者资料库也有可能是建立在
LDAP
服务器或是
Microsoft AD)
。不管验证成功或失败
,
验证服务器都会通知验证者
,
验证者再根据验证成功与否来决定是否授与申请者使用网路的权利。另外
,
为了因应无线局域网的应用
,
避免使用者遭到
”
伪装
”
攻击而因此被窃取使用者帐号
,
验证服务器在验证使用者之前
,
必须先向使用者提出身份证明
,
以证明自己是
”
合法
”
的验证服务器
,
并间接证明验证者也是
”
合法
”
验证者。