干货解读-带你读懂无线802.1x认证

1 无线802.1X认证概述
无线网络的数据传输是利用电磁波在空气中辐射传播，只要在AP（Access Point，无线接入点）覆盖的范围内，所有的无线认证客户端都可以接收到无线信号。无线网络的这种电磁辐射的传输方式是无线网络安全保密尤为突出的主要原因。
802.1X协议是基于端口的Client/Server模式的网络接入控制协议（Port based networkaccess control protocol）。通过其EAP（Extensible Authentication Protocol，可扩展认证协议）的认证框架，可实现在局域网接入接口这一级对所有入网客户端进行身份验证并控制其网络访问权限。
当802.1X应用在无线网接入认证时，在认证客户端和认证服务器间通过PEAP证书技术的加密机制建立一个安全通道，确保EAP内部的数据是使用证书加密的，从而提高802.1X认证在无线网应用中的安全性和可靠性。一般适用于新建网络、用户集中并且信息安全要求严格的场景。

2 无线802.1X认证的工作原理
2.1   无线802.1X认证系统
图2-1    无线802.1X认证系统（Fit AP场景）
  

图2-2    无线802.1X认证系统（Fat AP场景）
  

无线802.1X认证系统为典型的Client/Server结构，包括三个角色：认证客户端、接入设备和认证服务器。在无线802.1X认证协议中，需要以下三个角色同时参与才能够完成对无线网的访问控制以及对无线客户端的认证和授权。
●    认证客户端
一般指接入无线网络并发起接入认证的客户端设备，比如笔记本、安装有无线网卡的个人计算机、PDA手持终端、打印机、智能移动终端等。用户在认证客户端上关联无线802.1X认证的无线网络信号，输入必要的用户名和密码来触发认证。认证客户端必须运行符合802.1X客户端标准软件（如操作系统自带的802.1X客户端或者锐捷网络推出的符合标准的RG Supplicant软件）。
●    接入设备
接入设备通常是指支持802.1X协议的网络设备。在Fit AP无线场景中，接入设备是指AC设备（如图2-1），在Fat AP无线场景中，接入设备是指AP设备（如图2-2）。它为认证客户端提供接入无线网的端口（该端口可以是物理接口或者逻辑接口），充当认证客户端和认证服务器之间的中介。其主要作用是完成客户端认证信息的上传、下达工作，并根据客户端的身份验证状态控制其对网络的访问权限。
●   认证服务器
通过检验客户端发送来的身份标识（用户名和密码）来判别客户端是否有权使用网络系统提供的服务，并可根据网络实际部署需要实现对客户端授权与计费。

2.2   无线802.1X认证流程
无线802.1X认证的认证流程包含关联、认证、认证通过和下线4个阶段，下面简要介绍每个阶段的工作过程。
2.2.1  关联阶段
STA（Station，工作站点）上的认证客户端在探测到AP释放的无线信号后，主动发起关联请求，与接入设备交互协商出双方支持的通用速率、数据传输的密钥传递方式、加密方式等信息，完成关联过程。本阶段包含的报文交互过程如图2-3所示。
图2-3    关联阶段

2.2.2  认证阶段
无线802.1X的认证过程包含认证起始阶段、TLS通道建立阶段和通道内认证阶段3个过程。
●    在认证起始阶段，认证系统的3个角色之间通过EAP协议和Radius协议交互用户信息（含用户ID和用户名），其报文交互过程如图2-4中编号（1）~（7）所示。
●    在TLS通道建立阶段，认证系统的3个角色之间通过协商PEAP认证并建立TLS安全通道，其报文交互过程如图2-4中的编号（8）~（16）所示。
●   通道内认证阶段：在PEAP协议的TLS安全通道建立成功之后，认证系统的3个角色在TLS安全通道内完成接入认证过程，其报文交互过程如图2-4中的编号（17）~（28）所示。
图2-4    无线802.1X认证阶段

2.2.3  认证通过阶段
接入设备在接收到认证服务器的“Access Accept”报文之后，意味着本次认证通过。接入设备给认证服务器发起记账开始报文，通知服务器开始对该认证客户端进行计费，详细报文交互过程，如图2-5所示。
图2-5    80.21x认证成功阶段流程图
  

2.2.4  下线阶段
在认证下线阶段，认证客户端主动释放IP地址，发送下线报文“EAP Logoff”给接入设备。接入设备通过发起记账结束请求来通知认证服务器，终止该认证客户端的记账过程，详细报文交互过程，如图2-6所示。
图2-6    无线80.21x认证下线阶段
  
 
3 无线802.1X认证的技术优势
在办公网、生产网等总部-分支无线网场景中，为不影响业务产出效率，网络管理员对网络的可靠性提出更高的要求。通过部署无线802.1X认证逃生方案不仅保证网络安全性，也提升了企业网络的可靠性，常见部署环境如图3-1所示。
图3-1    总部-分支无线网认证场景

无线802.1X认证逃生方案的关键部署策略：在AC上部署两个无线信号下发给AP，其中一个信号启用802.1X认证功能，另一个信号设置为默认情况下对用户不可见，当CAPWAP断开链路后自动对用户可见。
在该场景下开启无线802.1X认证具备如下技术优势：
●    保证网络的安全性
由于无线客户端数据报文与有线相比，使用空气作为传输媒介，安全性较差。而无线802.1X协议通过认证客户端与认证服务器之间协商出空口密钥，对客户端数据报文进行加密，使得无线网络的安全性得到有效提高。
●   提升业务网的可靠性
目前绝大多数的认证客户端都具备自动保存认证账号密码的功能，因此，使用无线802.1X认证也只需在第一次认证上线时输入账号密码，后续再次关联无线信号时，无需再次提交账号密码，由认证客户端自动发起认证。在总部-分支无线网场景中，表现为当CAPWAP隧道从断开恢复为链接状态后，已认证通过的老用户可自动重新接入，对用户而言是无感知的，很好地保障了无线网的射频可靠性。

4 结论
本文对无线802.1X认证系统中包含的认证角色和认证流程进行详细地说明。简单来说，无线802.1X认证的最终目的，就是确定接入到无线网络中的移动终端用户是否能被授权通过，拥有网络的访问权限，进而实现对接入实体的管控。
 

相关链接

第七代无线技术802.11ax详解

企业办公网接入认证技术详解