用于无线连接的IEEE 802.1X身份验证

IEEE 802.1X标准定义了基于端口的网络访问控制，可用于为以太网络提供经过身份验证的网络访问。基于端口的网络访问控制使用交流 局域网基础构造 的物理特征来对连接到交流 机端口的设备进行身份验证。假如 身份验证过程失败，使用以太网交流 机端口来发送和接纳 帧的能力就会被回绝 。虽然这个标准是为有线以太网络设计的，但是其已经过改编以便在IEEE 802.11无线局域网上应用。Windows XP支持对一切 基于局域网的网络适配器使用IEEE 802.1X身份验证，包括以太网络适配器和无线网络适配器。
802.1X定义了以下术语：

• 端口访问实体
  
  
• 身份验证者（Authenticator）
  
  
• 申请者（Supplicant）
  
  
• 身份验证服务器
  
  

端口访问实体
端口访问实体（port access entity，PAE）也称为局域网端口，是一个与某个端口相关联的支持IEEE 802.1X协议 的逻辑实体。局域网端口可以充任 身份验证者或申请者的角色，或者同时充任 这两个角色。
身份验证者
身份验证者是一个局域网端口，用以在允许访问可那些通过该端口进行访问的服务之前强迫 身份验证。对于无线连接，身份验证者是无线访问点（AP）上的逻辑局域网端口，操作在基础构造 模式下的客户端就通过该端口访问有线网络。
申请者
申请者是一个局域网端口，用以恳求 访问那些通过身份验证者来访问的服务。对于无线连接，申请者就是无线局域网网络适配器上恳求 访问有线网络的逻辑局域网端口。它是通过首先与一个身份验证者关联，然后再验证自己. 的身份来完成访问恳求 的。
不管它们是用于无线连接还是用于有线以太网连接，申请者和身份验证者都由一个逻辑或物理的点对点局域网网段连接起来。
身份验证服务器
为了检验申请者的凭证，身份验证者使用了一个身份验证服务器。身份验证服务器代表身份验证者检查申请者的凭证，然后向身份验证者作出响应，指出申请者是否被受权 访问身份验证者的服务。身份验证服务器可以是：

• AP的一个组件。
  AP必须使用一组对应于正在尝试连接的客户端的用户凭证集来配置。这对于无线AP来说通常是无法实现的。
  
  
• 一个单独的实体。
  AP把用于连接尝试的凭证转发到一台单独的身份验证服务器。通常，无线AP使用“远程身份验证拔入服务（RADIUS）”协议 将连接尝试的参数发送到一台RADIUS服务器。
  
  

受控和不受控的端口

身份验证者基于端口的访问控制定义了以下类型的逻辑端口，这些逻辑端口通过单个物理局域网端口访问有线局域网：

• 不受控的端口
  不受控的端口允许身份验证者（即无线AP）和有线网络上的其他网络设备之间进行不受控制的信息交流 ，而不管无线客户端的受权 状态如何。对此，一个很好的例子就是无线AP和有线网络上的RADIUS服务器之间进行的RADIUS音讯 交流 ，这种交流 提供无线连接的身份验证和受权 。无线AP永远不会通过不受控的端口转发无线客户端发送的帧。
  
  
• 受控的端口
  受控的端口允许在无线客户端和有线网络之间发送数据，但前提是该无线客户端必须经过身份验证。在进行身份验证之前，交流 机是打开的，没有帧在无线客户端和有线网络之间发送。在无线客户端成功通过IEEE 802.1X身份验证之后，交流 机就关闭了，帧将在无线客户端和有线网络上的节点之间转发。
  
  

受控和不受控的无线AP端口之间的关系如下图所示[win7旗舰版系统下载] 。



在进行身份验证的以太网交流 机上，一旦完成身份验证，有线以太网客户端就可以 向有线网络发送帧。交流 机通过以太网客户端所连接到的物理端口来辨认 特定的有线以太网客户端的流量。通常，只有单个以太网客户端连接到以太网交往机上的一个物理端口。
由于多个无线客户端争用相同的通道来访问和发送数据，因而 需要. 基本的IEEE 802.1X协议 的一个扩展来允许无线AP辨认 特定无线客户端的安全流量。这是通过无线客户端和无线AP互相 确认针对每个客户端的单播会话密钥来实现的。只有经过身份验证的无线客户才具有正确确定针对每个客户端的单播会话密钥。假如 没有有效的单播会话密钥与成功的身份验证相联络 ，未经过身份验证的无线客户端发送的帧就会自动被无线AP丢弃。
  
可扩展身份验证协议

为了给IEEE 802.1X提供标准身份验证机制，IEEE选择了可扩展身份验证协议 （Extensible Authentication Protocol，EAP）。EAP是一种经改编以用于点对点局域网网段的基于点对点协议 （Point-to-Point Protocol，PPP）的身份验证技术。由于EAP音讯 最初被定义作为PPP帧的有效载荷进行发送，IEEE 802.1X标准定义了LAN上的EAP（EAP over LAN，EAPOL），这是一种封装EAP音讯 的方法，以便EAP音讯 可以 通过以太网或无线局域网网段来发送。
对于无线连接的身份验证，Windows XP使用EAP传输层协议 （EAP-Transport Level Protocol，EAP-TLS）。EAP-TLS是在RFC 2716中定义的，用以在基于证书的安全环境中使用。EAP-TLS音讯 交流 提供了无线客户端和身份验证服务器（RADIUS服务器）之间的互相 身份验证、完整性保护密码套件协商以及加密和签名密钥资料 的互相 确定。在身份验证和受权 之后，RADIUS服务器使用RADIUS Access-Accept音讯 来向无线AP发送加密和签名密钥。
由于如下原因，EAP-TLS与基于注册表的用户和计算机证书相分离 ，就构成 了基于Windows XP的无线连接的身份验证方法：

• EAP-TLS无需依赖于用户帐户密码。
  
  
• EAP-TLS身份验证是自动进行的，不需要. 用户的介入。
  
  
• EAP-TLS使用用户证书，从而提供一种强大的身份验证模式。
  
  

Windows XP对IEEE 802.1X的支持

在Windows XP中，EAP-TLS身份验证类型的IEEE 802.1X身份验证默认是对一切 基于LAN的网络适配器启用的。为了在运行Windows XP的计算机上配置802.1X设置，请使用“网络连接”中某个局域网连接属性对话框上的“身份验证”选项卡。
“身份验证”选项卡如下图所示[win7旗舰版系统下载] 。



在“身份验证”选项卡上，您可以配置以下设置：

• “启用使用IEEE 802.1X的网络访问控制”这个复选框指定您是否想要使用IEEE 802.1X来对这个连接执行身份验证。该选项默认启用。
  Windows XP局域网连接在一次连接尝试中发送三个EAP-Start音讯 来提示身份验证者（以太网交流 机或无线AP）开始基于EAP的身份验证过程。假如 接纳 到一条EAP-Request/Identity音讯 ，IEEE 802.1X身份验证对该端口来说就不是必需的，因而 这个局域网连接将发送常规流量来配置网络连接。假如 接纳 到一条EAP-Request/Identity音讯 ，则启动IEEE 802.1X身份验证。
  因而 对于以太局域网连接，假如 以太网交流 机不支持IEEE 802.1X，启用这个设置不会损伤 连接性能。但是 ，假如 以太网交流 机的确 需要. IEEE 802.1X身份验证，那么禁用这个设置就会损伤 网络连接性能。
  
  
• EAP类型 您可以使用这个选项来选择将用于IEEE 802.1X身份验证的EAP类型。这个列表对应于安装在计算机上的EAP动态连接库（DLL）。默认的EAP类型是“MD-5 Challenge”和“智能卡或其他证书”。“智能卡或其他证书”类型面向EAP-TLS。默认选定“智能卡或其他证书EAP”，而且必须用于无线访问。
  
  
• “属性”单击这个按钮，配置选定的EAP类型的属性。“MD-5 Challenge”EAP类型没有可配置的属性。
  
  
• “当计算机信息可用时作为计算机进行身份验证”这个复选框指定在没有用户登录时，该计算机是否要尝试使用计算机凭证（比方 ：计算机证书）来进行身份验证。这个选项默认启用。
  
  
• “当计算机信息不可用时作为访客进行身份验证”这个复选框指定当用户或计算机凭证不可用时，该计算机是否要尝试作为访客来进行身份验证。这个选项默认禁用。
  
  

“智能卡或其他证书属性”EAP类型的属性（对应于EAP-TLS）如下图所示[win7旗舰版系统下载] 。



在“智能卡或其他证书属性”选项卡上，您可以查看和配置以下内容：

• “连接时” 如要“当前用户或本地计算机”证书中的某个证书进行身份验证，请选择“使用此计算机上的证书”（默认已选定）。当安装有多个用户证书时，将提示用户选择某个特定的证书执行第一次关联（association）。证书的使用将被缓冲以便进行重新关联，直至该Windows XP用户会话完毕 。Windows XP不支持使用智能卡来进行安全无线身份验证。
  
  
• “验证服务器证书” 这个复选框指定您是否想要验证进行身份验证的服务器（通常是一台RADIUS服务器）的计算机证书。这个选项默认启用。
  
  
• “仅当服务用具 有下列称号 时才进行连接”这个复选框指定您是否想要提供必须与身份验证服务器的计算机证书中的称号 的最后一部分匹配的文字。这个选项默认禁用。对于大多数使用了多台RADIUS服务器的部署，你可以键入一切 RADIUS服务器所共有的域名系统（DNS）称号 字段。例如，假如 您有两个名为rad1.example.microsoft.com和rad2.example.microsoft.com的RADIUS服务器，则键入文本“example.microsoft.com”。假如 启用这个选项并键入错误的文本，无线身份验证就会失败。
  
  
• “可信任的根证书受权 ” 这个选项使您可以 选择身份验证服务器的计算机证书的特定根认证中心（CA）。这个列表对应于您的“可信任的根证书受权 ”证书存储库中的根CA证书列表。
  默认未选定任何特定的可信任根CA。假如 您选择某个不正确的可信任根CA，在身份验证过程中将提示您承受 （或回绝 ）身份验证服务器证书的根CA。当您承受 身份验证服务器的证书时，该可信任的根CA就自动设置为身份验证服务器证书的根CA。
  
  
• “使用不同的用户名进行连接”这个复选框指定您是否想要使用一个不同于证书中的用户称号 进行身份验证。这个选项默认禁用。假如 启用它，即便 您仅安装了一个用户证书，也会有一个对话框提示您选择一个用户证书。选定的证书将一直使用，直至该Windows XP用户会话完毕 。