这篇文章主要介绍EAPOL,关于它的详细定义可以到802.1X-2004/IEEE Std 802.1X-2010两个文档里面查询。这两个文档核心内容大同小异,只是2010版定义得更细致,同时也更难以理解,建议先了解2004版,会更容易看懂。因为2010版引入来更多的名词,加入了更多的参考资料,对一致性的描述更加细致具体,让标准可以适用于更多的加密场合,补充2004 版中的一下缺陷。
两个标准的前5章的差异,我们可以不用太深究,他们主要包括802.1x的定义,名词解释,适用范围,引用文档,一致性说明等内容进行的介绍,如果在后面的阅读中遇到障碍,回过来翻阅就好了,对于前5章,我们只需要知道:
802.1x协议是一种基于端口的网络接入控制协议(port based network access control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源——相当于物理连接被断开。
如果有阅读前面一篇文章,应该会了解EAPOL在局域网中是用来为EAP服务的,它主要用来装载EAP数据包,完成802.1x的认证过程。EAPOL也工作在LLC层,下面主要从6章开始了解。
一、第六章对比
基于端口的网络控制允许网络管理员限制无线局域网内服务接入点(ports)的使用,以达到和已认证和授权系统安全通信的目的。
以下是802.1x的一些核心概念
1. 端口PAE(Port Access Entity,端口访问实体)
端口PAE为802.1x系统中,在一个给定的设备端口上执行算法和协议操作的实体对象。设备端PAE利用认证服务器对需要接入局域网的客户端执行认证,并根据认证结果相应地控制受控端口的授权/非授权状态。客户端PAE负责响应设备端的认证请求,向设备端提交用户的认证信息。客户端PAE也可以主动向设备端发送认证请求和下线请求。
2. 受控端口和非受控端口
设备端为客户端提供接入局域网的端口,这个端口被划分为两个逻辑端口:受控端口和非受控端口。
l 非受控端口始终处于双向连通状态,主要用来传递EAPOL协议帧,保证客户端始终能够发出或接收认证报文。
l 受控端口在授权状态下处于双向连通状态,用于传递业务报文;在非授权状态下禁止从客户端接收任何报文。
l 受控端口和非受控端口是同一端口的两个部分;任何到达该端口的帧,在受控端口与非受控端口上均可见。
3. 受控方向
在非授权状态下,受控端口可以被设置成单向受控和双向受控。
l 实行双向受控时,禁止帧的发送和接收;
l 实行单向受控时,禁止从客户端接收帧,但允许向客户端发送帧。
对于两个版本的802.1x协议来说,第6章主要差别是| The MAC Security Entity (SecY) specified in IEEE Std 802.1AE
| Link Aggregation as specified in IEEE Std 802.1AX (6.5)
| IEEE Std 802.11 (6.6)
| IEEE Std 802.1AR (5.7, 8.11.2)
在802.1x-2010里面,新增了上面几种更加底层的加密方式描述