(2) 802.1X认证阶段
802.11i使用802.1X协议来实现用户认证和密钥管理。.802.1X本身只是一个框架,采用IETF制定的可扩展认证协议(Extensihle Authentication Protocol,EAP)作为核心协议,EAP 属于一种框架协议,可适用于不同的链路层类型,如EAP over LAN、EAP over PPP等,并允许设计人员制定自己的EAP认证方式,常用的EAP认证方式有TLS、AKA/SIM、1VID5等,可扩展和灵活性是EAP的最大优点。
802.1X基于端口实现网络访问控制,定义了三个组件:申请访问者(supplicant)、认证者( authenticator)和认证服务器(Authentication Server,AS)。申请者是指请求访问网络资源的客户端,网络访问由认证者控制,认证者只负责链路层的认证交互过程,并不维护任何用户信息,任何认证请求均会被转送至认证服务器(如Radius服务器)进行处理,
整个认证交换过程在逻辑上是通过认证服务器和申请者的交互完成,认证者只是扮演中介的角色。申请者与认证者之间使用EAP over LAN(简称EAPoL)协议,认证者与认证服务器之间通过网络协议(如RADIUS协议)封包来传递EAP协议报文(如RADIUS称之为EAP overRADIUS)。
AS通常是有线网络中的独立设备,但也可以在AP中实现。根据802.1X协议框架,申请访问者(STA)向认证者( AP)发送EAP认证请求,AP通过RADIUS消息验证用户合法性。
一旦STA通过了802.1X身份验证之后,AS会产生一个主会话密钥(MSK),也称被作AAA key,将它传送给STA。以后STA和AP的通信的所有加密密钥都由此MSK生成。