802.1X:WLAN 认证&密钥管理

2024年6月13日发(作者：)

802.1X：WLAN 认证&密钥管理

（802.1X：WLAN

Authentication

& Key

Management）

IEEE 802.1X 是一种为受保护网络提供认证、控制用户通信以及动态密钥分配等服务的有效机制。

802.1X 将可扩展身份认证协议（EAP）捆绑到有线和无线局域网介质上，以支持多种认证方法，如令牌

（token card）、Kerberos、一次性口令（one-time password）、证书（certificate）以及公开密钥

认证（public key authentication）等。

802.1x 结构主要有三部分组成：1. 申请者（supplicant）：想得到认证的用户或客户；2. 认证服

务器（authentication server）：通常为 RADIUS 服务器；3. 认证系统（authenticator）：如无线接

入点。

802.1x 中的主要协议是 LAN 上的 EAP 封装协议（EAPOL），当前它被定义来用于 Ethernet-like

LAN，包括 802.11 无线局域网、令牌环网（包括 FDDI）。802.1X 中操作过程如下：

1. 申请者（如客户机无线网卡）发送一个“EAP 响应/身份认证” 数据包给认证系统（如 802.11

接入点），然后传送至认证服务器（RADIUS 服务器，位于接入点有线端）。

2. 认证服务器发回一个验证给认证系统，认证系统将此验证在 IP 层解包并重新打包在 EAPOL，

然后再发送给申请者。

3. 申请者响应认证系统发送来的验证，并将响应通过认证系统传送给认证服务器。认证服务器使

用特定认证算法来检验客户身份，这可以通过数字证书或其它 EAP 认证类型实现。

如果申请者提供的身份正确，认证服务器便响应一个成功信息，并将该信息返回给申请者。认证系

统根据认证服务器返回的信息属性打开端口为申请者能够访问 LAN。

不管是否实施 802.11 WEP 密钥机制或完全没有提供加密技术，802.1X（EAPOL）协议都提供了有效

的认证机制。如果 802.1X 服务器配置为实现动态密钥交换，那么它便能将接收信息连同会话密钥一起

发送接入点。发送接入点使用会话密钥建立、标记和加密 EAP 密钥信息，并在发送完成功信息后立即将

其发送给客户机。客户机通过密钥信息内容来定义应用加密密钥。

802.1X（EAPOL）实际上是一种传送机制，而不提供实质的认证机制。当采用 802.1X 时，必须选择

某种 EAP 类型，如传输层安全协议 （EAP-TLS）或 EAP 隧道传输层安全协议（EAP-TTLS），它们定义

认证如何发生。特定类型的 EAP 位于认证服务器中或客户机操作系统或应用软件里。接入点作为 802.1X

信息的“通过”路径，这意味着在支持 802.1X 的接入点不需要升级的情况下，可以指定使用任意类型

的 EAP 。

协议结构

802.3/Ethernet 中的 EAPOL 帧格式如下所示：

2 bytes

PAE Ethernet Type

1 byte

Protocol Version

1 byte

Packet Type

2 bytes

Packet Body Length

Variable

Packet Body











PAE Ethernet Type ― PAE（端口访问实体） Ethernet Type 包括 PAE 分配使用的以太网类

型值。

Protocol Version ― 无符号二进制数，为 EAPOL 协议的版本。

Packet Type ― 无符号二进制数，该字段值用于决定数据包类型：a、EAP-packet；b、

EAPOL-Start；c、EAPOL-Logoff；d、EAPOL-Key；e、EAPOL-Encapsulated-ASF-Alert。

Packet Body Length ― 无符号二进制数，该字段用于定义 Packet Body 字段的长度（八位字

节）。

Packet Body ― 如果 Packet Type 包括 EAP-Packet、EAPOL-Key 或

EAP-Encapsulated-ASF-Alert，那么需使用该字段，否则不予使用。

Token Ring /FDDI 中的 EAPOL 帧格式：

8 bytes

SNAP Ethernet Type

1 byte

Protocol version

1 byte

Packet type

SNAP Ethernet Type ― 包括在 SNAP 格式中的 SNAP-encoded Ethernet Type 编码类型：1-3字

节传送标准 SNAP 头，4-6字节传送 SNAP PID；7-8字节传送 PAE Ethernet Type 值。

相关协议

组织来源

Ethernet、EAP、RADIUS、Token Ring

EAPOL（802.1X） 由 IEEE（）定义。

/getieee802/download/: Port-based

Network Access Control

2 bytes

Packet Body length

Variable

Packet Body

相关链接