Giao thức IEE 802.1X là gì?

Giao thức IEEE 802.1X điều khiển truy cập dựa vào PORT hay Điều khiển truy cập mạng dựa trên cổng IEEE 802.1X được thiết kế để cung cấp quyền truy cập chức năng điều khiển cho mạng LAN. Bảng dưới định nghĩa ngắn gọn các thuật ngữ chính được sử dụng trong IEEE Chuẩn 802.11. Các định nghĩa trong phần này supplicant, network access point, authentication server tương ứng với các từ trong EAP peer, authenticator, anthentication server.

Các bài viết liên quan:

• Viral marketing là gì?
• Xác thực thông điệp(message authentication) là gì?
• Dịch vụ tối ưu UX,UI
• Các câu hỏi tuyển dụng tester

Các thành phần của IEEE 802.1X

1. Authenticator

Một thực thể ở một đầu của phân đoạn Lan Point-to-point có khả năng xác thực thực thể này với thực thể khác cuối liên kết.

2. Authentication Exchange

Cuộc trò chuyện giữa hai bên giữa các hệ thống thực hiện quy trình xác thực.

3. Authentication Process

Các hoạt động mã hóa và khung dữ liệu hỗ trợ thực hiện xác thực.

4. Authentication Server (AS)

Một thực thể cung cấp dịch vụ xác thực cho một Authenticator. Dịch vụ này xác thực từ thông tin đăng nhập được cung cấp bởi Supplicant.

5. Authentication Transport

Phiên làm việc tại tầng transport vận chuyển trao đổi xác thực giữa hai hệ thống.

6. Bridge port

Một port của một bridge IEEE 802.1D hoặc 802.1Q.

7. Edge Port

Một Bridge port được gắn vào mạng LAN và không có bridge nào khác được gắn vào nó.

8. Network access port

Một port của một hệ thống với mạng LAN. Nó có thể là một cổng vật lý, chẳng hạn như một MAC LAN duy nhất được gắn vào một đoạn LAN vật lý hoặc một cổng logic, ví dụ, một liên kết IEEE 802.11 giữa một trạm thu phát và một điểm truy cập.

9. Port access entity (PAE)

Các thực thể giao thức liên kết với một cổng. Nó có thể hỗ trợ chức năng giao thức liên quan đến authenticator, supplicant, hoặc cả hai.

10. Supplicant

Một thực thể ở một đầu của phân đoạn LAN point-to-point tìm cách được xác thực bởi authenticator gắn vào đầu kia của liên kết đó.

AS(Authentication server) xác thực một supplicant (sử dụng giao thức xác thực), authenticator chuyển các thông điệp điều khiển và xác thực giữa các supplicant  và AS; kênh điều khiển 802.1X không bị chặn, nhưng kênh dữ liệu 802.11 bị chặn. Khi một supplicant được xác thực và các khóa được cung cấp, authenticator có thể chuyển tiếp dữ liệu từ supplicant, tùy thuộc vào quyền truy cập được xác định trước kiểm soát các hạn chế cho supplicant vào mạng. Trong những trường hợp này, kênh dữ liệu được bỏ chặn.

Như được chỉ ra trong hình bên dưới 802.1X sử dụng các khái niệm về kiểm soát và không kiểm soát cổng(port). Các port là các thực thể logic được xác định trong authendicator và kết nối cổng vật lý. Mỗi cổng logic được ánh xạ tới một trong hai loại này của các cổng vật lý. Một cổng không được kiểm soát cho phép trao đổi các đơn vị dữ liệu giao thức (PDU) giữa supplicant và AS, bất kể trạng thái xác thực của supplicant. Một cổng được kiểm soát cho phép trao đổi PDU giữa một supplicant và các hệ thống khác trên mạng chỉ khi trạng thái hiện tại của supplicant được phép trao đổi.

Các bài viết khác cùng chủ đề:

• IEEE 802.11i wireless lan security
• EXTENSIBLE AUTHENTICATION PROTOCOL (EAP) là gì
• IEEE 802.11 tổng quan về chuẩn wireless LAN
• Điều khiển truy cập mạng (NETWORK ACCESS CONTROL)
• Xác thực thông điệp(message authentication) là gì?
• Wifi marketing là gì?
• Điện toán đám mây(Cloud Computing)

Giao thức EAPOL

Thành phần thiết yếu được sử dụng trong 802.1X là một giao thức được gọi là EAPOL (EAP qua mạng LAN). EAPOL hoạt động ở các lớp mạng và sử dụng chuẩn IEEE 802 LAN, chẳng hạn như Ethernet hoặc Wi-Fi, ở tầng liên kết. EAPOL cho phép supplicant giao tiếp với một authenticator và hỗ trợ trao đổi các gói EAP cho authentication server.

Khi mà supplicant lần đầu tiên kết nối với mạng LAN, nó không biết địa chỉ MAC của authenticator. Trên thực tế, nó không biết liệu có một authenticator hay không. Bằng cách gửi một gói EAPOL-Start đến một group-multicast dành riêng cho authenticator trong giao thức IEEE 802.1X, supplicant có thể xác định xem authenticator có tồn tại và cho authenticator biết rằng nó đã sẵn sàng.

Trong nhiều trường hợp, authenticator sẽ được thông báo rằng một thiết bị mới đã được kết nối vật lý từ một số thông báo phần cứng. Ví dụ: một hub biết rằng cáp đã được cắm trước đó khi thiết bị gửi bất kỳ dữ liệu nào. Trong trường hợp này, authenticator có thể gởi thông điệp Start. Trong cả hai trường hợp, trình xác thực gửi EAP-Request Identity message được đóng gói trong một gói EAPOL-EAP. EAPOL-EAP là frame EAPOL được sử dụng để vận chuyển các gói EAP.

Authendicator sử dụng gói EAP-Key để gửi các khóa mật mã đến một khi nó đã quyết định chấp nhận supplicant vào mạng. Gói EAP-Logoff được gởi khi supplicant muốn được ngắt kết nối khỏi mạng.

Định dạng gói EAPOL bao gồm các trường sau:

• Protocol version: phiên bản EAPPOL
• Packet type:loại packet
• Packet body length:độ lớn của packet body
• Packet body:data của packet body

Các loại gói AEPOL được liệt kê trong hình dưới đây.