利用IEEE 802.1x可以进行身份验证,如果计算机要求在不管用户是否登录网络的情况下都访问网络资源,可以指定计算机是否尝试访问该网络的身份验证。以下步骤描述了利用接入点AP和RADIUS服务器对移动节点进行身份验证的基本方法。如果没有有效的身份验证密钥,AP会禁止所有的网络流量通过。
(1)当一个移动节点(申请者)进入一个无线AP认证者的覆盖范围时,无线AP会向移动节点发出一个问询。
(2)在受到来自AP的问询之后,移动节点做出响应,告知自己的身份。
(3)AP将移动节点的身份转发给RADIUS身份验证服务器,以便启动身份验证服务。
(4)RADIUS服务器请求移动节点发送它的凭据,并且指定确认移动节点身份所需凭据的类型。
(5)移动节点将它的凭据发送给RADIUS.
(6)在对移动节点凭据的有效性进行了确认之后,RADIUS服务器将身份验证密钥发送给AP.该身份验证密钥将被加密,只有AP能够读出该密钥。(在移动节点和RADIUS服务器之间传递的请求通过AP的“非控制”端口进行传递,因为移动节点不能直接与RADIUS服务器建立联系。AP不允许STA移动节点通过“受控制”端口传送数据,因为它还没有经过身份验证。)
(7)AP使用从RADIUS服务器处获得的身份验证密钥保护移动节点数据的安全传输——特定于移动节点的单播会话密钥以及多播/全局身份验证密钥。
全局身份验证密钥必须被加密。这要求所使用的EAP方法必须能够生成一个加密密钥,这也是身份验证过程的一个组成部分。传输层安全TLS(Transport Level Security)协议提供了两点间的相互身份验证、完整性保护、密钥对协商以及密钥交换。我们可以使用EAP-TLS在EAP内部提供TLS机制。
移动节点可被要求周期性地重新认证以保持一定的安全级。
责任编辑:小草
