802.1X用戶身份驗證過程

802.1X為任何局域網，包括無線局域網提供了一個用戶認證的框架，當工作站與接入點關聯成功，工作站就可以

開始進行802.1X幀交換過程，嘗試取得授權。802.1X認證交換和秘鑰分配完成后，用戶就會收到接口已經啟用的

消息。本例一Radius為后端認證服務器，認證過程如下圖所示：

1、申請者關聯至802.11網絡。

2、申請者發送一個EAPOL-Start幀，開始進行802.1X幀交換過程，這個過程并非必要的，并不是所有申請者都要發送EAPOL-Start幀，因此可能沒有這個步驟。

3、EAP幀交換過程開始，認證者（接入點）發送一個EAP-Request/Identity幀。如果接入點只為已經認證成功的關聯轉送此幀，發送Request/Identity幀之前可能就沒有EAPOL-Start幀。主動發送EAP-Request/Identity幀用來指示申請者必須進行802.1X認證。

4、申請者以Response/Identity幀進行回復，此幀隨后被轉為Radius-access-Request幀發送給認證服務器。

5、Radius服務器判斷需要使用哪個類型的認證，并且在發送的EAP-Request中指定認證方式，EAP-Request被封裝于Radius-Access-Challenge封包中發送給接入點。接入點收到封包后將EAP-Request發送給申請者，EAP-Request通常會被表示為EAP-Request/Method，其中Method表示認證所使用的方法。如果目前使用的是PEAP，則返回的封包將以EAP-Request/PEAP表示。

6、申請者從用戶方面取得響應，然后返回EAP-Response，認證者會將此響應轉換為Radius-Access-Request封包，針對質詢信息所做的響應則存放于數據字段中。

步驟5和步驟6不斷重復進行，知道認證完成為止。如果使用的是需要交換證書的EAP認證方式，免不了需要多次重復這些步驟。有些EAP交換可能需要在客戶端與Radius服務器之間反復進行10到20次。

7、既然Radius服務器發送一個Radius-Access-Accept封包允許對方訪問網絡，因此認證者會發送一個EAP-Success幀并且授權使用連接端口。訪問權限也可以由Radius服務器所返回的參數決定。

8、收到Access-Accept封包后，接入點會立刻使用EAP-key幀將秘鑰分配給申請者。

9、一旦申請者安裝好秘鑰，就可以開始傳送數據幀來訪問網絡。DHCP配置通常會在此刻進行。

10、當申請者不再需要訪問網絡，就會送出一個EAPOL-logoff消息，使連接端口回復成未授權狀態。

802.1X交換過程可以在任何時間點進行，用戶并不需要發送EAPOL-Start消息來啟動EAPOL交換過程。任何時刻，申請者都可以開始EAPOL交換過程，發送EAP-Request/Identity幀來更新認證數據。需要重新進行認證通常因為會話超時，此時必須更新秘鑰。密鑰交換幀只有在認證完成后才會傳送，這樣可以避免秘鑰外泄。EAPOL-key幀也可以用來定期更新秘鑰。