(2) 802.1X認(rèn)證階段

802.11i使用802.1X協(xié)議來(lái)實(shí)現(xiàn)用戶認(rèn)證和密鑰管理。.802.1X本身只是一個(gè)框架，采用IETF制定的可擴(kuò)展認(rèn)證協(xié)議(Extensihle Authentication Protocol，EAP)作為核心協(xié)議，EAP 屬于一種框架協(xié)議，可適用于不同的鏈路層類(lèi)型，如EAP over LAN、EAP over PPP等，并允許設(shè)計(jì)人員制定自己的EAP認(rèn)證方式，常用的EAP認(rèn)證方式有TLS、AKA/SIM、1VID5等，可擴(kuò)展和靈活性是EAP的最大優(yōu)點(diǎn)。

802.1X基于端口實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)控制，定義了三個(gè)組件：申請(qǐng)?jiān)L問(wèn)者(supplicant)、認(rèn)證者( authenticator)和認(rèn)證服務(wù)器(Authentication Server，AS)。申請(qǐng)者是指請(qǐng)求訪問(wèn)網(wǎng)絡(luò)資源的客戶端，網(wǎng)絡(luò)訪問(wèn)由認(rèn)證者控制，認(rèn)證者只負(fù)責(zé)鏈路層的認(rèn)證交互過(guò)程，并不維護(hù)任何用戶信息，任何認(rèn)證請(qǐng)求均會(huì)被轉(zhuǎn)送至認(rèn)證服務(wù)器（如Radius服務(wù)器）進(jìn)行處理，

整個(gè)認(rèn)證交換過(guò)程在邏輯上是通過(guò)認(rèn)證服務(wù)器和申請(qǐng)者的交互完成，認(rèn)證者只是扮演中介的角色。申請(qǐng)者與認(rèn)證者之間使用EAP over LAN（簡(jiǎn)稱EAPoL）協(xié)議，認(rèn)證者與認(rèn)證服務(wù)器之間通過(guò)網(wǎng)絡(luò)協(xié)議（如RADIUS協(xié)議）封包來(lái)傳遞EAP協(xié)議報(bào)文(如RADIUS稱之為EAP overRADIUS)。

AS通常是有線網(wǎng)絡(luò)中的獨(dú)立設(shè)備，但也可以在AP中實(shí)現(xiàn)。根據(jù)802.1X協(xié)議框架，申請(qǐng)?jiān)L問(wèn)者(STA)向認(rèn)證者( AP)發(fā)送EAP認(rèn)證請(qǐng)求，AP通過(guò)RADIUS消息驗(yàn)證用戶合法性。

一旦STA通過(guò)了802.1X身份驗(yàn)證之后，AS會(huì)產(chǎn)生一個(gè)主會(huì)話密鑰(MSK)，也稱被作AAA key，將它傳送給STA。以后STA和AP的通信的所有加密密鑰都由此MSK生成。