2 phía, đƣợc tiến hành trong quá trình bắt tay 4 bƣớc, sau khi quá trình xác thực kết thúc, cả AP và STA đều xác thực đƣợc nhau. Thông thƣờng, các khóa quy ƣớc sẽ đƣợc quản trị viên cài đặt bằng tay, điều này chỉ phù hợp với những mạng WLan nhỏ, khi mạng có nhiều thiết bị thì phƣơng án này không hợp lý. Đối với những mạng lớn, việc sử dụng giao thức 802.1x đƣợc khuyến nghị.
IEEE 802.1x [23] là một chuẩn của tổ chức IEEE là một tập các giao thức mạng, hoạt động dựa trên cơ chế điều khiển truy cập dựa trên cổng, ban đầu đƣợc thiết kế để xác thực các thiết bị trong mạng LAN, nhƣng đƣợc chỉnh sửa để tƣơng tích với mạng WLAN.
IEEE 802.1x đƣa ra một giao thức có thể mở rộng EAP (Extensible Authentiction Protocol) để thực hiện quá trình xác thực. EAP là giao thức hoạt động ở lớp 2, các gói dữ liệu EAP sẽ đƣợc đóng gói bởi các frame dữ liệu và truyền qua mạng LAN hoặc WLAN.
IEEE 802.1x định nghĩa 3 thực thể trong giao thức xác thực (Hình 2.13):
Thực thể cần xác thực (Supplicant)
Thực thể xác thực
Server chứng thực
Hình 2.12 mô tả quan hệ giữa 3 thành phần trong giao thức xác thực 802.1x. Thực thể cần xác thực là một chƣơng trình sử dụng kết nối không dây của STA. Thực thể chứng thực chạy trên một máy chủ xác thực mạng NAS (Network Authenticaiton Server), trong mạng WLAN, NAS thƣờng là các AP, máy chủ chứng thực thƣờng là máy chủ RADIUS (Remote Authentication Dial In User Service) – Tức máy chủ đƣợc cái dịch vụ xác thực RADIUS. Máy chủ RADIUS có vai trò quản lý quyền truy cập trong mạng một cách tập trung thông qua các giao thức xác thực ( Máy chủ RADIUS có thể đƣợc cài đặt nhiều giao thức xác thực, các giao thức này sẽ đƣợc giới thiệu ở phần dƣới ), máy trạm STA sẽ xác thực với máy chủ RADIUS thông qua AP, chỉ những máy trạm STA nào đƣợc xác thực và có quyền truy cập dịch vụ thì dữ liệu của nó mới đƣợc phép đi qua AP.
Comment [u16]: The IEEE (2010), "IEEE Standard for port-based Network Access Control"
Sau khi thực thể cần xác thực STA đƣợc xác thực, cả STA và máy chủ chứng thực đều cùng sinh ra một khóa phiên chính MSK (Master Session Key). Sau đó STA sẽ tính đƣợc khóa phiên chính đôi PMK (Pairwise Master Key), trong khi đó máy chủ chứng thực sẽ chuyển MSK cho thực thể xác thực AP, AP cũng sẽ tính đƣợc PMK nhƣ STA. STA và AP thực hiện giao thức bắt tay 4 bƣớc để xây dựng kênh truyền mã hóa dựa trên các cặp khóa phiên tạm thời PTK (Pairwise Transient Key). Đến đây, AP sẽ mở cổng cho phép STA có thể truyền dữ liệu qua AP, tức là truy cấp đƣợc mạng. Các gói dữ liệu giữa STA và AP đƣợc bảo mật hoàn toàn nhờ đƣợc mã hóa bởi các khóa phiên thay đổi nhiều lần, do vậy địch thủ rất khó để có thể tấn công thành công.
Giao thức xác thực EAP là một chuẩn Internet cho việc xác thực máy khách. EAP đƣợc thiết kế mở rộng từ giao thức điểm tới điểm PPP (Point-to-Point Protocol), và là một giao thức mở để xác thực các thực thể đầu cuối.
Trong mô hình xác thực 802.1x, máy chủ chứng thực sử dụng giao thức EAP để chứng thực STA. AP có nhiệm vụ chuyển các gói thông điệp của STA tới máy chủ chứng thực và ngƣợc lại. Thông điệp EAP đƣợc gửi đi trong mạng không dây bằng cách đóng gói (encapsulation) thành gói tin EAPOL (EAP over Lan), khi đến AP, gói tin EAPOL sẽ đƣợc cởi gói và đóng gói thành gói tin RADIUS rồi truyền tới máy chủ chứng thực qua mạng LAN. Quá trình đó đƣợc mô tả trong hình 2.13.