2 phía, được tiến hành trong q trình bắt tay 4 bước, sau khi quá trình xác thực kết thúc, cả AP và STA đều xác thực được nhau. Thơng thường, các khóa quy ước sẽ được quản trị viên cài đặt bằng tay, điều này chỉ phù hợp với những mạng WLan nhỏ, khi mạng có nhiều thiết bị thì phương án này không hợp lý. Đối với những mạng lớn, việc sử dụng giao thức 802.1x được khuyến nghị.
IEEE 802.1x [23] là một chuẩn của tổ chức IEEE là một tập các giao thức mạng, hoạt động dựa trên cơ chế điều khiển truy cập dựa trên cổng, ban đầu được thiết kế để xác thực các thiết bị trong mạng LAN, nhưng được chỉnh sửa để tương tích với mạng WLAN.
IEEE 802.1x đưa ra một giao thức có thể mở rộng EAP (Extensible Authentiction Protocol) để thực hiện quá trình xác thực. EAP là giao thức hoạt động ở lớp 2, các gói dữ liệu EAP sẽ được đóng gói bởi các frame dữ liệu và truyền qua mạng LAN hoặc WLAN.
IEEE 802.1x định nghĩa 3 thực thể trong giao thức xác thực (Hình 2.13):
Thực thể cần xác thực (Supplicant)
Thực thể xác thực
Server chứng thực
Hình 2.12 mơ tả quan hệ giữa 3 thành phần trong giao thức xác thực 802.1x. Thực thể cần xác thực là một chương trình sử dụng kết nối không dây của STA. Thực thể chứng thực chạy trên một máy chủ xác thực mạng NAS (Network Authenticaiton Server), trong mạng WLAN, NAS thường là các AP, máy chủ chứng thực thường là máy chủ RADIUS (Remote Authentication Dial In User Service) – Tức máy chủ được cái dịch vụ xác thực RADIUS. Máy chủ RADIUS có vai trị quản lý quyền truy cập trong mạng một cách tập trung thông qua các giao thức xác thực ( Máy chủ RADIUS có thể được cài đặt nhiều giao thức xác thực, các giao thức này sẽ được giới thiệu ở phần dưới ), máy trạm STA sẽ xác thực với máy chủ RADIUS thông qua AP, chỉ những máy trạm STA nào được xác thực và có quyền truy cập dịch vụ thì dữ liệu của nó mới được phép đi qua AP.
Comment [u16]: The IEEE (2010), "IEEE
Standard for port-based Network Access Control"
Sau khi thực thể cần xác thực STA được xác thực, cả STA và máy chủ chứng thực đều cùng sinh ra một khóa phiên chính MSK (Master Session Key). Sau đó STA sẽ tính được khóa phiên chính đơi PMK (Pairwise Master Key), trong khi đó máy chủ chứng thực sẽ chuyển MSK cho thực thể xác thực AP, AP cũng sẽ tính được PMK như STA. STA và AP thực hiện giao thức bắt tay 4 bước để xây dựng kênh truyền mã hóa dựa trên các cặp khóa phiên tạm thời PTK (Pairwise Transient Key). Đến đây, AP sẽ mở cổng cho phép STA có thể truyền dữ liệu qua AP, tức là truy cấp được mạng. Các gói dữ liệu giữa STA và AP được bảo mật hồn tồn nhờ được mã hóa bởi các khóa phiên thay đổi nhiều lần, do vậy địch thủ rất khó để có thể tấn cơng thành cơng.
Giao thức xác thực EAP là một chuẩn Internet cho việc xác thực máy khách. EAP được thiết kế mở rộng từ giao thức điểm tới điểm PPP (Point-to-Point Protocol), và là một giao thức mở để xác thực các thực thể đầu cuối.
Trong mơ hình xác thực 802.1x, máy chủ chứng thực sử dụng giao thức EAP để chứng thực STA. AP có nhiệm vụ chuyển các gói thơng điệp của STA tới máy chủ chứng thực và ngược lại. Thông điệp EAP được gửi đi trong mạng khơng dây bằng cách đóng gói (encapsulation) thành gói tin EAPOL (EAP over Lan), khi đến AP, gói tin EAPOL sẽ được cởi gói và đóng gói thành gói tin RADIUS rồi truyền tới máy chủ chứng thực qua mạng LAN. Q trình đó được mơ tả trong hình 2.13.