IEEE 802.11X là giao thức điều khiển truy cập dựa trên cổng (port-based) với mục đích là cho phép thực hiện việc điều khiển truy cập tại nơi người dùng liên kết vào mạng. Mạng 802.1X điển hình bao gồm 3 thực thể tham gia vào quá trình xác thực:
Người dùng (Supplicant) – thực thể muốn tham gia vào mạng
Bộ xác thực (Authenticator) – thực thể thực hiện việc điều khiển truy cập
Máy chủ xác thực (Authentication Server) – thực thể thực hiện quá trình xác thực người dùng.
supplicant services authenticator authentication server
LAN
authenticator system
supplicant sys auth server sys
Hình 3-4. 802.1X framework
Cổng (port) là khái niệm dùng để chỉ nơi người dùng kết nối vào mạng. Khái niệm này được sử dụng bởi 802.1X ra đời trước 802.11 nhằm phục cho mạng không dây cục bộ (LAN). Theo đó, với mỗi người dùng sẽ có một cổng được quản lý bởi một bộ xác thực.
Cách hoạt động của 802.1X tương đối đơn giản: Các cổng ban đầu ở trạng thái mở (open). Mỗi khi người dùng kết nối vào một cổng, bộ xác thực sẽ kiểm tra và chuyển cổng sang trạng thái đóng (nếu người dùng được phép truy cập). Khi đó, người dùng mới có khả năng gửi gói tin xác thực tới máy chủ xác thực. Máy chủ xác thực tiếp đó sẽ thực hiện việc xác thực người dùng. Việc truyền thông giữa người dùng, bộ xác thực được thực hiện nhờ giao thức EAPOL (EAP over LAN) [27].
Giao thức EAPOL được định nghĩa trong chuẩn 802.1X nhằm định ra cách truyền thông các thông điệp EAP trên mạng LAN. Về thực chất, EAPOL định nghĩa cách đóng gói thông điệp EAP trong các khung tin tầng liên kết dữ liệu. Tuy vậy chuẩn 802.1X không định nghĩa cách thức chuyển các thông điệp EAP giữa bộ xác thực và máy chủ xác thực. Trong mạng LAN sử dụng giao thức TCP/IP, máy chủ xác thực RADIUS (dịch vụ người dùng quay số truy cập từ xa) được sử dụng rộng rãi và phổ biến. Để gửi/nhận các thông điệp xác thực tới máy chủ RADIUS, bộ xác thực sử dụng giao thức EAP-over- Radius [29].
Khi áp dụng 802.1X vào mạng không dây WLAN, điểm truy cập sẽ đóng vai trò bộ xác thực, tạo ra các cổng logic và quản lý trạng thái của các cổng này. Khi có một thiết bị muốn tham gia vào mạng, nó sẽ được gán với một cổng logic. Bộ xác thực sẽ quản lý truy cập cũng như chuyển tiếp các gói tin xác thực.
Hình 3-5. Cổng 802.1X logic trong điểm truy cập
Cần chú ý rằng, ở đây máy chủ xác thực không nhất thiết phải là một máy chủ chuyên dụng mà có thể là một tiến trình nhỏ trong điểm truy cập làm nhiệm vụ quản lý danh sách người dùng/mật khẩu phục vụ quá trình xác thực.